來(lái)源:北大青鳥(niǎo)總部 2022年12月05日 13:32
互聯(lián)網(wǎng)發(fā)展至今,安全性一直是個(gè)讓人勞神的問(wèn)題。“黑客”這個(gè)神秘的群體,正是伴隨著互聯(lián)網(wǎng)而誕生。
現(xiàn)在,物聯(lián)網(wǎng)來(lái)了,安全性方面,又被提升到了一個(gè)全新的高度。
為什么這么說(shuō)呢?
互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)邊界終止于PC,安全風(fēng)險(xiǎn)到達(dá)信息這個(gè)層面,也基本到了頭。黑客本事再大,也不可能隔著屏幕,踢誰(shuí)一腳。
而物聯(lián)網(wǎng)時(shí)代,這個(gè)邊界就要被打破了。“物物”聯(lián)網(wǎng),一但被入侵,你的“物”就成了別人手中的提線木偶,操縱你家的小智能機(jī)器人踢你一腳,并不完全是一句玩笑話。
談到物聯(lián)網(wǎng)的安全性,讓我們先來(lái)看看,已知的案例。
2015年,美國(guó)菲亞特克萊斯勒宣布召回140萬(wàn)輛轎車和卡車。原因是兩名安全專家成功模擬入侵了該汽車的電子系統(tǒng):可遠(yuǎn)程控制車的行駛速度,可操縱空調(diào),啟動(dòng)雨刮器,打開(kāi)電臺(tái),還可以把車開(kāi)進(jìn)溝里……
2014年,360安全研究人員發(fā)現(xiàn)了特斯拉ModelS車型應(yīng)用程序的設(shè)計(jì)漏洞:可遠(yuǎn)程控制車輛,可遠(yuǎn)程開(kāi)鎖、鳴笛、閃燈以及開(kāi)啟天窗等。
除此之外,車聯(lián)網(wǎng)導(dǎo)航系統(tǒng)如果被入侵,你可能被導(dǎo)航到錯(cuò)誤路線,置于危險(xiǎn)境地;
行車記錄儀被入侵,你車?yán)镘囃獾囊磺行袨椋伎赡鼙┞对趧e人視野之下……
其他物聯(lián)網(wǎng)產(chǎn)品,同樣面臨類似的安全危脅。家中的視頻監(jiān)控系統(tǒng)(智能攝像頭)如果被入侵,你家中的實(shí)時(shí)狀態(tài),就可能被別人一覽無(wú)余。
未來(lái),還有水、電、石油、交通、物流等民生資源,這些資源的聯(lián)網(wǎng), 給我們帶來(lái)更多的服務(wù)與便利的同時(shí),也要面對(duì)更大的安全挑戰(zhàn)。如果一旦產(chǎn)生問(wèn)題,造成的后果,也將遠(yuǎn)大于過(guò)去的互聯(lián)網(wǎng)時(shí)代。
那么對(duì)于物聯(lián)網(wǎng),我們?cè)谙硎芩o我們帶來(lái)的便利同時(shí),是否就只能將自己暴露在巨大的風(fēng)險(xiǎn)之中呢?
其實(shí),也大可不必過(guò)于擔(dān)心。因?yàn)椋k法總是有的。就物聯(lián)網(wǎng)產(chǎn)品目前所面臨的這些安全風(fēng)險(xiǎn),技術(shù)上都是可以解決的。針對(duì)物聯(lián)網(wǎng)的安全性,網(wǎng)上流傳的五大風(fēng)險(xiǎn)也罷,八大風(fēng)險(xiǎn)也罷,總結(jié)一下,無(wú)外乎就是兩方面的內(nèi)容:產(chǎn)品自身的安全性和用戶使用的安全性。
首先,說(shuō)說(shuō)產(chǎn)品自身的安全性。
一個(gè)物聯(lián)網(wǎng)產(chǎn)品,要防范被入侵,首先得保證兩方面的安全:傳輸安全、后臺(tái)數(shù)據(jù)安全
01傳輸安全
傳輸上,要保證從訪問(wèn)端到服務(wù)端的數(shù)據(jù)傳輸是加密的。讓信息在傳遞過(guò)程中,難以被監(jiān)聽(tīng)破解。這方面,當(dāng)下加密傳輸技術(shù)已很普遍也很成熟,只要產(chǎn)品需要,解決訪問(wèn)端到服務(wù)端的傳輸安全,并不存在技術(shù)障礙。
02后臺(tái)數(shù)據(jù)安全
對(duì)于后臺(tái)安全,需要廠商從代碼級(jí)別上把安全重視起來(lái),減少漏洞,不要給攻擊者留下可乘之機(jī)。同時(shí)在數(shù)據(jù)存儲(chǔ)上進(jìn)行有效的加密,即使平臺(tái)攻破了,數(shù)據(jù)仍然是密文的,攻擊者拿到了數(shù)據(jù),也是一堆看不懂的亂碼。這樣后臺(tái)數(shù)據(jù)就具備了較大的安全保障。
除此之外,在身份驗(yàn)證上實(shí)施嚴(yán)謹(jǐn)?shù)陌踩呗裕WC在登錄行為上的有效管控。這些都不缺乏技術(shù)手段。
既然不缺技術(shù)手段,為什么實(shí)際流入市場(chǎng)的一些產(chǎn)品,還會(huì)存在這樣那樣的安全問(wèn)題呢?
