什么必杀技让隔壁家漂亮妹子再也不用担心信息被黑客劫持?

iot001

物联网到底是怎么鬼?

物联网和我们的生活将会有怎样密切的关系?

如何更好地安全享用物联网带给我们的便利生活?

我们还是先看故事,再讲道理:

2020年盛夏某个沉闷的下午,英国伦敦贝克街221号B福尔摩斯侦探所。

iot002

本杰明.福尔摩斯接到一通电话,加顿路发生一起离奇密室杀人案,独居寓所的中年科幻作家德尔纳被发现死在家里数日之久。

本杰明赶到案发现场。

现场警察告诉他,死者尸检结果是死于心脏病复发,死亡时间超过72小时,但令人蹊跷的是,家里并没有任何闯入痕迹。

死者女儿强调昨晚还通过智能摄像头看到自己父亲走动的情景。

市政也反映死者住所的水表、电表和燃气表度数直到今天都在使用状态。

而这些信息与死亡时间是相悖的。

案件棘手,警方调取公寓楼道监控并未发现任何可疑线索。

本杰明拿了死者的相关资料,来到案发现场楼下的咖啡馆开始案件分析,看着店里角落里一位客人陷在沙发里飞快敲击着键盘。

本杰明灵光一闪,迅速地翻阅死者资料,果然在倒数第5页找到一条线索。

本杰明脑洞大开的猜测得到了自己好朋友顶尖安全专家Dr.Root的验证,科幻作家德尔纳死于一起精心预谋的黑客攻击,案情还原如下:

  • 黑客在楼下咖啡馆寻找机会近距离靠近德尔纳,通过工具扫描获取到德尔纳体内植入的带有无线通信模块的心脏起搏器相关信息,并找到控制该品牌心脏起搏器的漏洞;
  • 黑客搜索到德尔纳住所WIFI信号并破解进入其家庭网络,随后进一步控制了家里所有的智能设备,包括摄像头、智能电视、水表、电表和燃气表等;
  • 黑客利用智能摄像头录制了数段德尔纳生活起居视频;
  • 黑客趁德尔纳下楼喝咖啡时,通过无线接入其体内的心脏起搏器,并调整心脏起搏器加速德尔纳心脏跳动;

德尔纳心脏不适上楼回家后不久便死亡,黑客控制其家里所有智能设备正常运行,并通过播放录制视频来欺骗其远程监测的女儿,制造德尔纳正常起居的假象。

最终警方通过本杰明和他好友的帮助,成功抓获因与德尔纳对三体世界有严重分歧而产生愤恨的IoT黑客Shadow。

你们真以为这是虚构的故事?

iot003

早在2007年,美国副总统迪克.切尼就因为担心医疗设备被攻击风险而关掉了自己心脏起搏器的无线功能。

1 IoT是什么鬼?

IoT,全称是Internet of Things,国内俗称物联网。也就是现在满世界喊的万物互联

IoT其实就是将所有的物品通过互联网连接起来,并进行通讯和信息交换,更进一步可以实现对其的控制。

iot004

IoT应该具备三个特征:

  • 全面感知:通过RFID、传感器和二维码等获取物体的信息,这是感知层干的活,相当于人的眼耳鼻和皮肤等感官;
  • 可靠传输:通过网络与物体进行信息交换和传输要实时、安全和准确,这是传输层的事,相当于人的神经网络;
  • 智能处理:对采集的信息进行分析处理,并对物体进行智能控制,这就是应用层,相当于人的大脑。

想象一下炎炎夏日下午5点半,你最后一个离开公司办公室,关上房门的瞬间,房间窗户自动关闭,窗帘合上,空调关闭,然后房间断电,房门自动锁上。

大楼保安室自动产生一个无人告警,自动升级安保级别。

你按一下手机,停在大楼立体停车场的汽车自动移出并等候在固定位置,车上已开启空调,当你开启车门的时候,导航自动根据实时路况生成最佳回家的路线。

这就是一个物联网的典型应用,当然智慧城市,智能家居,智能物流,智能医疗、车联网等等都是物联网的典型应用。

有机构预测到2020年,全球IoT设备将达到500亿。

iot005

如果把互联网比作一个江湖的话,那物联网就是星辰大海,庞大而复杂。

 

2 IoT面临哪些挑战?

万物互联带来便捷的同时,随之而来的可能是意想不到的风险。

想象一下,你生活在物联网这个星辰大海里,它如同一个母体将你包围在其中,感知你的行为,影响你的行动。

无论你走到哪里,身边总有一些物联网触点来感知你的行为,你的一举一动一言一行可能都会被捕捉到,同时衣食住行各类物品都通过互联网与你连接在一起,而互联网背后的力量能通过这些物品影响甚至伤害到你。

相信大伙对2016年315晚会演示的物联网安全漏洞还历历在目,笔者在这里简单梳理一下物联网相关威胁。

风险一:我还有个人隐私么?

美国伊利诺伊大学研究人员报告称通过智能手表的运动传感器获知使用者正从键盘上输入的内容,这也就意味着如果黑客入侵了你的智能手表,他可能不用通过撞库或暴力猜解等方式来盗取你的网银账户了。

有个姑娘戴着智能手环和他的伴侣“战斗”了一场,邪恶的手环监测下整个过程,由于数据耐人寻味,这位勇敢的姑娘将一张图片上传到网上。

iot006

当然智能手环可能会面临更多威胁,比如个人健康信息上传到服务器后被黑客窃取,小偷联合黑客在线监测使用者是否进入深度睡眠从而实时入室盗窃,敲诈团伙联合黑客修改小朋友定位手环的GPS数据谎称绑票来敲诈父母等等。

还有那些提供远程看护功能的智能摄像头,将家里的隐私全部暴露在互联网上,当然更不用提放置在卧室的摄像头了,使用搜索引擎的搜索某些关键词,你会发现很多脑洞大开的镜头。

 

风险二:千万不要干掉我!

