智能硬件安全漏洞頻出 物聯(lián)網(wǎng)安全如何保障？

　　附一張2015年3月份后廠村附近已經(jīng)被共享的WiFi熱點(diǎn)分布圖，相信今年隨著更多互聯(lián)網(wǎng)公司入駐，后廠村的共享WiFi熱點(diǎn)又更加壯觀了。

　　工控物聯(lián)網(wǎng)事關(guān)國(guó)家安全

　　家用物聯(lián)網(wǎng)設(shè)備，或者所謂智能硬件設(shè)備的安全性，之所有大家開(kāi)始關(guān)注，是因?yàn)橄M(fèi)級(jí)市場(chǎng)開(kāi)始增長(zhǎng)，與個(gè)人的關(guān)系越來(lái)越密切。但消費(fèi)級(jí)智能產(chǎn)品的安全性只是冰山一角，更重要的、甚至涉及國(guó)計(jì)民生的，是工業(yè)物聯(lián)網(wǎng)的安全性。

　　匡恩網(wǎng)絡(luò)首席戰(zhàn)略官孫一桉曾參與網(wǎng)信辦及公安部對(duì)全國(guó)工業(yè)系統(tǒng)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查。孫一桉稱(chēng)，檢查中這些單位的安全狀況可以用“觸目驚心”來(lái)形容。孫一桉稱(chēng)，在2014年的一次檢查中，可以說(shuō)“你想到的問(wèn)題他們有，你想不到的他們也有，跟我們生活息息相關(guān)的幾樣?xùn)|西也有，像燃?xì)?、電、水，因?yàn)樗腿細(xì)猬F(xiàn)在很多時(shí)候都是智能化的，以后都有無(wú)線控制，而無(wú)線是公開(kāi)，誰(shuí)都可以攻入并破壞?！?/p>

　　即便如此，進(jìn)入公眾視野的工控物聯(lián)網(wǎng)安全事件也少得可憐。因?yàn)閲?guó)內(nèi)很多企業(yè)并不愿意對(duì)外披露這種事件，這也造成國(guó)內(nèi)對(duì)這種工控領(lǐng)域的網(wǎng)絡(luò)安全事件感知幾乎為零。迄今為止，對(duì)外報(bào)道的絕大多數(shù)還是國(guó)外的網(wǎng)絡(luò)安全事件。

　　數(shù)據(jù)顯示，工控網(wǎng)絡(luò)安全事件在近幾年呈現(xiàn)穩(wěn)步增長(zhǎng)的趨勢(shì)，2015年被ICS-CERT(美國(guó)工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組)收錄的攻擊事件達(dá)到295件。其中，2016年4月底，德國(guó)貢德雷明根核電站B機(jī)組一臺(tái)電腦的操作系統(tǒng)中發(fā)現(xiàn)了病毒。2016年1月底，以色列國(guó)家電網(wǎng)遭受大規(guī)模網(wǎng)絡(luò)攻擊。2016年1月，烏克蘭最大的機(jī)場(chǎng)遭受網(wǎng)絡(luò)攻擊。2015年12月，黑客入侵烏克蘭電網(wǎng)，造成多個(gè)地區(qū)停電，在嚴(yán)冬季度導(dǎo)致約140萬(wàn)個(gè)家庭無(wú)電可用。2014年底，韓國(guó)核電站遭黑客攻擊致使文件資料外泄。2010年9月，伊朗約3萬(wàn)個(gè)網(wǎng)絡(luò)終端感染“震網(wǎng)”病毒，病毒給伊朗布什爾核電站造成嚴(yán)重影響，并導(dǎo)致放射性物質(zhì)泄漏。

