物聯網安全隱患如影相隨 您家的路由器安全嗎

發佈時間:2018-04-09 16:04:16 | 來源來源:人民日報 | 作者:喻思南 | 責任編輯:肖寒


WiFi如果存在重大安全漏洞,幾乎能影響所有無線設備。人民視覺


如今,我們的生活越來越智慧,萬物互聯時代悄然來臨,小至路由器、智慧音箱、冰箱,大到汽車、工業設備,越來越多的物品都接入了網際網路。然而,迅猛發展的物聯網在給人們帶來便利的同時,安全隱患也如影相隨,成為物聯網産業發展的一個痛點。


不久前,《2017物聯網安全年報》(以下簡稱《年報》)由北京神州綠盟資訊安全科技股份有限公司(以下簡稱“綠盟科技”)發佈,顯示了我國物聯網安全的現狀、特點以及面臨的主要安全風險。


安全隱患知多少


一台設備被感染成為“僵屍主機”,就會“傳染”其他設備,組成大規模的物聯網“僵屍網路”


現在路由器成了很多家庭的“標配”,大多數路由器通過IPv4地址單向連接網際網路,外部網路無法反過來主動訪問。但以路由器為代表的物聯網設備數量眾多,還有大量路由器不能被完全遮罩,存在被外面“看見”的風險。《年報》顯示,目前具有安全風險的物聯網設備中,路由器和視頻監控設備暴露在網際網路上的數量最多。比如,國內暴露在網際網路上的路由器就超過1000萬台。這些暴露出來的設備,一旦存在漏洞,就有被攻擊的風險。


綠盟科技物聯網安全實驗室研究員張星説,近年來許多新型智慧設備接入網際網路,但安全風險仍然集中在相對傳統、應用比較成熟的設備上,它們也是感染惡意代碼的主要物聯網設備。


《年報》還監測到,一些數量較少的物聯網設備也存在安全隱患。比如,商用車的遠端通信統一網關、網路恒溫器等可能面臨遠端登錄無密碼保護、設備停産缺乏安全維護等風險。不單是硬體,《年報》指出,物聯網一些常用的作業系統同樣存在不同程度的安全問題。很多物聯網設備通過雲端連通,而長時間連接雲服務,安全隱患將會增加。


“現實中,很多物聯網設備工作場景不得不長期和‘雲’連接。伴隨著物聯網應用的深入,雲服務將更加普遍。我們監測到,一些攻擊者已經把目光從網頁和郵件等傳統服務轉向新興的物聯網服務。”綠盟科技首席架構師楊傳安説,大數據時代,網路攻擊的目的性更強,攻擊的技術手段增多、技術更高、更隱蔽,駭客可能為了利益,而對物聯網雲服務實施攻擊。


楊傳安認為,物聯網由多種設備組成,互聯互通的環境使得安全風險快速擴散和傳播。因此,要從整體全局考慮安全防護。某個物聯網設備存在安全隱患,並不只影響單個設備,還可能引發系統性的安全事件。


比如,某些設備中存在的弱密碼、已知漏洞等風險,可能被惡意代碼感染成為“僵屍主機”。一方面,這些被感染的設備會“傳染”其他設備,組成大規模的物聯網“僵屍網路”;另一方面,它們接受並執行來自控制伺服器的指令後,一旦發動大規模DDoS(分佈式拒絕服務)攻擊,將會對網際網路基礎設施造成嚴重的破壞。


對物聯網安全重視不夠


當前不少物聯網設備生産廠商側重追求新功能,對安全重視不足


物聯網正加速融入人們的生産生活。知名IT諮詢機構高德納諮詢公司(Gartner)預測,2015年至2020年,物聯網終端年均複合增長率將達到33%,安裝基數將達到204億台,其中2/3為消費者應用。


哈爾濱工業大學電腦學院教授張偉哲介紹,當前主流的物聯網管理模式有直連模式、網關模式和雲模式。直連模式是指管理端與終端之間不經過其他節點直接相連,這種模式一般用於近距離通信,例如無線藍芽、WiFi熱點等;網關模式主要用於家庭和企業局域網,一般用於近距離管理多個終端;雲模式是指用戶通過雲服務管理各種設備,其特點是突破了設備管理的地理區域限制,比如智慧家居和工業雲服務。