还记得开篇讲的这个栗子吧。

心脏起搏器被控制,现实世界里真有黑客实现了,新西兰裔白帽黑客Barnaby Jack宣布成功黑掉多家厂商生产的心脏起搏器,只需一台十几米以外的笔记本电脑,就能通过无线模块控制起搏器释放830V的电压至人于死地。

iot007

当然后续让人悲伤,Jack还没来得及登上黑帽大会讲台就在家中离奇去世,死亡原因众说纷纭,我们不得而知。

诸如此类的还有药物输液泵这类医疗设备,网络安全研究员Billy Rios发现这类装置存在严重的漏洞,能让黑客远程控制药物剂量,这也是千里之外杀人于无形之中的大杀器。

还有一对黑客夫妻,他们实现了远程控制无线TrackingPoint狙击步枪,可以改变步枪的变量系统,甚至让它改变射击目标。

可能大伙都觉得上边的栗子离自己都比较远,那我们就来看看跟每个人都息息相关的汽车安全。

在2015年8月的DefCon会议上,2万多名安全从业者目睹了一次相当震撼的汽车入侵视频,两位测试者在16公里以外的地方通过蜂窝网络控制行驶中的Jeep,最终使其偏离路面栽入沟中,此视频曝光后,Jeep决定在美国召回140万辆汽车。

现在无人驾驶技术越来越成熟,我们在拥抱高科技带来的红利时,会有什么让我们心存怀疑去接受这些新技术,最重要的理由肯定是安全。

 

风险三:God,黑客是怎么进来的?

前两个风险点存在于消费者领域物联网领域,而很多的企业级物联网应用成为了黑客从互联网渗透到企业网络的突破口,数不胜数的物联网设备增加了企业安全管理的难度,同时也扩大了黑客入侵的暴露面。

几年前土耳其一家公司的输油管道被黑客通过网络摄像头入侵,黑客成功控制输油管道的压力阀并改变石油压力最终炸掉了其中一条管道,这就是企业被物联网扩大暴露面的例子。

很多人认为自家铜墙铁壁的企业网络安全防护体系可以御敌于家门之外,却不知道黑客通过一个空调控制器的互联网接口或打印机的WIFI就跳进了自家后院。安全防护系统大多是针对TCP/IP、802.11等协议,而Zigbee、WebHooks、IoT6这些新协议却缺少防护措施。

iot008
当然IoT面临的威胁会比你想象的更多,常见的蠕虫可以从ICT跳到IoT,一大群小黑天天盯着缺少保护的智能家居,黑产组织会针对组织情报资产的实施IoT应用入侵,国家力量会发起类似震网病毒的IoT网络战,这也是一部分人担心IoT未来的主要原因之一。

 

3 IoT安全咋办?

从IoT的三个特征我们就知道,IoT安全不单是设备安全,它应该覆盖传感层、传输层和应用层三个方面。

IoT安全建设也是一个系统工程,IoT设备、云、移动应用、网络接口、相关软件、加密认证、物理安全等等,任何一个环节存在漏洞都有可以被利用。

那我们来看看OWASP关于IoT安全的十大关注点。

iot009

我们现在知道IoT哪些环节可能会存在漏洞,那么黑客通过什么途径来利用这些漏洞达到攻击的目的,这也是很重要。

就好比黑客黑掉了暗慕已久的隔壁妹纸家的无线路由器,并掌握到妹纸的相关隐私信息,比如个人喜好,日常生活行踪等等,但是他要找到一个合适的方式去接触妹纸,才能充分利用已经掌握的这些信息,这个合适的方式就是暴露面(attack surface)。

IoT系统会存在哪些暴露面,设备固件、设备及云端Web接口、网络服务、网络通信、厂商后端API、本地数据存储等,这些都是攻击利用的通道。

虽然目前IoT还处于起步阶段,安全问题也很多,但是我们不能因噎废食,卡过鱼刺的孩子难道以后就不吃鱼了?出过事故的新手司机就不再开车了?

如何教会小朋友养成正确的吃鱼习惯,如何系统地从技能、意识、规则及车辆安全方面来建立新手司机的信心和保障交通安全,这些才凸显安全的重要性。

对IoT也是如此,欣慰的是我们在ICT领域积累下来的经验和知识体系可以转移到IoT领域,虽然不全面,但是算是一个不错的起点。

IoT已经汹涌而至,如何保证消费者安全可靠地享受红利,这恐怕是整个IoT生态链都要考虑的头等大事。

 

4 写在最后的安利

幸运的是面临安全威胁时我们不是一个人在战斗。阿里云为了让用户能够更加安心的享用万物互联的便利,一直在努力。

对内

阿里云全站已经覆盖了HTTPS服务。

HTTPS服务能有效防止数据在传输过程中不被窃取、改变,确保数据的完整性。

这样,用户登陆阿里云官网进行任何操作,或者使用云产品的过程中,所有数据是经过加密传输及身份认证的。

小伙伴们再也不用担心数据被黑客盗取啦。

对外

为解决IoT通讯加密问题,阿里云安全品牌云盾推出了证书服务。

这样,阿里云用户只需要按一个键,就能将数字证书应用在自己的云产品上,省心省力的同时,更保障隐私数据不被泄露。

是不是很诱人?

 

来源:阿里云 孙维

 

新原顶级域名

便捷获取资讯请用微信扫码关注:

+++扫描二维码或搜索“中知网”、”k35-cn“,关注“中知网”官方微信+++

+++扫描二维码或搜索“天府互联”或“tyfoonet",关注“+互联网”生态+++

您可以选择一种方式赞助本站

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: