一个家用摄像头,为什么可能威胁整个物联网?
上观新闻2019-05-29 16:53

科技.jpg

物联网时代,每一个智能硬件都可能变成攻击源头。

“IOT(物联网)时代的网络安全风险不容忽视,哪怕只是一个家用摄像头,因为接入了物联网,一旦被黑客攻克,就可能成为一个攻击源头,向整个物联网中的其他设备发起攻击。”网络安全公司奇安信集团总裁吴云坤用一组数据说明物联网时代网络安全的严峻形势:“上一代互联网连接的主要是电脑,全球不超过300亿台;现在的物联网连接的智能设备在中国就达到千亿级。所以,以前的黑客攻击网站、攻击电脑;现在的黑客攻击智能设备,并利用它作为物联网中的节点,造成更大的破坏。”在这样的背景下,哪怕是一个普通的家用摄像头,其背后的网络安全风险也绝非窃取用户隐私信息那么简单。

5月29日,2019补天白帽大会在上海召开。这是全国首个面向民间安全群体(业界俗称“白帽子”)和安全从业者、技术精英开放、专注于漏洞响应与防护的会议。除了吴云坤,盘古实验室首席科学家王铁磊、工控研究专家张钊、独立安全研究员kevin2600、iOS和MacOS领域专家jonathan levin、复旦大学计算机学院教授杨珉等业内知名专家学者,与众多白帽子一起进行了技术探讨,分享针对Web安全、移动安全、物联网安全、工控安全、密码安全、系统安全、二进制漏洞挖掘技术、软件逆向技术、关键信息基础设施保护、安全技术发展趋势等前沿话题,基本覆盖当前新技术环境下的网络安全隐患。

不少代表认为,瞄准网络安全漏洞的“黑产”必须引起重视,因为整个漏洞交易变现的链条正在从上中下游协作向一步到位变现靠拢,变现的方式也从传统货币升级为比特币等数字货币。同时,利用漏洞发起的网络攻击,尤其是对关键信息基础设施的攻击,将带来不可估量的损失。

以物联网设备为例,吴云坤介绍了部分最新出现的黑客攻击案例:第一种是人们已经熟悉的隐私泄漏,比如黑客入侵摄像头、智能手机等设备,窃取各种隐私。第二种是入侵生活生产中的各种探针,篡改探针数据,影响决策。他解释说,在物联网时代,很多人工难以到达或完成的信息收集工作已由探针完成,比如设置在特殊生产环境中的用以监控温度、压力变化的探针。这些探针通过物联网与其他设备相连,如果监测到的数据异于正常,就能借助物联网发送给其他设备,由其他设备及时应对,包括通知人工进行处置。这也是工业互联网中常见的应用场景。但黑客会入侵探针并篡改数据,从而对生产过程造成严重后果。第三种是黑客入侵物联网中某个智能设备后,以其作为源头,并基于物联网“物物相联”的特性,向其他智能设备发起进攻,如此产生的后果要比单一设备被“黑”来得严重得多。

吴云坤认为,眼下防范网络安全漏洞已经不能采取“创可贴”模式,即不能出现了问题再补救,而是要提前布局、从基础做起,“以前大家的网络安全意识不强,好比是草房子,要防范安全,只能加篱笆、加防盗门;但现在,大家都意识到网络安全的重要性,所以要从房屋设计、打地基开始考虑相应措施,包括提前部署全套安全系统。”他表示,防范思路的转变对即将全面应用的5G技术更加重要,“5G承载了大量数据,安全风险显著提升,所以5G的网络安全防范不仅要针对产品,更要提前做好底层的协议安全工作,在产品问世之前就建立系统性的防范体系。如果底层协议安全没保障,就好比房子的设计出了问题,造出来的房梁歪了,装再多的防盗门也没有用。”

正因为此,白帽子应对网络安全漏洞的方式也出现了改变。“网络安全的本质是攻防对抗。”业内人士认为,要通过“44333”的新一代网络安全体系思想,构建起一种应对和对抗“争夺权利和利益”的攻击者的能力。所谓“44333”包括:四个假设——假设系统一定有没被发现的漏洞、假设一定有已发现漏洞没打补丁、假设系统已经被黑、假设有内鬼;四新战略——以第三代网络安全技术为核心的新战具、以数据驱动安全技术为核心的新战力、以零信任架构为核心的新战术、以“人+机器”安全运营体系为核心的新战法;三位一体——高中低三位能力立体联动的体系;三同步——同步规划、同步建设和同步运营;三方制衡——将用户、云服务商和安全公司放在一个互相制约的机制下,从最大程度上杜绝漏洞。

据了解,补天白帽大会由补天漏洞响应平台主办,该平台是全国最大的专注于漏洞响应的第三方公益平台,总共吸引了超过5.2万名白帽子。

责任编辑:张世悬
打开客户端发表评论