外灘燈光秀的炫麗夜景之中,數臺大疆無人機緩緩升起,突然之間不受控制,在人群中引發了騷亂;
國金中心地下安靜的停車庫中,整整齊齊地停了幾輛特斯拉,突然進來了幾個不速之客,不費吹灰之力地開走了不屬於他們的車;
華山醫院繁忙的住院病房中,醫生和護士在有條不紊地工作著,突然衝進來一批人,把人工心肺機、麻醉劑、麻醉系統等設備緊急召回。
以上這些,雖然是假想,但絕不是危言聳聽。
網絡已經成為人們生活中不可或缺的一部分,而且伴隨著“互聯網+”以及物聯網的快速發展也成為人們創業創新的一個有力工具,因此現在的網絡安全也越來越被人所關心。
近年來,越來越多的物品被貼上了“智能”標籤,成為了聯網設備。從零售到醫療、從可穿戴設備到智能汽車,IoT 正在影響所有行業。
據估計,到 2018 年末,全球已經有了200億個聯網設備。這給人們的生活帶來許多便利,同樣地也帶來了很多安全問題——承載廣大用戶海量隱私數據與普遍脆弱的 IoT讓攻擊者看到“寶藏”。
據統計,僅在2019年上半年,一家安全供應商就檢測到超過1億起對物聯網終端的攻擊。
儘管很多企業認為通過快速開發與出售產品佔領市場、獲得利潤,可以暫時把安全問題放在一邊,但是病毒、蠕蟲和網絡攻擊不會等待。讓我們一起來看看那些年,發生過的物聯網安全事故。
- 01 -
2007~2017,物聯網的上古時代
儘管物聯網設備彼時尚未普及,但安全事故已然發生了多起。
一、2007年,時任美國副總統迪克·切尼心臟病發作,被懷疑緣於他的心臟除顫器無線連接功能遭暗殺者利用。這被視為物聯網攻擊造成人身傷害的可能案例之一。
二、2013年,美國知名黑客薩米·卡姆卡爾在“YouTube”網站發佈一段視頻,展示他如何用一項名為SkyJack的技術,使一架基本款民用無人機能夠定位並控制飛在附近的其他無人機,組成一個由一部智能手機操控的“殭屍無人機戰隊”。
三、2014年,西班牙三大主要供電服務商超過30%的智能電錶被檢測發現存在嚴重的安全漏洞,入侵者可以利用該漏洞進行電費欺詐,甚至直接關閉電路系統,對社會造成很大影響。
四、2016年10月,一場超大規模的DDoS攻擊整垮了大半個美國互聯網。此次發動網絡攻擊的黑客,利用了一個由150萬臺設備組成的“殭屍網絡”,大部分設備為中國廠商生產的網絡攝像頭。
五、2017年3月,智能玩具洩露200萬父母與兒童語音信息:Spiral Toys旗下的CloudPets系列動物填充玩具遭遇數據洩露,敏感客戶數據庫受到惡意入侵。此次事故洩露信息包括玩具錄音、MongoDB洩露的數據、220萬賬戶語音信息、數據庫勒索信息等。這些數據被保存在一套未經密碼保護的公開數據庫當中。
六、2017年11月,智能家居設備存在漏洞:吸塵器秒變監視器Check Point研究人員表示LG智能家居設備存在漏洞,黑客可以利用該漏洞完全控制一個用戶賬戶,然後遠程劫持LG SmartThinQ家用電器,包括冰箱,乾衣機,洗碗機,微波爐以及吸塵機器人,並將它們轉換為實時監控設備。
- 02 -
2018,高速發展帶來的安全隱患
時間行進到2018年之後,萬物互聯的時代大踏步向我們走來,儘管生活變得越來越便利,但是帶來的安全隱患數量也是水漲船高。
一、2018年1月,史詩級 CPU 芯片漏洞:媒體曝出全球最大 CPU 製造商、迎來知天命之年的英特爾遭遇“史詩級”漏洞的衝擊。有意思的是,這個問題其實覆蓋了主要 CPU 生廠商,並非英特爾一家,影響全球所有桌面系統、電腦、智能手機及雲計算服務器。
二、2018年1月及之後,陰魂不散的 IoT 殭屍網絡:安全研究團隊發現一種新型 IoT 殭屍網絡,代號為“捉迷藏”(HNS)。HNS 殭屍網絡對具有 Telnet 端口的設備發起暴力破解攻擊,具有高度自定義的特徵。上線不滿一個月,HNS 1 月底殭屍網絡的肉雞數量從 12 臺猛增至 3.2 萬臺;5 月末,感染超過 9 萬臺設備。同時研究者發現 HNS 增添了新功能,在設備重啟之後惡意軟件依舊存在。HNS 成為首個能在設備重啟後存活下來的同類惡意軟件,開啟了殭屍網絡的“新時代”。
