物联网安全问题正在受到越来越多的关注,不久前,赛门铁克专门针对物联网安全问题举办沙龙,赛门铁克公司大北区安全解决方案技术支持部经理马蔚彦透露,当前至少有四大物联网设备最容易收到攻击。
第一,智能手表与智能手机。这些设备主要是受到勒索软件的攻击。赛门铁克互联网安全报告中提到,去年勒索软件的蔓延速度非常快,增长幅度达到113%。据发现,今年上半年勒索软件的蔓延速度相较去年而言将更为迅猛。报告显示,勒索软件的攻击从PC机蔓延到智能手机,现在已扩展到智能手表。智能手表之所以同样能够受到勒索软件威胁,是因为智能手表和智能手机之间,软件同步是轻而易举的事情。如果用户在智能手机中下载应用,智能手表便能够很快同步手机中的应用。这种不同设备间的快速同步便代表了物联网便捷的互联互通特性。但同时也意味着,如果智能手机感染恶意软件,它也将快速同步到你的智能手表中。推送到手表中的勒索软件同样能够中断手表的正常工作,并以此进行勒索,使用户无法使用智能设备。赛门铁克已经看到勒索软件向物联网设备扩展的趋势。这里有一个小视频,介绍了勒索软件是如何扩展到智能手表中的。
如何避免受到恶意软件攻击?首先,包括及时更新应用和固件。应用和固件的更新能够为之前可能受到恶意攻击的漏洞打上补丁。其次,不要随意下载应用。现在,人们越来越追求便捷性,这会导致当用户面对同样功能的不同产品进行选择时,往往会选择更加便捷好用的产品。而攻击者往往会利用这种心理对便捷应用放置恶意代码。如果用户从不可信的网站下载应用,会面临很大的安全风险。最后,我们建议用户要使用安全解决方案。赛门铁克会在物联网方面提供安全解决方案。
第二,近几年,国内很多人利用可穿戴设备进行监测运动。人人都在追求健康生活,所以可穿戴设备的使用便更加广泛。在美国,60%以上的成年人都在使用可穿戴设备,预计到2017年,可穿戴设备的出货量将达到1.7亿。我认为,无论国内国外,可穿戴设备在日常生活中的使用量非常大。但大家只考虑到了使用方面的便捷性,却忽略掉了它们可能会带来的安全风险和隐患。用户的个人隐私、个人数据,以及位置等信息会在运动过程中无意泄露,例如个人身份信息,出生日期,地址,用户体重,身高,血压等。虽然很多人认为,位置信息相对财务信息来讲并不那么重要,但其实也不尽然。就企业网络中的应用而言。出现针对性攻击的最初渠道,就是通过社交活动收集到个人活动状况和信息,从而实施针对性攻击。所获取的信息为成为攻击者了解用户个人习惯以及社交环境的信息源。
可穿戴设备存在很多安全隐患。第一,52%手机中的可穿戴设备应用都没有很好的隐私保护策略。这些应用厂商基本没有安全方面的意识,也就更不可能从技术方面进行保护。我们提到的信息,甚至应用登陆信息的安全防护在智能手环等可穿戴设备应用中,都做不到十分安全。这些可穿戴设备应用往往还关联着其他应用。个人信息和个人数据的背后还连接着一条产业链。现在,有很多应用会在社交媒体上分享运动信息,并能够与朋友进行排名。这就是跟社交媒体的多应用关联。这些运动数据,同样能够被营销类应用获取并进行分析,已达到促销盈利的目的。所以,即使是运动类应用,也同样面临着销售的问题。当用户的数据在后台泄漏给多方应用,而这些应用并没有很好的安全防护的话,数据泄露的影响将很快扩大。赛门铁克数据显示,移动应用每个点数据平均能够连接到五个域,甚至最大到十四个域,这将有可能造成无意的数据泄露。
如何保护可穿戴设备呢?作为个人来讲,智能设备上的连接非常多,比如热点、无线、蓝牙。比如此时此刻,大家的无线可能都处于开启状态。其实,安全是一种意识。作为个人用户,需要及时更新应用、软件,确保设备中有着必要的密码,并锁定屏幕。而作为厂家和应用开发商,则需要安全厂商提供给他们安全解决方案,来从应用层面、设备层面进行安全防护。
