遇见物联网安全的初音未来

导读:2017年4月1日,ASRC2017生态大会在杭州西溪宾馆举行,物联网等话题成为讨论热点。万物互联时代,每一个接入点、每一个人、WIFI、智能设备都会作为跳板攻击,企业如何防护到最有价值的东西。安恒信息高级副总裁袁明坤为大家带来了一场关于物联网安全的生动演讲。物联网漏洞库(IOTSRC)在此生态大会上首度发布。

“物联网代表美好未来,

解决教育与医疗问题,

我们便可回到乡村诗意栖居。

我很期待这个时代的到来。”

— 无心喃呢

遇见物联网安全的初音未来

袁明坤 安恒信息高级副总裁

1

美剧《黑镜》第三季在众多影迷翘首企盼中强势推出,延续并拓展了前两季的媒介批判主题。在第六集《全网公敌》讲述的故事中,由于自然界蜜蜂的灭绝,政府为保障生态平衡而研发了人工蜜蜂,这些政府资助的机器遍布国家各个角落,于是也顺理成章地成了政府监视民众的工具。一个对网络暴力恨之入骨的人主导了一场推特网络@活动,在一天结束时名字成为关键词排名最高的人,蜂群将通过人脸识别追踪到他,并飞进到他的脑子里,将其杀害。

《黑镜》里展现了种种黑科技,它们的踪影如今我们已能够在现实中悉数看到。现代科技的高速发展为人类生活带来便利,然而物联网中存在的安全问题令人堪忧。互联网时代下隐私已不复存在,而物联网带来的隐患或将危及人类生命。

2016年我去参加美国的RSA大会,所设置活动内容与物联网(IoT)相关的,只有一个小沙盒讨论会秀了一下破解的东西,一个推广如何让每一个设备属于可信的IoT可信联盟组织,和几家宣传初建物联网安全由头的厂家,比如一家做入侵检测的公司说我这个现在开始支持物联网设备的入侵检测,另外一家做移动端安全的公司说我现在支持IoT端的病毒引擎的分析,仅此而已。当时关于IoT的议题寥寥可数,拼凑起来勉强能算5个。今年RSA中对物联网的关注度成爆发性增长,大会总共安排了23个IoT议题,并且不乏很多个比较靠谱的物联网安全解决方案的出现,物联网安全已然成为业界新热点。

2

物联网安全之所以成为今年RSA大会上大家争相热议的话题,和去年整垮大半个美国互联网的大规模DDoS(分布式拒绝服务攻击,即利用伪造的请求占用资源,导致网路瘫痪)攻击事件有必然关系。2016年10月21日,美国主要域名服务器DNS供应商Dyn遭遇DDoS攻击,从东海岸的波士顿、纽约、费城、华盛顿到西海岸的洛杉矶、旧金山、西雅图,美国的互联网服务几乎全面宕机,包括Twitter、Etsy、Payapl、CNN、HBO Now、华尔街日报、纽约时报等热门网站均无法登陆。此次事件中,黑客入侵并利用了杭州雄迈公司所制造的IoT设备(一些摄像头主板),向其中种植mirai木马,致使百万台设备参与了DDoS攻击。

这件事情一下子引发了人们对物联网安全的极大关注,然而仅在这之后的三个月里,安全事件又被接二连三地曝出:十几个西门子闭路式电视摄像机被曝漏洞,亚欧14国ATM机遭到攻击自动吐钱,美国旧金山市政运输部门售票系统被入侵勒索7万美金等等。黑客不断使用Twitter、Youtube等网络平台传播IoT僵尸网络恶意代码,导致安全事件层出不穷。

孙正义认为未来物联网时代的核心在于芯片,于是用320亿美金将英国移动芯片巨头ARM收购,他要把物联网核心掌握在手里。前几日刚出的一份报告中预测,到2030年将形成7万亿美金规模的物联网市场。2016年,谷歌营收为一千亿美金,7万亿相当于70个谷歌,物联网市场前景惊人

当前受到业界最关注的三个物联网安全领域,分别是:车联网,智慧医疗,智能家居。接下来我将与大家分享今年RSA上各类公司对于物联网安全的理解和想法。

3

首先是一个关于太阳能管理设备的例子。演讲者介绍,管理设备可以通过漏洞远程将此厂商遍布全球的太阳能电池板关闭。演讲者先讲述了如何通过暴力拆解得到口令,然而当他进入配置单元后,竟发现所有的设备都包含Open VPN,即所有的配置文件都被永久性地连接到一个VPN通道,回联至供货商,并且使用者毫不知情。因此,作为供应商可随时通过VPN通道对使用者的东西进行关闭或改变。演讲者进而说,通过VPN隧道,那家企业管理全球控制单元的核心系统可被攻入,通过这种攻击方式,不需要炸毁电厂,便能关闭太阳能的发电板,控制你内部的网络,还可以做一些僵尸毒虫进行攻击。演讲者最后提到一个教训,也是非常有意义的建议:不能过于相信供货商,我们必须将使用的IoT设备分配到独立的网段

