日前,美國兩家網(wǎng)絡(luò)供應(yīng)商遭遇網(wǎng)絡(luò)攻擊,諸多知名網(wǎng)站一時(shí)間無法登陸,號稱半個(gè)美國互聯(lián)網(wǎng)被弄癱。后經(jīng)調(diào)查顯示,這是黑客利用病毒感染物聯(lián)網(wǎng)設(shè)備,進(jìn)而利用這些設(shè)備發(fā)起網(wǎng)絡(luò)攻擊。
作為互聯(lián)網(wǎng)大國的美國尚且遭此一劫,中國互聯(lián)網(wǎng)是否也會有此威脅?對于即將到來的物聯(lián)網(wǎng)時(shí)代、以及越來越多的智能硬件,我們的安全又由誰來保障?
物聯(lián)網(wǎng)搞定了互聯(lián)網(wǎng)?
在這次弄癱半個(gè)美國互聯(lián)網(wǎng)的事件中,物聯(lián)網(wǎng)被普遍認(rèn)為是“導(dǎo)火索”。360攻防實(shí)驗(yàn)室負(fù)責(zé)人劉健皓表示,此次感染病毒的物聯(lián)網(wǎng)設(shè)備數(shù)以十萬計(jì),包括網(wǎng)絡(luò)攝像頭等。主要原因還是這些接入互聯(lián)網(wǎng)的設(shè)備存在大量漏洞,有些漏洞屬于系統(tǒng)通用性漏洞,容易被控制,然后成為攻擊互聯(lián)網(wǎng)的“馬仔”。
雖然此次事件影響巨大,但多位業(yè)內(nèi)人士認(rèn)為,這次攻擊的技術(shù)含量并不高。
一位安全專家告訴記者,這次病毒攻擊的都是弱口令設(shè)備,攻擊門檻其實(shí)并不高。那些暴露在公網(wǎng)上的物聯(lián)網(wǎng)設(shè)備,如果都是簡單的初始默認(rèn)密碼,就很容易被攻擊。
為什么一次技術(shù)含量不高的攻擊,卻能造成這么大的傷害?
對此,專注物聯(lián)網(wǎng)安全投資的永洲創(chuàng)投創(chuàng)始合伙人陸一舟也告訴記者,因?yàn)槲锫?lián)網(wǎng)設(shè)備都講究通用性,不像每家的PC都各不相同,物聯(lián)網(wǎng)設(shè)備都是標(biāo)準(zhǔn)化的,一次出貨可能就是幾萬臺甚至幾十萬臺。一旦一個(gè)漏洞被發(fā)現(xiàn),黑客就能劫持一批產(chǎn)品,這個(gè)影響就非常大了。
更壞的消息是,這次美國的網(wǎng)絡(luò)事件可能只是一個(gè)開始。如果不加注意,將來物聯(lián)網(wǎng)引起的安全事件會比想象的更多。
空調(diào)能竊聽、插座能放火:智能硬件還有多少坑?
“現(xiàn)在的物聯(lián)網(wǎng)設(shè)備基本都是在‘裸奔’。”陸一舟直言不諱地告訴記者。
他向記者舉了一個(gè)例子,有家廠商為了檢測一款空調(diào)的噪音以改進(jìn)產(chǎn)品,就在空調(diào)里安裝了收集聲音的裝備,這些設(shè)備可以回傳眾多空調(diào)的分貝數(shù)。但就是這么一個(gè)裝備,很快被外部的安全專家發(fā)現(xiàn)了漏洞,只需要略施小計(jì),就可以將其變成“竊聽器”。當(dāng)每臺空調(diào)都可能變成一只竊聽器時(shí),想一想這有多可怕?
