360老板周鸿祎在一次谈话中提到了特斯拉所存在的问题,他说:“特斯拉在2017年以后出厂的车都存在漏洞,无论是停车后开启车门,还是在开车的过程中,我都可以对其进行干扰。”
汽车对安全性的要求是非常高的,如果汽车都可以被干扰或操控,那么后果简直不敢想象。据说,360的周老板还专门和埃隆·马斯克探讨特斯拉的安全性问题,首富恼羞成怒,就不再搭理周老板了。这里涉及到一个物联网领域非常重要的问题:安全问题。
物联网安全
物联网旨在把网络从传统的人与人之间拓展到人与物以及物与物的网络,不仅使个人可以更方便地获取身边的多种信息、操控联网的设备,还可以在没有人为干涉的情况下使设备之间联网,收集和交换数据,提供了将物理世界更直接地集成到基于计算机的系统的平台。
IoT安全的内容
物联网的典型应用包括智能家居、能源、城市交通、医疗保健、工业制造等领域,和人们的生活息息相关。随着物联网技术越来越深入生产和生活的各种场景,物联网系统的安全性问题也越来越重要,因为可能关系到财产安全和生命安全。
想象一下,恶意黑客可以监控人们家里的智能设备,盗窃并贩卖个人的各种隐私数据;可以通过恶意操控智能交通的设施如交通灯等,直接造成交通的混乱,威胁个人的生命安全;甚至可以控制一个城市的水电煤气等基础设施,造成断水断电等极端情况。
今天就来聊一下物联网系统中可能遇到的安全风险有哪些。按照物联网系统端、管、云的架构,我们也把安全风险分为终端(设备)安全风险、管道(网络)安全风险和云服务(应用)安全风险三大类。
终端安全风险
终端设备是物联网系统中风险最高的环节,也是最容易被攻击的。在传统计算机中曾经面临的安全风险,对于物联网终端设备也同样存在,本质上物联网设备也是一台计算机。
弱口令问题在有人使用的系统中是普遍存在的问题,物联网终端设备也不例外。因为大部分人都不愿意去记忆强度很高的口令,而习惯于使用固定口令或简单好记的口令。这样就导致终端应用的安全口令比较容易被猜到或者被暴力破解。生物特征代替口令是一个解决办法,不过这样会增加硬件成本。
弱身份认证是物联网设备普遍存在的问题。身份认证是物联网终端入网前的必要环节,也是设备传输可信数据的前提条件。终端设备的身份信息存在被篡改的可能性,因此需要一套身份认证机制来保障接入终端身份的可靠性。
安全漏洞问题对于计算机系统来说也是非常常见的,很多个人电脑被黑客操控以后,可用来发动DDOS攻击或者发送垃圾邮件。对外提供服务的物联网终端设备应本着“最小权限原则”只对外开放必要的端口和服务。通过漏洞扫描机制,及时发现系统漏洞,并给予修复。
僵尸物联网相比传统僵尸网络(botnet)可以造成的破坏力更大。低成本的物联网设备不可避免地降低了安全等级,更容易被恶意代码植入,进而成为僵尸网络的节点。以数量庞大的物联网设备为主体,它的攻击不仅能影响虚拟网络本身,而且还能延伸到人们的物理生活环境。
管道安全风险
物联网通信协议标准是多样化的,很多技术在最初设计的是否并没有考虑到安全性问题,也没有纳入安全监控机制,比如蓝牙等,这样就存在管道攻击的风险。
中间人攻击是管道攻击的常见方式。中间人攻击(MITMA:man in the middle attack)是指攻击者将自己接入到终端和云端之间,欺骗终端或云端服务器,从而达到窃取终端和云端之间的通信数据的目的。
中间人攻击一般通过伪造CA证书的方式来劫持通信
物联网卡也存在不小的风险,有很多不法分子利用物联网卡发送诈骗短信。安装在物联网设备中的物联网卡,应当是严格限制功能权限,比如13位号码的物联网卡没有语音和短信功能。物联网卡应当专项使用,尤其是不能安装在手机等个人设备中。
对于物联网卡的流通渠道也需要完善的监管体系。2020年5月份,工信部发布工信厅通信〔2020〕25号文,即《工业和信息化部办公厅关于深入推进移动物联网全面发展的通知》中提到了对于物联网卡违规使用行为的惩治以及打击措施。
云服务安全风险
物联网云端最主要的安全内容包括:接口安全、身份安全和数据安全。
接口安全:物联网API接口众多,容易被恶意攻击者攻击,比如发动DDoS攻击。大型的云平台都有提供高防服务器来应对DDoS袭击。
身份安全:物联网终端的身份容易被伪造,物联网云平台要对接入终端进行严格的身份认证,确保接入终端的身份真实可靠,上传数据真实可信。
数据安全:物联网系统产生的大量数据是重要资产,如果数据存储系统的漏洞被利用,则有可能导致数据泄露。
针对云、管、端所面临的安全风险,需要有完整的安全防护方案,才能保证物联网应用的安全可靠运行。
