摘要:聊聊物联网的那些事儿——安全篇
互联网发展至今,安全性一直是个让人劳神的问题。“黑客”这个神秘的群体,正是伴随着互联网而诞生。
现在,物联网来了,安全性方面,又被提升到了一个全新的高度。
为什么这么说呢?
互联网时代,网络边界终止于PC,安全风险到达信息这个层面,也基本到了头。黑客本事再大,也不可能隔着屏幕,踢谁一脚。
你的车不听你的使唤了
而物联网时代,这个边界就要被打破了。“物物”联网,一但被入侵,你的“物”就成了别人手中的提线木偶,操纵你家的小智能机器人踢你一脚,并不完全是一句玩笑话。
谈到物联网的安全性,让我们先来看看,已知的案例。
2015年,美国菲亚特克莱斯勒宣布召回140万辆轿车和卡车。原因是两名安全专家成功模拟入侵了该汽车的电子系统:可远程控制车的行驶速度,可操纵空调,启动雨刮器,打开电台,还可以把车开进沟里……
2014年,360安全研究人员发现了特斯拉ModelS车型应用程序的设计漏洞:可远程控制车辆,可远程开锁、鸣笛、闪灯以及开启天窗等。
除此之外,车联网导航系统如果被入侵,你可能被导航到错误路线,置于危险境地;
行车记录仪被入侵,你车里车外的一切行为,都可能暴露在别人视野之下……
其他物联网产品,同样面临类似的安全危胁。家中的视频监控系统(智能摄像头)如果被入侵,你家中的实时状态,就可能被别人一览无余。
未来,还有水、电、石油、交通、物流等民生资源,这些资源的联网, 给我们带来更多的服务与便利的同时,也要面对更大的安全挑战。如果一旦产生问题,造成的后果,也将远大于过去的互联网时代。
那么对于物联网,我们在享受它给我们带来的便利同时,是否就只能将自己暴露在巨大的风险之中呢?
道高一尺魔高一丈,安全有保障
其实,也大可不必过于担心。因为,办法总是有的。就物联网产品目前所面临的这些安全风险,技术上都是可以解决的。针对物联网的安全性,网上流传的五大风险也罢,八大风险也罢,总结一下,无外乎就是两方面的内容:产品自身的安全性和用户使用的安全性。
首先,说说产品自身的安全性。
一个物联网产品,要防范被入侵,首先得保证两方面的安全:传输安全、后台数据安全
01传输安全
传输上,要保证从访问端到服务端的数据传输是加密的。让信息在传递过程中,难以被监听破解。这方面,当下加密传输技术已很普遍也很成熟,只要产品需要,解决访问端到服务端的传输安全,并不存在技术障碍。
02后台数据安全
对于后台安全,需要厂商从代码级别上把安全重视起来,减少漏洞,不要给攻击者留下可乘之机。同时在数据存储上进行有效的加密,即使平台攻破了,数据仍然是密文的,攻击者拿到了数据,也是一堆看不懂的乱码。这样后台数据就具备了较大的安全保障。
除此之外,在身份验证上实施严谨的安全策略,保证在登录行为上的有效管控。这些都不缺乏技术手段。
安全问题是怎么产生的
既然不缺技术手段,为什么实际流入市场的一些产品,还会存在这样那样的安全问题呢?
以智能摄像头为例,以下是来自互联网的一份监测数据,可以看出问题在哪里。
针对智能摄像头可能存在的信息安全危害,质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测。共从市场上采集样品40批次,主要依据GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》等标准要求,对操作系统的更新、恶意代码防护、身份鉴别、弱口令校验、访问控制、信息泄露、数据传输使用安全有效加密、本地存储数据保护等项目进行了检测。
结果表明,32批次样品存在质量安全隐患。其中:
●28批次样品数据传输未加密;
●20批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度;
●18批次样品在身份鉴别方面,未提供登录失败处理功能;
●16批次样品对用户密码、敏感信息等数据,在本地存储时未采取加密保护措施;
●10批次样品操作系统的更新有问题,未提供固件更新修复功能或者固件更新方式不安全;
●10批次样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;
●8批次样品未对恶意代码和特殊字符进行有效过滤;
●5批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。
对于信息安全稍有经验的朋友会发现,以上这些问题,都不难解决。应该说早已有成熟的技术方案,可以有效地解决这些问题。只是产品制造商未重视,未采取必要措施罢了。
由于相对产品功能而言,老百姓对产品安全性的认识常常是陌生的、滞后的,相比之下,低廉的价格往往更容易得到市场。所以某些制造商追求短期利益,对产品安全性不够重视,是客观存在的。
随着市面上安全问题的不断暴露,用户安全意识的提升,监管部门的重视,物联网产品的安全性,也必然会被提升到一个更高的位置。
安全性不足的产品,必将会逐步被用户抛弃,直至淘汰。
说完产品端安全,我们再来说说用户使用的安全问题。
以上面提到的智能摄像头为例,央视新闻频道曾经曝光过,智能摄像头泄露隐私事件,“弱口令”仍然是重灾区。
何谓“弱口令”?
使用者未修改产品的初始密码;个人手机号、个人姓名拼音、“123456”等类似的简单密码;你记着容易,窃贼破解也不难,这样的密码都属于“弱口令”。
实际使用中,“弱口令”这种最容易解决的问题,正是因为人们的忽视,带来最大的安全隐患。
对于任何一款物联网产品,大到一辆汽车一个冰箱,小到一把智能锁一个摄像头,用户如果忽视了自身使用的一些安全环节,那么产品设计的安全指数再高,也会大打折扣,甚至变成徒劳。
这就相当于,你花高价,买了一把安全性很高的锁。你却习惯于把钥匙放在自家门口的脚垫下面。自以为用着方便,其实已让这把好锁的价值丧失殆尽。
作为用户,有必要常常自我反省一下:
产品的初始密码你变更过吗?你输入或设置密码时有外人看见吗?如果是厂商工程师帮你设定的密码,你自己又重新改过吗?
不要小看这些小问题,很多时候正是因为个人的安全意识差,才招来引狼入室的大麻烦。
除了以上这些,安全技术的飞速发展,也给物联网安全带来了更多的福音。区块链技术、同态加密技术、IPV6技术等,这些技术的逐步落地,都将给物联网安全带来更多的技术保障。
因此,你家的小智能机器人“造不造反”,终究还是你说了算。关于“物联网+安全新技术”的话题,其实还有很多惊喜又精彩的内容,换个时间,我们继续聊。