這可不是一家之言的危言聳聽,安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光也告訴記者,現(xiàn)在很多人家里都買了掃地機(jī)器人,這個(gè)機(jī)器人都有麥克、攝像頭等裝置,也需連接網(wǎng)絡(luò),這就相當(dāng)于是一臺潛在的監(jiān)控設(shè)備。一旦遭到攻擊,家庭隱私也就無處可藏。
至于現(xiàn)在很多人都在用的智能插座,更是有可能成為安全隱患。專家表示,現(xiàn)在的智能插座的安全漏洞是比較多的,如果被黑客攻破利用,輕則可制造一批用戶無故斷電,重則可以讓插座過載發(fā)熱,成為放火的“兇器”。
至于現(xiàn)在風(fēng)頭正勁的新能源車特斯拉,盡管其安全團(tuán)隊(duì)已經(jīng)足夠強(qiáng)大,但仍被攻破過??梢栽O(shè)想,如果黑客能遠(yuǎn)程遙控一輛智能汽車,對于車主將是件多么可怕的事情。
“PC和移動(dòng)端的設(shè)備漏洞,最多也就是謀財(cái)。但是物聯(lián)網(wǎng)的漏洞,真是可能害命的。”陸一舟告訴記者,“但是,現(xiàn)在很多向物聯(lián)網(wǎng)轉(zhuǎn)型的企業(yè),多數(shù)都是白色家電企業(yè)出身。他們的安全能力嚴(yán)重不足,固有思維是追求硬件的標(biāo)準(zhǔn)化,而黑客就是喜歡標(biāo)準(zhǔn)化的硬件。”
對此,網(wǎng)絡(luò)安全專家、安在創(chuàng)始人張耀疆告訴記者,當(dāng)前的物聯(lián)網(wǎng)設(shè)備廠商,很少真正關(guān)注并引入安全控制,物聯(lián)網(wǎng)設(shè)備的用戶也普遍缺乏安全意識,其安全狀況的慘淡就可想而知了。
拒絕還是擁抱物聯(lián)網(wǎng)?
一方面,物聯(lián)網(wǎng)時(shí)代已經(jīng)逐漸降臨,各類智能硬件產(chǎn)品層出不窮,消費(fèi)者購買的智能硬件也越來越多;而另一方面,物聯(lián)網(wǎng)的安全卻仍非常脆弱,甚至有專業(yè)人士認(rèn)為,大多數(shù)物聯(lián)網(wǎng)設(shè)備就是“裸奔”。
那么,作為消費(fèi)者,我們該如何應(yīng)對這些可能“裸奔”的智能設(shè)備呢?
多位業(yè)內(nèi)人士告訴記者,對于物聯(lián)網(wǎng)安全,消費(fèi)者能做的不多。肖新光告訴記者,“不像電腦、手機(jī)等設(shè)備具有諸如下載殺毒軟件等成熟的安全措施,智能硬件無法形成交互。”
為此,對于那些可能出現(xiàn)的安全問題,物聯(lián)網(wǎng)設(shè)備廠商們“責(zé)無旁貸”。
陸一舟告訴記者,因?yàn)槲锫?lián)網(wǎng)設(shè)備的發(fā)展方向是越來越傻瓜式,因此對廠商來說,就更需要重視物聯(lián)網(wǎng)安全,必須要加大對安全重視和投入。同樣,那些不注重安全的物聯(lián)網(wǎng)廠商,每一次安全事件的爆發(fā),也會讓他們在市場競爭中被淘汰。
肖新光認(rèn)為,關(guān)鍵是要在生產(chǎn)、設(shè)計(jì)等環(huán)節(jié)中如何融入安全基因,比如建立安全企業(yè)與智能硬件廠商之間的深度融合,從源頭嵌入安全能力。通過遠(yuǎn)程部署,建立響應(yīng)機(jī)制和聯(lián)動(dòng)機(jī)制。
此外,多位安全專家也提出,需要通過改變規(guī)則、制定法律等辦法來明確智能硬件廠商的安全責(zé)任,尤其對于隱私、數(shù)據(jù)的合理采集、合法使用及妥善保管等方面。這也是推動(dòng)廠商投入安全成本,防范其可能產(chǎn)生的關(guān)聯(lián)風(fēng)險(xiǎn)的有效辦法。
當(dāng)然,對于競爭相對白熱化的制造業(yè)企業(yè)來說,安全投入多少才夠,這也是件需要摸索的事。業(yè)內(nèi)人士對此也更多是觀望。
張耀疆告訴記者,“物聯(lián)網(wǎng)安全可能是一個(gè)潛在的藍(lán)海市場。只不過,物聯(lián)網(wǎng)安全企業(yè)的商業(yè)模式還有待探尋。畢竟,制造業(yè)成本控制才是基本的生存之道。”