三、2018年5月及之後,VPNFilter 不懼大廠,KO 50 萬路由器:思科 Talos 安全研究團隊發現攻擊者利用惡意程序 VPNFilter 感染了全球 54 個國家的超過 50 萬臺路由器與 NAS 設備,品牌包括 Linksys、MikroTik、Netgear、TP-Link、華碩、華為、中興和 D-Link 等。利用惡意程序的中間人攻擊模塊 ssler,攻擊者通過被感染路由器的流量注入惡意負載,甚至能悄悄修改網站發送的內容。後來,團隊又發現了 7 個不同的漏洞利用模塊。
四、2018年6月,智慧城市漏洞多達 17 個,水庫恐被一夜清空:羅馬不是一日建成的,“毀”掉一座智慧城市卻不困難。IBM 研究團隊發現,Libelium、Echelon和Battelle 三種智慧城市主要系統中存在多達 17 個安全漏洞,包括默認密碼、可繞過身份驗證、數據隱碼等等,攻擊者利用這些漏洞能夠控制報警系統、篡改傳感器數據,輕而易舉左右整個城市交通。
五、2018年8月,黑客如何奪取天上的控制權:IOActive 公司安全研究人員警告稱,飛機、艦船和軍方使用的衛星系統中均含有可能讓黑客控制它們的安全漏洞。最嚴重的漏洞可能會讓攻擊者向衛星天線過度充電,從而損害設備或損害運營商利益,其他漏洞可能會被用來洩露軍事力量在特定地區的確切位置。
六、2018年8月,黑客可以決定你的死亡時間:國家藥監局發佈大批醫療器械企業主動召回公告,其中美敦力、GE、雅培等大牌均在列。召回設備包括磁共振成像系統、麻醉劑、麻醉系統、人工心肺機等。公告顯示召回共涉及設備產品超過 24 萬,主要原因在於軟件安全性不足。
據統計僅 2018 年第一季度,全球醫療設備召回總量超過 2.08 億臺,超過 2017 年全年召回總數。早在 2016 年底,白帽黑客發現可以遠程控制美敦力心臟起搏器;2017 年,研究者發現網購的起搏器存在 8000 個程序漏洞,其中包括來自四大主流製造商的產品,極易遭受黑客攻擊。
七、2018年9月,“學院派”黑客利用門鎖漏洞,輕鬆盜走特斯拉:比利時 KU Leuven 大學研究人員發現,只需要大約價值 600 美元的無線電和樹莓派等設備就能開走一輛特斯拉。同樣的攻擊方法還能“竊取”邁凱倫和 Karma 汽車,以及凱旋摩托車,因為同特斯拉一樣,這些都使用了被發現存在安全缺陷的 Pektron 遙控鑰匙系統。
八、2018年10月,亞馬遜修復物聯網操作系統漏洞:亞馬遜修復了物聯網操作系統 FreeRTOS 以及 AWS 連接模塊的 13 個安全漏洞,這些漏洞可能導致入侵者破壞設備,洩露內存中的內容和遠程運行代碼,讓攻擊者獲得設備完全的控制權。FreeRTOS 是專門為單片機設計的開源操作系統,已經被應用在包括汽車、飛機及醫療設備等 40 餘種硬件平臺。
九、2018年11月,亞馬遜公佈物聯網操作系統漏洞:亞馬遜公佈物聯網操作系統 FreeRTOS 以及 AWS 連接模塊的 13 個安全漏洞,這些漏洞可能導致入侵者破壞設備,洩露內存中的內容和遠程運行代碼,讓攻擊者獲得設備完全的控制權。FreeRTOS 是專門為單片機設計的開源操作系統,已經被應用在包括汽車、飛機及醫療設備等 40 餘種硬件平臺。
十、2018年11月,為給偶像拉票,粉絲黑了全球打印機:黑客利用了全球數十萬臺打印機上的開放式網絡端口,從 80 萬臺可利用的網絡打印機中選擇了 5 萬臺進行攻擊。用時不到 30 分鐘,黑客就成功控制了這些打印機,能訪問其內部網絡並打印一項名為“PewDiePie”活動的宣傳信息,為來自瑞典的、YouTube 訂閱用戶最多的博主 PewDiePie 拉粉。
- 03 -
區塊鏈,物聯網安全的最佳幫手
隨著物聯網的發展越來越快,暴露出的安全問題也逐漸增多。
GeekPwn2018 黑客大賽現場,參賽極客選手發現了多款路由器、智能門鎖、智能攝像頭、智能電視、智能音箱、掃地機器人等多款身邊常見的設備存在安全漏洞。此外,提供雲基礎架構的 VMware EXSi 以及網絡基礎協議層存在已久的安全隱患也被發現。
任何東西一旦聯上網,就有暴露給攻擊者的危險。如果IoT設備製造商想盡一切辦法只是為了讓產品連上網絡,請回想一下 20 年前的電腦製造商:那些不重視安全性的,現在還在嗎?