一个简单的暴力拆解口令说有可研究的问题,很多人或许会嗤之以鼻,但是它披露出来的VPN才是最重要的,设备中普遍存在的通路性问题是所有安全厂商和设备厂商需要思考的

4

Zingbox是一家做物联网医疗的公司。有一个很有趣的现象,其他的物联网议题演讲的时候,观众大都席地而坐,一派IT屌丝作风,然而当Zingbox做演讲的时候,会场上突然出现了一圈椅子,随后有人陆续落座,打扮得西装革履的。原来,Zingbox这家公司估值很高,引来多家西门子等大厂商经理前来探究竟。

在2015年年底、2016年年初的时候,IBM的报告中金融服务行业不再是最有针对性的部门,涉及到数据窃取网络攻击方面,医疗领域成为最大受害者。且有90%以上关于医疗的社保信息,包括病例、医疗记录的出售,都是在近两年发生的,这说明有越来越多的设备开始不被控制。

在国内,绝大多数医院在隐私保护方面做的是十分不够的,包括网上挂号,网上专家问诊等等,医院本身也清楚知晓病人隐私每天都在泄漏。我们可以通过一组数据透视互联网医疗行业现状:没有任何安全保护的医疗器械占比77%,有一定安全策略的医疗设备占比27%,有17%的攻击起源来自于医疗设备终端,有75%的医院网络流量不被监控和审计。这些是美国的数据,国内的比例会低一些。

物联网医疗系统

演讲者讲述了他们认为的医疗行业中最主要的几个风险点,渗透攻击、僵尸网络、勒索软件,数据泄密或数据渗透。

我认为勒索软件今年会在各个领域开花结果,各行业免不了要遭其攻击。比如在医疗行业,如果在急救中心或者敏感度更高的区域里,IoT设备被加密导致医生动不了医疗设备,那结果将是致命的。RSA上还有一个议题,专门讨论当物联网遭遇勒索软件会发生什么。当下,越来越多的黑客针对敏感位置的物联网设备进行加密勒索。

数据泄密或者数据渗透是ZingBox公司最关注的一个问题,他们因此给出了解决方案。首先将IoT可视化,分为资产管理、分类识别、主动管理等,根据资产的特性进行行为建模,对每个设备的特征进行分析,进而再深度解析,然后将所有这些关联起来进行风险评估,分析出一个黑白名单,用智能白名单的方式杜绝其他类型的攻击,而后通过综合的安全态势感知,进行优化改善。形成IoT的知识库和人工智能的引擎,医疗领域里列出白名单,这是它最终想要实现的,然而前期需要做很多资产管理的工作。

ZingBox解决方案:通过深度学习来实现物联网医疗安全

安恒信息在帮助一些物联网企业做安全的同时,也做了一套物联网的态势感知平台,包括资产管理、建模和设备特征分析。我们的思路与ZingBox十分相近。

5

目前国内我们用智能车联网的东西还不是很多,然而早在四五年前,美国所有的车都已经有了各式各样的智能设备,可用手机进行管理。IBM的研究员分享了一段亲身经历,他在四年前买了一辆福特车,有很多智能控制的设备,两年后将其转手,现场他掏出手机,说如今他仍然可以控制两年前已卖的福特车。这个故事让我耳目一新。以前我们关注车联网,只看走线系统,但是当实际的产业发展到一定程度以后,车联网的每一个智能联网的设备、它的身份健全的模式,整体的框架其实并没有改变。当你买了一辆二手车,车主把钥匙给了你,号码给了你,似乎所有东西都给了你,但是里面相当于账号系统的一份东西还在别人那里。关于车联网身份健全这一块,以及二手车、二手房智能设备的权限管理,我认为十分值得大家关注。

五星评价体系—汽车与医疗

这是一个五星评价体系,专门针对汽车和医疗行业做的框架性的标准,在这里做此分享,大家在做物联网安全研究的时候可以拿来做参考。

所谓五星其实就是一个大圆图,包含五个维度:安全设计、第三方合作厂商、证据捕获、安全更新、分隔和隔离。在帮助客户设计一些物联网安全构架标准的时候,套用五星体系建立模型,使所有的物联网设备具有这些特性,效果十分不错。

6

“如何进行加密”是现在所有物联网企业所关注的,蜻蜓通讯公司提出了五种加密模式:设备到设备的加密,设备到网关的加密,设备到云的加密,网关到云端的加密,不对称的加密方式,这五种加密方式基本上涵盖了物联网领域里我们需要做到的数据加密的每一个维度。通过这五个加密级别,以下常见安全问题可以得到有效解决:访问控制(隐私)、认证、数据保密、数据的完整性、数据新鲜度(避免数据包注入)、不可否认性。

7

具备语音录入功能的智能硬件设备越来越多,安全隐患也渐渐增多。北京刚下架的一款名为“凯拉”的玩具娃娃,被曝光可被破解成为窃听器。前两天CIA披露三星智能电视可被变为窃听器。未来各式各样的智能硬件设备,每一个功能点都有可能被人非法利用,这是一个我们需要关注的方向。

8

我们对全球物联网漏洞进行了搜集和统计,通过对漏洞的特征分析,我们可以看到IoT环境下的安全形势与安全问题,从而为开放者提供一些安全防御方向的参考。

通过长期的网络收集手段和各方咨询的汇总,我们分析了最近10多年以来涉及IoT领域的各种漏洞共600余个。图示表明,2011年漏洞最多,之后逐渐回落,2016年漏洞数量又快速回升,这个波动和物联网概念被炒作是完全相关联的。近几年物联网逐渐被炒热,目前统计下来,高危漏洞就有289个,被曝光最多的厂商是西门子。从2015年8月至今,被曝出来共有113个0day漏洞,涉及50种设备类型和39个制造商。

9

物联网漏洞库(IOTSRC)

借此次生态大会,今天我们将正式发布物联网漏洞库(IOTSRC):专门用于收集物联网行业安全风险的物联网安全漏洞收集平台。它将是一个非营利性平台,旨在通过对物联网安全行业的研究,最终服务于物联网行业,推动物联网行业对于安全概念的理解及接受,形成“用户-厂商-物联网漏洞库”的良性发展格局

我们的目标是搜集物联网行业漏洞,建立漏洞库,提炼出专注于物联网行业的威胁情报。汇聚物联网行业和对物联网安全比较关注的志士同仁,建立针对每一个行业的细分的安全规范标准,形成一些测试工具。

目前我们还正处于尝试性的洽谈阶段,已有十几家物联网厂商初步达成合作意向。

我们将尽力建立一个厂商和技术人员愿意共同在一起交流的平台,欢迎大家访问iotsrc.org。( 目前暂用地址为iot.thorsrc.cn )

我们希望将更多对物联网安全感兴趣的同行聚集在一起,希望让更多人了解和关注面向未来的物联网安全漏洞和事件,打造一个完美的物联网安全社区,将我们所有整理出来的物联网漏洞信息同步给合作伙伴。欢迎有兴趣的朋友加入,可联络物联网社区公众微信号:iotsec_org 。

物联网是革命性的技术,物联网安全是一个至关重要的行业。我们希望采用各种各样的合作方式进一步促进物联网安全行业的发展,进一步服务好整个物联网产业。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-04-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据猿

企业研究:赢在起跑线,首个10年便建起壁垒的新国都

【数据猿导读】 新国都目前正逐渐向“支付终端+大数据+金融+互联网”的大战略计划升级,为了实现这个大战略计划,建立起自有新的商业生态圈,开始了不断‘’买买买‘’...

14220
来自专栏BestSDK

【一周简报】听云APM助力e代驾引领代驾新模式

image.png 智选SDK一周资讯大事记,将会为您呈现过去一周最受欢迎的SDK资讯、投融资、企业活动、人物访谈和创业故事等信息。让您在最短的时间内了解最火爆...

265100
来自专栏FreeBuf

RSA 2018 |互联网需要更多正义,浅谈企业的社会责任

RSA 2018大会上,一个广受关注,也是为数不多的女性演讲者名叫莱温斯基。没错,就是你知道的那个莱温斯基。

9950
来自专栏数据猿

“愚蠢至极”的支付宝被网信办约谈 大数据时代该如何保障我们的信息安全?

【数据猿导读】 2018年1月3日,支付宝2017年度账单如期而至,并以迅雷不及掩耳之势刷屏朋友圈。“时间总是偷偷流逝,打开账单,这一年是不是过得不太一样……”...

28590
来自专栏科技向令说

响铃:好生意还是好故事,这或是快递最后100米的真相

好消息是,由于快递人工成本的上升,社区安全等限制条件或快递员配送时间紧等原因,往往在最后的末端配送环节达不到“门到门”的服务标准,于是给了创业者机会。目前站在这...

9840
来自专栏镁客网

拔刺 | 如果华为全面进入PC行业会怎样?

从技术上和资金上华为都有资格并且有这个能力全面进军PC市场并且可以在之后站稳脚跟。

9920
来自专栏云加头条

12月13日 云头条:计量将迈入量子时代

腾讯云日前与MariaDB基金会正式签署战略合作协议,2019年,腾讯云将继续以白金会员身份为基金会的发展提供强有力的资源支持,与MariaDB全球用户和开发者...

14420
来自专栏知晓程序

新公众号将没有留言功能 / 微信支付两年打败了支付宝

微信团队为进一步规范公众平台生态环境,后续新注册的账号将没有留言功能,「最近三个月内注册,但尚未使用留言功能的账号将被收回留言权限。」

14520
来自专栏人称T客

创业途中多艰难,资金短缺有方法 | 创业者说

T客汇官网:tikehui.com 译者 | 卿云 许多初创公司往往容易陷入资金短缺的困境,此时一着不慎容易满盘皆输,本文告诉你公司「缺钱」的时候该怎么办。 S...

31260
来自专栏FreeBuf

迅速崛起的智慧城市及其相关风险

简而言之,智慧城市本身包含无数接受、收集和传输数据的实体。其实质是利用先进的信息技术,实现城市智慧式管理和运行,进而为城市中的人创造更美好的生活,促进城市的和谐...

10520

扫码关注云+社区

领取腾讯云代金券