物联网如何成了“危”联网

日前,美国两家网络供应商遭遇网络攻击,诸多知名网站一时间无法登陆,号称半个美国互联网被弄瘫。后经调查显示,这是黑客利用病毒感染物联网设备,进而利用这些设备发起网络攻击。

作为互联网大国的美国尚且遭此一劫,中国互联网是否也会有此威胁?对于即将到来的物联网时代、以及越来越多的智能硬件,我们的安全又由谁来保障?

物联网搞定了互联网?

在这次弄瘫半个美国互联网的事件中,物联网被普遍认为是“导火索”。360攻防实验室负责人刘健皓表示,此次感染病毒的物联网设备数以十万计,包括网络摄像头等。主要原因还是这些接入互联网的设备存在大量漏洞,有些漏洞属于系统通用性漏洞,容易被控制,然后成为攻击互联网的“马仔”。

虽然此次事件影响巨大,但多位业内人士认为,这次攻击的技术含量并不高。

一位安全专家告诉记者,这次病毒攻击的都是弱口令设备,攻击门槛其实并不高。那些暴露在公网上的物联网设备,如果都是简单的初始默认密码,就很容易被攻击。

为什么一次技术含量不高的攻击,却能造成这么大的伤害?

对此,专注物联网安全投资的永洲创投创始合伙人陆一舟告诉记者,因为物联网设备都讲究通用性,不像每家的PC都各不相同,物联网设备都是标准化的,一次出货可能就是几万台甚至几十万台。一旦一个漏洞被发现,黑客就能劫持一批产品,这个影响就非常大了。

更坏的消息是,这次美国的网络事件可能只是一个开始。如果不加注意,将来物联网引起的安全事件会比想象的更多。

智能硬件有多少坑?

“现在的物联网设备基本都是在‘裸奔’。”陆一舟直言不讳地告诉记者。

他向记者举了一个例子,有家厂商为了检测一款空调的噪音以改进产品,就在空调里安装了收集声音的装备,这些设备可以回传众多空调的分贝数。但就是这么一个装备,很快被外部的安全专家发现了漏洞,只需要略施小计,就可以将其变成“窃听器”。当每台空调都可能变成一只窃听器时,想一想这有多可怕?

这可不是一家之言的危言耸听,安天实验室首席技术架构师肖新光也告诉记者,现在很多人家里都买了扫地机器人,这个机器人都有麦克、摄像头等装置,也需连接网络,这就相当于是一台潜在的监控设备。一旦遭到攻击,家庭隐私也就无处可藏。

至于现在很多人都在用的智能插座,更是有可能成为安全隐患。专家表示,现在的智能插座的安全漏洞是比较多的,如果被黑客攻破利用,轻则可制造一批用户无故断电,重则可以让插座过载发热,成为放火的“凶器”。

至于现在风头正劲的新能源车特斯拉,尽管其安全团队已经足够强大,但仍被攻破过。可以设想,如果黑客能远程遥控一辆智能汽车,对于车主将是件多么可怕的事情。

“PC和移动端的设备漏洞,最多也就是谋财。但是物联网的漏洞,真是可能害命的。”陆一舟告诉记者,“但是,现在很多向物联网转型的企业,多数都是白色家电企业出身。他们的安全能力严重不足,固有思维是追求硬件的标准化,而黑客就是喜欢标准化的硬件。”

对此,网络安全专家、安在创始人张耀疆告诉记者,当前的物联网设备厂商,很少真正关注并引入安全控制,物联网设备的用户也普遍缺乏安全意识,其安全状况的惨淡就可想而知了。

物联网时代如何保障安全?

一方面,物联网时代已经逐渐降临,各类智能硬件产品层出不穷,消费者购买的智能硬件也越来越多;而另一方面,物联网的安全却仍非常脆弱,甚至有专业人士认为,大多数物联网设备就是“裸奔”。

那么,作为消费者,我们该如何应对这些可能“裸奔”的智能设备呢?

多位业内人士告诉记者,对于物联网安全,消费者能做的不多。肖新光告诉记者,“不像电脑、手机等设备具有诸如下载杀毒软件等成熟的安全措施,智能硬件无法形成交互。”

因此,对于那些可能出现的安全问题,物联网设备厂商们“责无旁贷”。

陆一舟告诉记者,因为物联网设备的发展方向是越来越傻瓜式,因此对厂商来说,就更需要重视物联网安全,必须要加大对安全保障的重视和投入。同样,那些不注重安全的物联网厂商,每一次安全事件的爆发,也会让他们在市场竞争中被淘汰。

肖新光认为,关键是要在生产、设计等环节中如何融入安全基因,比如建立安全企业与智能硬件厂商之间的深度融合,从源头嵌入安全能力。通过远程部署,建立响应机制和联动机制。

此外,多位安全专家也提出,需要通过改变规则、制定法律等办法来明确智能硬件厂商的安全责任,尤其是厂商对于隐私、数据的合理采集、合法使用及妥善保管等方面的安全责任。这也是推动厂商投入安全成本,防范其可能产生的关联风险的有效办法。

当然,对于竞争相对白热化的制造业企业来说,安全投入多少才够,这也是件需要摸索的事。业内人士对此也更多是观望。

张耀疆告诉记者,“物联网安全可能是一个潜在的蓝海市场。只不过,物联网安全企业的商业模式还有待探寻。毕竟,对制造业而言,成本控制才是基本的生存之道。”

本文转自d1net(转载)

上一篇:《Linux内核修炼之道》——1.4 Linux发行版


下一篇:MySQL内核月报 2014.11-TokuDB· 版本优化· 7.5.0