　　由于涉及國(guó)計(jì)民生，工控網(wǎng)絡(luò)安全領(lǐng)域正在成為反恐的新戰(zhàn)場(chǎng)。

　　據(jù)了解，2016年3月，美國(guó)國(guó)防部長(zhǎng)卡特首次承認(rèn)，美國(guó)使用網(wǎng)絡(luò)手段攻擊了敘利亞ISIS組織。在2015年5月，美國(guó)商務(wù)部提交了新的出口限制禁令，將未公開(kāi)的軟件漏洞代碼視為潛在武器。同時(shí)，美國(guó)還公布了《瓦森納協(xié)定》修改草案，其中涉及把限制黑客技術(shù)放入全球武器貿(mào)易的條約，新規(guī)則規(guī)定美國(guó)企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況是一種出口行為，需預(yù)先申請(qǐng)政府許可，否則將被視為非法。之前烏克蘭、伊朗、韓國(guó)等國(guó)家基礎(chǔ)設(shè)施受到的攻擊，也被認(rèn)為背后有別的國(guó)家支持有關(guān)。據(jù)孫一桉透露，僅西門(mén)子某工業(yè)設(shè)備上的一個(gè)漏洞，在黑產(chǎn)鏈上的交易價(jià)格就高達(dá)幾十萬(wàn)歐元。

　協(xié)同合作是物聯(lián)網(wǎng)安全的出路?

　　黑客老鷹(萬(wàn)濤)的公司專(zhuān)門(mén)搭建了一個(gè)別墅級(jí)智能硬件專(zhuān)區(qū)。在這里可以深度體驗(yàn)國(guó)內(nèi)外的智能硬件產(chǎn)品，當(dāng)然也可以研究智能硬件的安全性，并給廠商提供相關(guān)安全建議。有一天，黑客老鷹發(fā)現(xiàn)他掛在公網(wǎng)上的一個(gè)Broadlink插座突然被關(guān)機(jī)了。這也說(shuō)明，Broadlink的這款插座，已經(jīng)被黑客破解。單一的事件有時(shí)不能說(shuō)明問(wèn)題，但Broadlink的數(shù)據(jù)顯示，僅2015年，其WiFi智能模塊的出貨量就超過(guò)500萬(wàn)片，其服務(wù)超過(guò)200家企業(yè)，包括家電、電工以及智能硬件行業(yè)，真實(shí)聯(lián)網(wǎng)設(shè)備超過(guò)8百萬(wàn)臺(tái)。與之規(guī)模相當(dāng)，另一家模塊廠商慶科，2015年出貨量也有500萬(wàn)片，超過(guò)300多家國(guó)內(nèi)廠商使用了其模塊。今年上半年其出貨量呈現(xiàn)明顯增長(zhǎng)勢(shì)頭，半年的時(shí)間出貨量就達(dá)300萬(wàn)片，國(guó)內(nèi)300多家設(shè)備廠商的支持。

　　當(dāng)某個(gè)品牌WiFi模塊的安全漏洞被黑客大規(guī)模利用后，破壞的用戶數(shù)量足夠龐大，這種消費(fèi)級(jí)的安全問(wèn)題就會(huì)上升到國(guó)家戰(zhàn)略安全層面。還好，Broadlink表示，那個(gè)漏洞后來(lái)已經(jīng)被修補(bǔ)。為了增強(qiáng)模塊的安全性，Broadlink同時(shí)也與360、Geekpwn、烏云等在安全領(lǐng)域有所合作。

　　5月份，360發(fā)布了一個(gè)《國(guó)內(nèi)智能家庭攝像頭安全狀況評(píng)估報(bào)告》，報(bào)告顯示，國(guó)內(nèi)市場(chǎng)上近80%的攝像頭存在安全設(shè)計(jì)缺陷，黑客只要稍加操作，就可以將用戶的家庭隱私生活同步放到網(wǎng)上直播。

　　在今年的ISC互聯(lián)網(wǎng)安全大會(huì)上，浙江大學(xué)徐文淵教授與360汽車(chē)安全實(shí)驗(yàn)室也展示了利用環(huán)境感知，欺騙自動(dòng)駕駛汽車(chē)的案例。通過(guò)攻擊自動(dòng)駕駛汽車(chē)上的超聲波傳感器、毫米波雷達(dá)、前置高清攝像頭，造成自動(dòng)駕駛系統(tǒng)判斷上的錯(cuò)誤。攻擊成功之后，汽車(chē)前面的障礙物能夠?qū)鞲衅麟[身，或者讓傳感器認(rèn)為汽車(chē)前面有“障礙物”，造成汽車(chē)緊急剎車(chē)等等，這些攻擊手段如果用于實(shí)際，對(duì)人身安全會(huì)產(chǎn)生嚴(yán)重威脅。