幸運的是,這時候區塊鏈技術站上了檯面,並被認為是解決物聯網安全問題的最佳幫手。
最廣泛的區塊鏈用例,包括:
▲金融交易的可追溯性和安全性
區塊鏈中的分佈式分類賬將數字數據捕獲到一個區塊中,一旦完成,就不能將數據移到另一個塊,也不能在鏈中添加中間塊。對於金融交易,因為需要發送方、接收方的確認,所以只有在收到所有方確認後才能完成交易。區塊鏈有助於記錄和保存每個用戶的登錄和確認。此外,還可以跟蹤並記錄每個內部威脅或試圖訪問記錄的企圖,從而消除了賬本上數據洩露或被盜的可能性。
▲安全數據存儲
物聯網的主要問題之一是需要保證數據安全。區塊鏈創建了一個分散的分類帳以及一個不可更改的數據記錄,這有助於保護和控制系統內所發生的通信或任何其他活動。數據保護不僅僅適用於加密貨幣,而且在醫療保健領域,它可以保護患者信息,改善記錄管理,並最大限度地減少處方藥物的未經授權分發。
▲減少人為錯誤
在數據記錄和存儲過程中凡是涉及人為因素的地方,除了存在數據丟失、未經授權的更改和數據盜竊的風險之外,在輸入數據或編輯文檔時也有可能出現錯誤。區塊鏈的優勢在於它消除了登錄和密碼的需要,取而代之的是,向設備頒發加密標識,如ssl證書,可以在分佈式賬本上進行驗證。(來自物聯之家網)由於所有活動(包括潛在威脅)都被跟蹤並在網絡上立即進行通知,因此可以將人為錯誤降至最低。
▲保護物聯網設備和網絡
由於區塊鏈可以監控和記錄所有連接到網絡的設備之間的通信,因此它為企業提供了訪問活動日誌、可疑登錄或試圖訪問記錄上數據的機會,這有助於解決安全挑戰。
▲供應鏈透明度
供應鏈管理行業面臨著複雜的挑戰,其中大部分與假冒商品或非法交易有關,因為運輸的貨物在到達最終目的地之前要經過多個交貨點或交貨方,包括製造商、分銷商和零售商。通過為每種商品提供一個數字ID,區塊鏈可在供應鏈的每個階段提供完整的可見性,從而消除了欺詐或偽造的可能性,因為數據是不可更改且不能刪除的。
那麼,未來的物聯網會如何克服這些問題呢?
在未來這個由數十億玩家組成的網絡中,區塊鏈可以無縫地和物聯網共同工作:
1. 構建連接儀器/設備
2. 建立傳感器網絡
3. 收集數據
4. 優化資產
5. 最後,進展到這些資產的貨幣化
區塊鏈將通過提供解決方案來解決當前物聯網(例如,隱私、可擴展性和可靠性)的問題,區塊鏈可以創建更可靠的生態系統,在這個生態系統中,設備可以安全連接到雲或互聯網。藉助加密算法、交易驗證以及對威脅的持續監控和記錄,區塊鏈可以應對當前困擾物聯網解決方案的所有挑戰,併為企業提供更安全的運營環境,而無需擔心數據安全和隱私受到威脅。
同時,區塊鏈將以一種安全、可靠和可追溯的方式將物聯網經濟整合到一起。物聯網市場將從2016年的1570億美元增長到2020年的4570億美元。據估計,到2025年,區塊鏈將創造超過1760億美元的商業價值,到2030年將持續增長至3.1萬億美元。
