现在身边能连网的设备越来越多了,甚至连一台冰箱都有和几年前的手机一样的计算能力,黑客们似乎也发现了这一点。
去年10月,美国发生了一起全国性的网络瘫痪事件,这导致 Twitter、Amazon 和 Paypal 在内的多家网站无法登陆,两个半小时后,这些网站才开始陆续恢复。
安全专家认为,这起事件主要来自于物联网设备。一款叫做 Mirai 的恶意软件感染了大量存在漏洞的物联网设备,包括智能摄像头、智能网关、智能家电等等。被感染后,这些本来为人们服务的设备瞬间变成了僵尸网络中的肉鸡设备,并被用于大规模 DDos 攻击。
让你的设备做一些可怕的事
DDos,全称“Distributed Denial of Service”,中文名叫分布式拒绝服务,其原理是将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDos 攻击,从而成倍地提高拒绝服务攻击的威力。
简单解释起来就是控制大量计算机,然后用虚假的访问来耗光攻击目标的全部服务器资源,导致正常用户无法访问。这就相当于一个恶霸带着一群小混混挤满了一家饭店,但不在这里进行任何消费,却令真正的消费者无法进入饭店。
“肉鸡”、“僵尸”都是指这些被控制的计算机。过去,会成为肉鸡的一般都是个人电脑以及少量智能手机。但随着网络安全技术的发展和人们防范意识的提升,这种攻击的成本越来越高了,所以人们相对没那么在意的物联网设备成了新的攻击目标。
2013年,美国知名黑客萨米·卡姆尔在 Youtube 发布了一段视频,展示他如何使用一项名为 Skyjack 的技术,使一架基本款民用无人机能够定位并控制在其附近飞行的其他无人机。看起来好像没什么危害,但如果这种事情发生在机场呢?虽然现在的无人机都设置了限飞区域,但这种限制对黑客来说,只是一道肥皂泡一样的屏障。
2015年2月2日,德国汽车协会 ADAC 在一份报告中称,劳斯莱斯幻影、MINI 掀背车和宝马 i3 电动车在内的绝大部分宝马品牌车型存在设计缺陷,大约有220万辆配备 ConnectedDrive 数字服务系统的汽车存在安全漏洞,黑客可以利用这些漏洞远程打开车门。想象一下,在高速公路上,一辆疾驰的汽车车门突然打开,这可能会引起怎样的连锁反应?
多米诺般的跳板效应
对个人来说,物联网攻击的目的主要集中于危害生命财产安全、窃取信息,以及恶意敲诈等。理论上来说,使用的物联网设备越多,遭到这种攻击时的损失就会越大。
一个木桶的容量由最短的那一块来决定,而一个物联网系统的安全性,也由最薄弱的那个环节来决定,这在网络安全领域叫做“跳板效应”,既物联网中的任何一个设备被攻击后,都会成为入侵其他设备的跳板。
现在假设你的邻居老王送给你一个动过手脚的智能插座,你高兴地接过来开始使用。
老王回到家,发现你把空调插到了插座上,现在他可以控制你空调的开关了,不过他对这个并没有什么兴趣,毕竟在晚上关了空调最多只是让你出出汗而已。
第二天下班,你拿出了这个插座的说明书,按照指示把它接入了家里的 WiFi 网络中,你发现你现在可以在回家之前就用手机 App 遥控打开空调了,然后你还拿到老婆面前炫耀了一番。
老王在隔壁默默抽着烟,屏幕上显示插座接入网络的那一刻,他轻哼了一声,然后把烟头狠狠地按熄在烟灰缸里,夕阳下,还留着点余温的烟蒂上飘出了最后一缕薄烟。
智能冰箱、智能洗衣机、电脑、智能摄像头、智能镜子,现在你的全部物联网设备在老王面前都如裸体一般。
一个星期后,你接到一个奇怪的电话,电话里的人说他们掌握了你的大量个人信息和数据资料,如果你不在明天之前转一笔钱到固定的账户上,就会把它们卖到网络黑市。你以为是诈骗电话,直接挂掉了。
又过了两个小时,你收到了一封名为“最后通牒”的邮件,你下意识地点开它,眼前的东西瞬间就让你的呼吸变得急促,那是浴室里智能镜子拍摄到的你和你老婆洗澡时的视频影像,按理来说,那个摄像头只有你主动开启时才会启动,是用来和房间里的人临时通话的。
一块跳板,让你家里的网络安全系统轰然倒塌。
先把路走稳再说
预计到2020年,全球物联网设备将达到200亿台,而这些设备都有可能会被黑客所利用。
目前对于物联网设备,可以采取的安全措施大概可以分为四类。一是前端,即用户的设备端,通过增加设备本身的可靠性来降低风险,比如提高生物识别模块的准确度;二是网络,即防范数据传输过程中可能出现的安全风险;三是系统和数据库,即防范操作系统、通用应用平台系统方面存在的风险以及威胁到信息数据库的安全风险;四是应用、管理、终端,即防范实现业务应用自身及应用交互过程中的安全风险,防范网络和系统管理不善产生的风险,防范控制终端及其操作系统面临的风险。
不过放眼整个智能家居行业,很少有企业能在上述所有方面都做到保证,毕竟涉及的领域太广泛了。比较靠谱的解决方案是企业间的合作,而这种方式涉及到很多利益关系,导致在整个物联网系统中,很容易出现薄弱环节。通过建立物联网安全标准,可以比较有效地解决这一问题,但国内至今还没有一套完整的物联网安全标准。
所以还是先学会走稳再想着跑吧,没有安全作为前提,或许人们更希望物联网的“元年”、“爆发”永远都不要到来。