360老板周鴻祎在一次談話中提到了特斯拉所存在的問題,他說:“特斯拉在2017年以后出廠的車都存在漏洞,無論是停車后開啟車門,還是在開車的過程中,我都可以對其進行干擾。”
汽車對安全性的要求是非常高的,如果汽車都可以被干擾或操控,那么后果簡直不敢想象。據說,360的周老板還專門和埃隆·馬斯克探討特斯拉的安全性問題,首富惱羞成怒,就不再搭理周老板了。這里涉及到一個物聯網領域非常重要的問題:安全問題。
物聯網旨在把網絡從傳統的人與人之間拓展到人與物以及物與物的網絡,不僅使個人可以更方便地獲取身邊的多種信息、操控聯網的設備,還可以在沒有人為干涉的情況下使設備之間聯網,收集和交換數據,提供了將物理世界更直接地集成到基于計算機的系統的平臺。
IoT安全的內容
物聯網的典型應用包括智能家居、能源、城市交通、醫療保健、工業制造等領域,和人們的生活息息相關。隨著物聯網技術越來越深入生產和生活的各種場景,物聯網系統的安全性問題也越來越重要,因為可能關系到財產安全和生命安全。
想象一下,惡意黑客可以監控人們家里的智能設備,盜竊并販賣個人的各種隱私數據;可以通過惡意操控智能交通的設施如交通燈等,直接造成交通的混亂,威脅個人的生命安全;甚至可以控制一個城市的水電煤氣等基礎設施,造成斷水斷電等極端情況。
今天就來聊一下物聯網系統中可能遇到的安全風險有哪些。按照物聯網系統端、管、云的架構,我們也把安全風險分為終端(設備)安全風險、管道(網絡)安全風險和云服務(應用)安全風險三大類。
終端設備是物聯網系統中風險最高的環節,也是最容易被攻擊的。在傳統計算機中曾經面臨的安全風險,對于物聯網終端設備也同樣存在,本質上物聯網設備也是一臺計算機。
弱口令問題在有人使用的系統中是普遍存在的問題,物聯網終端設備也不例外。因為大部分人都不愿意去記憶強度很高的口令,而習慣于使用固定口令或簡單好記的口令。這樣就導致終端應用的安全口令比較容易被猜到或者被暴力破解。生物特征代替口令是一個解決辦法,不過這樣會增加硬件成本。
弱身份認證是物聯網設備普遍存在的問題。身份認證是物聯網終端入網前的必要環節,也是設備傳輸可信數據的前提條件。終端設備的身份信息存在被篡改的可能性,因此需要一套身份認證機制來保障接入終端身份的可靠性。
安全漏洞問題對于計算機系統來說也是非常常見的,很多個人電腦被黑客操控以后,可用來發動DDOS攻擊或者發送垃圾郵件。對外提供服務的物聯網終端設備應本著“最小權限原則”只對外開放必要的端口和服務。通過漏洞掃描機制,及時發現系統漏洞,并給予修復。
僵尸物聯網相比傳統僵尸網絡(botnet)可以造成的破壞力更大。低成本的物聯網設備不可避免地降低了安全等級,更容易被惡意代碼植入,進而成為僵尸網絡的節點。以數量龐大的物聯網設備為主體,它的攻擊不僅能影響虛擬網絡本身,而且還能延伸到人們的物理生活環境。
物聯網通信協議標準是多樣化的,很多技術在最初設計的是否并沒有考慮到安全性問題,也沒有納入安全監控機制,比如藍牙等,這樣就存在管道攻擊的風險。
中間人攻擊是管道攻擊的常見方式。中間人攻擊(MITMA:man in the middle attack)是指攻擊者將自己接入到終端和云端之間,欺騙終端或云端服務器,從而達到竊取終端和云端之間的通信數據的目的。
中間人攻擊一般通過偽造CA證書的方式來劫持通信
物聯網卡也存在不小的風險,有很多不法分子利用物聯網卡發送詐騙短信。安裝在物聯網設備中的物聯網卡,應當是嚴格限制功能權限,比如13位號碼的物聯網卡沒有語音和短信功能。物聯網卡應當專項使用,尤其是不能安裝在手機等個人設備中。
對于物聯網卡的流通渠道也需要完善的監管體系。2020年5月份,工信部發布工信廳通信〔2020〕25號文,即《工業和信息化部辦公廳關于深入推進移動物聯網全面發展的通知》中提到了對于物聯網卡違規使用行為的懲治以及打擊措施。
物聯網云端最主要的安全內容包括:接口安全、身份安全和數據安全。
接口安全:物聯網API接口眾多,容易被惡意攻擊者攻擊,比如發動DDoS攻擊。大型的云平臺都有提供高防服務器來應對DDoS襲擊。
身份安全:物聯網終端的身份容易被偽造,物聯網云平臺要對接入終端進行嚴格的身份認證,確保接入終端的身份真實可靠,上傳數據真實可信。
數據安全:物聯網系統產生的大量數據是重要資產,如果數據存儲系統的漏洞被利用,則有可能導致數據泄露。
針對云、管、端所面臨的安全風險,需要有完整的安全防護方案,才能保證物聯網應用的安全可靠運行。
我會持續更新關于物聯網、云原生、數字科技方面的文章,用簡單的語言描述復雜的技術,也會偶爾發表自己對IT產業的看法,請大家多多關注,歡迎留言和轉發,希望與大家互動交流,謝謝。
搜浪信息科技發展(上海)有限公司 備案號:滬ICP備17005676號