以智能攝像頭為例,以下是來(lái)自互聯(lián)網(wǎng)的一份監(jiān)測(cè)數(shù)據(jù),可以看出問(wèn)題在哪里。
針對(duì)智能攝像頭可能存在的信息安全危害,質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開(kāi)展了智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測(cè)。共從市場(chǎng)上采集樣品40批次,主要依據(jù)GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)要求,對(duì)操作系統(tǒng)的更新、惡意代碼防護(hù)、身份鑒別、弱口令校驗(yàn)、訪問(wèn)控制、信息泄露、數(shù)據(jù)傳輸使用安全有效加密、本地存儲(chǔ)數(shù)據(jù)保護(hù)等項(xiàng)目進(jìn)行了檢測(cè)。
結(jié)果表明,32批次樣品存在質(zhì)量安全隱患。其中:
●28批次樣品數(shù)據(jù)傳輸未加密;
●20批次樣品初始密碼為弱口令,或者用戶注冊(cè)和修改密碼時(shí)未限制用戶密碼復(fù)雜度;
●18批次樣品在身份鑒別方面,未提供登錄失敗處理功能;
●16批次樣品對(duì)用戶密碼、敏感信息等數(shù)據(jù),在本地存儲(chǔ)時(shí)未采取加密保護(hù)措施;
●10批次樣品操作系統(tǒng)的更新有問(wèn)題,未提供固件更新修復(fù)功能或者固件更新方式不安全;
●10批次樣品后端信息系統(tǒng)存在越權(quán)漏洞,同一平臺(tái)內(nèi)可以查看任意用戶攝像頭的視頻;
●8批次樣品未對(duì)惡意代碼和特殊字符進(jìn)行有效過(guò)濾;
●5批次樣品后端信息系統(tǒng)存儲(chǔ)的監(jiān)控視頻可被任意下載,或者用戶注冊(cè)信息可被任意查看。
對(duì)于信息安全稍有經(jīng)驗(yàn)的朋友會(huì)發(fā)現(xiàn),以上這些問(wèn)題,都不難解決。應(yīng)該說(shuō)早已有成熟的技術(shù)方案,可以有效地解決這些問(wèn)題。只是產(chǎn)品制造商未重視,未采取必要措施罷了。
由于相對(duì)產(chǎn)品功能而言,老百姓對(duì)產(chǎn)品安全性的認(rèn)識(shí)常常是陌生的、滯后的,相比之下,低廉的價(jià)格往往更容易得到市場(chǎng)。所以某些制造商追求短期利益,對(duì)產(chǎn)品安全性不夠重視,是客觀存在的。
隨著市面上安全問(wèn)題的不斷暴露,用戶安全意識(shí)的提升,監(jiān)管部門(mén)的重視,物聯(lián)網(wǎng)產(chǎn)品的安全性,也必然會(huì)被提升到一個(gè)更高的位置。
安全性不足的產(chǎn)品,必將會(huì)逐步被用戶拋棄,直至淘汰。
說(shuō)完產(chǎn)品端安全,我們?cè)賮?lái)說(shuō)說(shuō)用戶使用的安全問(wèn)題。
以上面提到的智能攝像頭為例,央視新聞?lì)l道曾經(jīng)曝光過(guò),智能攝像頭泄露隱私事件,“弱口令”仍然是重災(zāi)區(qū)。
何謂“弱口令”?
使用者未修改產(chǎn)品的初始密碼;個(gè)人手機(jī)號(hào)、個(gè)人姓名拼音、“123456”等類似的簡(jiǎn)單密碼;你記著容易,竊賊破解也不難,這樣的密碼都屬于“弱口令”。
實(shí)際使用中,“弱口令”這種最容易解決的問(wèn)題,正是因?yàn)槿藗兊暮鲆暎瑤?lái)最大的安全隱患。
對(duì)于任何一款物聯(lián)網(wǎng)產(chǎn)品,大到一輛汽車一個(gè)冰箱,小到一把智能鎖一個(gè)攝像頭,用戶如果忽視了自身使用的一些安全環(huán)節(jié),那么產(chǎn)品設(shè)計(jì)的安全指數(shù)再高,也會(huì)大打折扣,甚至變成徒勞。
這就相當(dāng)于,你花高價(jià),買了一把安全性很高的鎖。你卻習(xí)慣于把鑰匙放在自家門(mén)口的腳墊下面。自以為用著方便,其實(shí)已讓這把好鎖的價(jià)值喪失殆盡。
作為用戶,有必要常常自我反省一下:
產(chǎn)品的初始密碼你變更過(guò)嗎?你輸入或設(shè)置密碼時(shí)有外人看見(jiàn)嗎?如果是廠商工程師幫你設(shè)定的密碼,你自己又重新改過(guò)嗎?
不要小看這些小問(wèn)題,很多時(shí)候正是因?yàn)閭€(gè)人的安全意識(shí)差,才招來(lái)引狼入室的大麻煩。
除了以上這些,安全技術(shù)的飛速發(fā)展,也給物聯(lián)網(wǎng)安全帶來(lái)了更多的福音。區(qū)塊鏈技術(shù)、同態(tài)加密技術(shù)、IPV6技術(shù)等,這些技術(shù)的逐步落地,都將給物聯(lián)網(wǎng)安全帶來(lái)更多的技術(shù)保障。
因此,你家的小智能機(jī)器人“造不造反”,終究還是你說(shuō)了算。關(guān)于“物聯(lián)網(wǎng)+安全新技術(shù)”的話題,其實(shí)還有很多驚喜又精彩的內(nèi)容,換個(gè)時(shí)間,我們繼續(xù)聊。
京公網(wǎng)安備 11010802020714號(hào)
京ICP備2020047077號(hào)-2
手機(jī)端官網(wǎng)
