互聯網發展至今,安全性一直是個讓人勞神的問題。"黑客"這個神祕的羣體,正是伴隨着互聯網而誕生。
現在,物聯網來了,安全性方面,又被提升到了一個全新的高度。
爲什麼這麼說呢?
互聯網時代,網絡邊界終止於PC,安全風險到達信息這個層面,也基本到了頭。黑客本事再大,也沒可能隔着屏幕,踢誰一腳。
而物聯網時代,這個邊界就要被打破了。"物物"聯網,一但被入侵,你的"物"就成了別人手中的提線木偶,操縱你家的小智能機器人踢你一腳,並不完全是一句玩笑話。
談到物聯網的安全性,讓我們先來看看,已知的案例。
2015年,美國菲亞特克萊斯勒宣佈召回140萬輛轎車和卡車。原因是兩名安全專家成功模擬入侵了該汽車的電子系統:可遠程控制車的行駛速度,可操縱空調,啓動雨刮器,打開電臺,還可以把車開進溝裏……。
2014年,360安全研究人員發現了特斯拉ModelS車型應用程序的設計漏洞:可遠程控制車輛,可遠程開鎖、鳴笛、閃燈以及開啓天窗等。
除此之外,車聯網導航系統如果被入侵,你可能被導航到錯誤路線,置於危險境地;
行車記錄儀被入侵,你車裏車外的一切行爲,都可能暴露在別人視野之下……。
其他物聯網產品,同樣面臨類似的安全危脅。家中的視頻監控系統(智能攝像頭)如果被入侵,你家中的實時狀態,就可能被別人一覽無餘。
未來,還有水、電、石油、交通、物流等民生資源,這些資源的聯網, 給我們帶來更多的服務與便利的同時,也要面對更大的安全挑戰。如果一旦產生問題,造成的後果,也將遠大於過去的互聯網時代。
那麼對於物聯網,我們在享受它給我們帶來的便利同時,是否就只能將自己暴露在巨大的風險之中呢?
其實,也大可不必過於擔心。因爲,辦法總是有的。就物聯網產品目前所面臨的這些安全風險,技術上都是可解決的。針對物聯網的安全性,網上流傳的五大風險也罷,八大風險也罷,總結一下,無外乎就是兩方面的內容:產品自身的安全性和用戶使用的安全性。
首先,說說產品自身的安全性。
一個物聯網產品,要防範被入侵,首先得保證兩方面的安全:
- 傳輸安全
- 後臺數據安全
- 傳輸安全
傳輸上,要保證從訪問端到服務端的數據傳輸是加密的。讓信息在傳遞過程中,難以被監聽破解。這方面,當下加密傳輸技術已很普遍也很成熟,只要產品需要,解決訪問端到服務端的傳輸安全,並不存在技術障礙。 - 後臺數據安全
對於後臺安全,需要廠商從代碼級別上把安全重視起來,減少漏洞,不要給攻擊者留下可乘之機。同時在數據存儲上進行有效的加密,即使平臺攻破了,數據仍然是密文的,攻擊者拿到了數據,也是一堆看不懂的亂碼。這樣後臺數據就具備了較大的安全保障。
除此之外,在身份驗證上實施嚴謹的安全策略,保證在登錄行爲上的有效管控。這些都不缺乏技術手段。
既然不缺技術手段,爲什麼實際流入市場的一些產品,還會存在這樣那樣的安全問題呢?
以智能攝像頭爲例,以下是來自互聯網的一份監測數據,可以看出問題在哪裏。
針對智能攝像頭可能存在的信息安全危害,質檢總局產品質量監督司組織開展了智能攝像頭質量安全風險監測。共從市場上採集樣品40批次,主要依據GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》等標準要求,對操作系統的更新、惡意代碼防護、身份鑑別、弱口令校驗、訪問控制、信息泄露、數據傳輸使用安全有效加密、本地存儲數據保護等項目進行了檢測。
結果表明,32批次樣品存在質量安全隱患。其中:
●28批次樣品數據傳輸未加密;
●20批次樣品初始密碼爲弱口令,或者用戶註冊和修改密碼時未限制用戶密碼複雜度;
●18批次樣品在身份鑑別方面,未提供登錄失敗處理功能;
●16批次樣品對用戶密碼、敏感信息等數據,在本地存儲時未採取加密保護措施;
●10批次樣品操作系統的更新有問題,未提供固件更新修復功能或者固件更新方式不安全;
●10批次樣品後端信息系統存在越權漏洞,同一平臺內可以查看任意用戶攝像頭的視頻;
●8批次樣品未對惡意代碼和特殊字符進行有效過濾;
●5批次樣品後端信息系統存儲的監控視頻可被任意下載,或者用戶註冊信息可被任意查看。
對於信息安全稍有經驗的朋友會發現,以上這些問題,都不難解決。應該說早已有成熟的技術方案,可以有效地解決這些問題。只是產品製造商未重視,未採取必要措施罷了。
由於相對產品功能而言,老百姓對產品安全性的認識常常是陌生的、滯後的,相比之下,低廉的價格往往更容易得到市場。所以某些製造商追求短期利益,對產品安全性不夠重視,是客觀存在的。
但,隨着市面上安全問題的不斷暴露,用戶安全意識的提升,監管部門的重視,物聯網產品的安全性,也必然會被提升到一個更高的位置。安全性不足的產品,必將會逐步被用戶拋棄,直至淘汰。
說完產品端安全,我們再來說說,用戶使用的安全問題。
以上面提到的智能攝像頭爲例,央視新聞頻道曾經曝光過,智能攝像頭泄露隱私事件,"弱口令"仍然是重災區。
何謂"弱口令"?
使用者未修改產品的初始密碼;個人手機號、個人姓名拼音、"123456"等類似的簡單密碼;你記着容易,竊賊破解也不難,這樣的密碼都屬於"弱口令"。
實際使用中,"弱口令"這種最容易解決的問題,正是因爲人們的忽視,帶來最大的安全隱患。
對於任何一款物聯網產品,大到一輛汽車一個冰箱,小到一把智能鎖一個攝像頭,用戶如果忽視了自身使用的一些安全環節,那麼產品設計的安全指數再高,也會大打折扣,甚至變成徒勞。
這就相當於,你花高價,買了一把安全性很高的鎖。你卻習慣於把鑰匙放在自家門口的腳墊下面。自以爲用着方便,其實已讓這把好鎖的價值喪失殆盡。
作爲用戶,有必要常常自我反省一下:
產品的初始密碼你變更過嗎?你輸入或設置密碼時有外人看見嗎?如果是廠商工程師幫你設定的密碼,你自己又重新改過嗎?
不要小看這些小問題,很多時候正是因爲個人的安全意識差,才招來引狼入室的大麻煩。
除了以上這些,安全技術的飛速發展,也給物聯網安全帶來了更多的福音。區塊鏈技術、同態加密技術、IPV6技術等,這些技術的逐步落地,都將給物聯網安全帶來更多的技術保障。
因此,你家的小智能機器人"造不造反",終究還是你說了算。關於"物聯網+安全新技術"的話題,其實還有很多驚喜又精彩的內容。
這些,我們換個時間,再詳細去聊。
喜歡這篇文章的話請給我們點贊+收藏+評論吧~
作者 | Ai課工場
公衆號 | Ai課工場
簡介 | 這裏是前沿技術知識聚集地,每週爲你推送鮮活實用的提升乾貨!和小Ke同學一起分享你的所見所聞,領略人工智能、大數據、雲計算等科技風采。公衆號回覆“資料”就可以領取自學資料大禮包!
轉載說明 | 轉載請說明出處,謝謝合作~