“不論在哪種模式下,目前都難以完全杜絕安全隱患。作為一種新技術,物聯網的行業標準以及相關管理剛剛起步,但物聯網基數大、擴散快、技術門檻低,已經成為網際網路上不得不重視的安全問題。”張偉哲説。


2017年8月,浙江某地警方破獲一個犯罪團夥,在網上製作和傳播家庭攝像頭破解入侵軟體。查獲被破解入侵家庭攝像頭IP近萬個,涉及浙江、雲南、江西等多個省份。安全專家表示,一旦攻擊者獲得遠端控制許可權,即便是小小的攝像頭也能夠成為洩露用戶隱私的元兇。


360無線電安全研究院負責人楊卿表示,不少物聯網設備需要依賴WiFi、藍芽、GPS衛星導航等無線電通信技術,一旦某個通信協議出現漏洞,將會引發大量安全問題及安全事故。比如,惡意WiFi熱點可能設置釣魚網站,攝像頭、麥克風可能洩露人們隱私等。


《年報》認為,物聯網安全問題突出,反映了當前不少物聯網設備生産廠商對安全重視不足。“物聯網設備常見脆弱點有硬體介面暴露、弱密碼、資訊洩露、未授權訪問等,這些安全問題技術水準並不高,如果有安全團隊協助做工作,是可以防患于未然的。”楊傳安説。他認為,對一些設備生産廠商來説,往往側重追求新功能而忽略安全性。物聯網設備基數龐大,加上安全防護脆弱,物聯網威脅將逐漸成為網際網路的常態。


張星説,無論是升級、配置還是補丁維護等,物聯網行業都非常薄弱。當前對物聯網的攻擊手段與傳統的手段並無不同,只是它們在物聯網領域找到了發揮空間。比如,網路嗅探、遠端代碼執行、中間人攻擊等,都是傳統攻擊手段在物聯網場景中的應用。


物聯網安全如何防控


大流量攻擊在未來將成為常態,每個物聯網參與方都應針對性地部署防護措施


楊傳安説,在大數據時代,任何一點安全風險都可能被放大,造成個人資訊洩露、財産損失甚至人身安全等問題,給人們生活和社會運作帶來影響。


“物聯網的安全威脅遠未見頂,物聯網應用的最終追求是萬物互聯,實現資訊共用,並通過搭建高度自動化和智慧化的系統,為人們的日常生活提供便利。隨著物聯網在社會生活中的普及,應用場景不斷豐富,安全風險也將隨之增加。”楊傳安説。


《年報》認為,物聯網的DDoS大流量攻擊在未來將成為常態。這是因為物聯網設備增多帶來規模效應,最直接的負面影響就是攻擊者發起DDoS攻擊應用將變得更加容易。安全專家表示,從實施的難度、運營的成本、風險與收益來看,DDoS攻擊是一種有效的攻擊形式,在相當長的時間內,仍將是一種常見的攻擊方式。


《年報》分析,當前,物聯網應用還較新,在監管機構出臺相關法律法規前,廠商缺少動力將安全置於整個産業鏈中。


“從當下的市場環境看,廠商強調智慧化的功能設計,求新求快是物聯網行業中的主流,安全反倒是可有可無的選項,這讓物聯網環境更加具有脆弱性。”楊傳安説。


綠盟科技物聯網安全解決方案總監劉弘利説,應對物聯網安全問題,涉及物聯網設備提供商、物聯網平臺提供商、網路提供商和普通用戶等多個參與方,每個環節、每個參與者都應有所作為。


劉弘利建議,不同的物聯網參與方可根據自身特點,有針對性地部署防護措施:物聯網設備提供商要保障終端安全,引入安全開發流程提升終端安全性,並在産品上市前進行安全評估;物聯網平臺提供商應重點關注平臺安全和設備、移動端與自身的連接是否安全。因為在平臺安全中,物聯網終端數據大多包含隱私資訊,數據安全變得尤為重要。


“無論是家庭還是企業用戶,都應把安全作為一個重要的關注點。選購産品時優先考慮採用有安全網關的産品。”劉弘利説。他還建議,用戶在購買智慧産品後,應該盡可能修改初始密碼以及弱密碼,加固用戶名和密碼的安全性。同時,修改默認端口為不常用端口,增大端口開放協議被探測的難度,並及時升級設備固件。