　　奇虎360總裁兼360企業(yè)安全集團(tuán)CEO齊向東表示，這一個(gè)個(gè)的真實(shí)案例說(shuō)明，物聯(lián)網(wǎng)現(xiàn)在幾乎所有方面都有迫切需要解決的安全問(wèn)題。任何事物發(fā)展一開(kāi)始都或多或少存在一些缺陷，現(xiàn)階段企業(yè)做的基本是把電子產(chǎn)品聯(lián)到網(wǎng)上，很多還沒(méi)有考慮到安全的問(wèn)題。隨著越來(lái)越多設(shè)備聯(lián)網(wǎng)，要不斷教育用戶在有相關(guān)的安全意識(shí)，用戶的需求才是推動(dòng)物聯(lián)網(wǎng)整體向前發(fā)展的源動(dòng)力。目前國(guó)內(nèi)有些安全團(tuán)隊(duì)在做一些智能硬件的安全測(cè)試及公開(kāi)破解演示，也是為了吸引眼球并教育公眾，推動(dòng)整個(gè)行業(yè)在安全方面不斷完善。齊向東認(rèn)為，在萬(wàn)物互聯(lián)的時(shí)候，原來(lái)傳統(tǒng)的安全防邊界搞隔離的路子，已經(jīng)無(wú)法適應(yīng)現(xiàn)在的要求。因此需要用大數(shù)據(jù)的方法來(lái)解決萬(wàn)物互聯(lián)時(shí)代的安全問(wèn)題。

　　齊向東表示，現(xiàn)在已經(jīng)是數(shù)據(jù)驅(qū)動(dòng)安全。能不能找到網(wǎng)絡(luò)攻擊者就取決于我們是否擁有全面的數(shù)據(jù)。在網(wǎng)絡(luò)安全方面，如果單一地來(lái)看自己網(wǎng)絡(luò)里面的數(shù)據(jù)，可能發(fā)現(xiàn)80%的問(wèn)題，但是沒(méi)有辦法徹底根除網(wǎng)絡(luò)攻擊者，因?yàn)榱硗馐Ｏ碌?0%數(shù)據(jù)不在自己的網(wǎng)絡(luò)里，可能在其他企業(yè)的網(wǎng)絡(luò)里，也可能在政府部門(mén)，也可能在國(guó)外的某個(gè)機(jī)構(gòu)的數(shù)據(jù)里。這時(shí)候就需要協(xié)同和聯(lián)動(dòng)。通過(guò)數(shù)據(jù)的協(xié)同聯(lián)動(dòng)，能夠拿到更多的情報(bào)和數(shù)據(jù)，才能解決真正的安全問(wèn)題。齊向東稱(chēng)，能拿到更多的數(shù)據(jù)，才能真正解決安全問(wèn)題，所有未來(lái)的網(wǎng)絡(luò)安全趨勢(shì)，技術(shù)的發(fā)展方向也是來(lái)源于此。

　　安全圈里流行著這樣一句略帶調(diào)侃的話：世界上只有兩種人，一種是知道自己被黑了的，另外一種是被黑了還不知道的。也就是說(shuō)，幾乎人人都會(huì)遇到網(wǎng)絡(luò)安全問(wèn)題。值得欣慰的是，隨著國(guó)家層面的推進(jìn)，在國(guó)計(jì)民生領(lǐng)域，全國(guó)各地各部委和企業(yè)積極響應(yīng)，針對(duì)全國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)開(kāi)展的全局性、基礎(chǔ)性工作。在消費(fèi)級(jí)領(lǐng)域，國(guó)內(nèi)外的安全公司也在通過(guò)教育和協(xié)同聯(lián)動(dòng)，保護(hù)用戶的設(shè)備和個(gè)人信息安全。

　　如果你在購(gòu)買(mǎi)智能硬件設(shè)備前，能夠再多問(wèn)商家一句其在設(shè)備安全方面做了哪些投入，相信也能提升整個(gè)物聯(lián)網(wǎng)行業(yè)的安全水平。