第三,智能家居现在属于新兴领域,智能家居能够全部连接网络。预计,2015年智能家居的数量能够达到29亿,到2022年将会达到260亿,7年内的增长量相差近10倍,可见智能家居未来的发展速度将会非常快。此前曾经有过报道,家长通过家用摄像头来查看孩子是否存在危险,但由于摄像头受到攻击,黑客通过这个攻击点能够看到家中的其他设备。所以,智能家居设备一旦出现安全问题,将会面临隐私泄露的风险。
很多时候,没有安全事件曝光时,大家都不认为安全问题就在我们身边。而曝光后便会发现,这些安全事件的背后,问题点就在于弱密码,如果不存在弱密码问题,黑客就会很难进行攻击。产生安全威胁的原因多在于弱密码和弱加密。而智能家居设备中的安全威胁甚至更为严重。
技术发展速度之所以远远快于安全,其一是由于个人意识,其二则在于开发人员、厂家的安全意识,很多研发人员和厂商甚至并没有考虑过安全。
如今,家家户户都有机顶盒,但大多数人对于机顶盒中能够收发邮件并不了解。但2014年上半年,每天有超过10万封恶意电子邮件发送至智能家庭设备中。年青一代对智能家居设备中的邮件充满好奇心,经常会没有安全意识便会打开邮件。如果刚好邮件中存在恶意攻击,设备和家庭安全将会面临危险。
第四,互联汽车。此前,克莱斯勒因存在黑客能够利用的重大安全漏洞而召回了140多万辆车。在车联网以及车载系统中,CD播放器,OBD-II端口以及无线接口均是攻击者的攻击目标。克莱斯勒、吉普等智能汽车受到攻击,其最早的入侵点便是汽车娱乐系统。汽车的娱乐系统都是电子化运行,很多时候是人为编程代码运行。大家可能认为,汽车并不像电脑,有着多方攻击途径,但智能汽车的发展非常快,车内能够通过蓝牙连接手机,使用车载电话进行接听,这就是一个无线通路,在小小的车体内,有着很多无线方式。车内的设备系统小,操作系统很精简。但其核心原理相同,也就都会存在安全漏洞。
只要需要登陆,需要认证用户名密码的程序,在哪里都会出现用户名密码弱的问题。在企业网络中也会有中间人攻击,企业内部人员在通讯过程中,中间人能够获取内容信息,并能够通过劫持、篡改来达到目的,这就是中间人攻击。这一点在互联汽车中是相同的,攻击者能够利用车体,也能够利用汽车中的部件。汽车的刹车、油门等所有部件都能够通过总线连接到汽车的控制系统中。而后,汽车控制系统再与后台系统相连接,将行车数据存入云端。整个汽车的通讯过程如何防止篡改,如何保证通讯安全,是需要思考的。
今年,国内国外都举办了很多黑客大会。大家愿意展示攻击汽车的步骤,从而提高厂商以及个人对安全意识的提高。这些展示说明了黑客的入侵途径比较丰富。即使汽车的各个层面部件很复杂,黑客也能够找到攻击通路。赛门铁克在此次黑帽大会上获得了一项专门针对汽车方面的奖项,来展示黑客通过手段入侵汽车系统。
OBD-II端口,是对汽车内部配置进行电脑设置和诊断的接口。由于笔记本本身具有脆弱性,如果连接接口,也会存在安全风险。此外,无线接口包括车内的无线接口与云端无线接口。多年前就有人提出车联网和汽车的安全风险,但汽车厂商并不在意。他们认为物理的设备,只有接上或碰上才有可能存在安全风险,机会非常少。所以对于汽车的安全投入便少之又少。
有分析认为,伴随物联网设备的迅速增长,安全如果没有受到保护,一旦受到攻击,无论对个人还是对企业而言,损害都是巨大的。赛门铁克公司亚太区大客户部副总裁兼大中华区总裁梅正宇透露,“物联网领域中,赛门铁克已经为10亿台物联网设备保驾护航,而Gartner预计,到2020年全球物联网设备将达到250亿台。未来,物联网的设备将进一步增长。”