导 读
回顾 2019 年,设备安全依然是 2019 年物联网安全的焦点问题:从智能家居设备中的隐私问题到僵尸网络,乃至全球范围内基于物联网僵尸网络发动的分布式拒绝服务 (DDoS) 攻击。
未来很长一段时间,物联网安全威胁都将是最大的安全威胁之一,物联网安全支出在信息安全整体市场的占比也将快速提升,根据赛迪顾问《2019中国网络安全发展白皮书》,2018年中国物联网安全市场规模达到 88.2 亿,增速高达 34.7%,明显高于行业平均增速。
回顾 2019 年,设备安全依然是 2019 年物联网安全的焦点问题:从智能家居设备中的隐私问题到僵尸网络,乃至全球范围内基于物联网僵尸网络发动的分布式拒绝服务 (DDoS) 攻击。
以下是 2019 年值得关注的十大物联网安全(系列)事件:
一、物联网设备的系统性安全缺陷和隐私风险
2019 年 1 月份,安全研究人员发现沃尔玛和百思买等大型零售商销售的热门联网或智能家居设备普遍存在严重安全漏洞和隐私问题。送检的12种不同的物联网设备均发现安全问题,包括缺少数据加密和缺少加密证书验证。这些设备包括来自不同制造商的智能相机、智能插头和安防产品,包括 iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。这次安全 “体检” 为整个物联网行业敲响了警钟。
二、酒店偷拍摄像头引发全民恐慌
2019 年,国内影响最大物联网安全事件非酒店偷拍莫属。过去两年间酒店偷拍事件层出不穷,从单体民宿、自如、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免,甚至前合肥市公安局长都曾中招。对于有隐私洁癖的用户来说,几乎到了要背帐篷去酒店野营的地步了。
面对日益高涨的个人隐私保护需求,各路安全厂商和创业公司纷纷行动起来。除了爆火的 Ping 之外,百度安全 app 和 360 手机卫士都推出了 “偷拍检测” 功能,但是 APP 端检测的一个弊端是智能检测同局域网 (WiFi) 段的偷拍摄像头,对于独立联网和离线摄像头无能为力,并不能做到百分之百的靠谱,充其量只能算是辅助措施,消费者需要对此有足够清醒的认识,必要的时候人肉排查+超轻双人帐篷依然是终极方案。
三、震惊全美的Ring智能门铃和安防监控头丑闻
除了酒店,家庭监控摄像头也不省心。2019 年末,亚马逊旗下的 Ring 的隐私问题和安全丑闻激增,并且仍在持续发酵中。
作为全球最火的家庭安防硬件产品之一—— Ring 曝出安全漏洞,黑客可以监控用户家庭,而且 Ring 还会暴露用户的 WiFi 密码。大量用户投诉自己的私生活被黑客传到网上,甚至还有黑客通过 Ring 摄像头跟摇篮里的婴儿打招呼。
更糟糕的是,Ring 的隐私政策也成了众矢之的。Ring 承认与美国 600 多个警察部门合作,提供用户视频。11 月份一些美国参议员要求亚马逊披露如何确保 Ring 家庭摄像头的安全性,以及都有谁可以访问这些录像。
四、安全漏洞迭出,智能门锁遭遇安全危机
研究人员在智能门锁 Smart Deadbolts 中发现了一种流行的智能锁漏洞,攻击者可以利用这些漏洞远程打开门并闯入房屋。智能锁的制造商 Hickory Hardware 已将补丁程序部署到了 Google Play 商店和 Apple App Store 上受影响的应用程序。这只是 2019 年众多智能门锁安全漏洞的冰山一角。
6 月,研究人员警告说,U-tec 制造的智能门锁 Ultraloq 出现故障,攻击者可以追踪该设备的使用地点并完全控制该锁。
7 月,两位安全研究人员发现了 ZipaMicro 智能家居三个安全漏洞,如果把它们连接在一起就可能会被滥用,而结果就是导致用户家的智能门锁会被轻易打开。(下图)
国内方面,2018 年国内智能门锁品牌已超过 3500 个,2019 年市场规模有望突破 200 亿元(是的,你没看错,一个小小的智能门锁价值堪比全国信息安全市场的半壁江山了)。虽然经历年初央视曝光 “小黑盒”、APP 远程控制漏洞,但是国内智能门锁硬件、软件、云端等各个攻击面的安全问题并未得到更多用户的重视。相关的安全开发、安全测试检测(包括白帽子漏洞发掘)、技术标准和规范相对滞后。
一个比较亮眼的进步是 12 月 20 日腾讯发布了《腾讯智能门锁安全技术要求》,从智能门锁的终端、通信及云平台三个层面出发,阐述系统安全等十五项安全技术要求。《要求》中还构建了智能门锁安全等级体系,为业内厂商、机构和用户对智能门锁安全水平的测评提供了一整套操作流程标准。但是考虑到腾讯也是智能家居和智能门锁市场中的 “玩家”,由腾讯制定的安全标准能否得到广大智能门锁厂商的认同和支持,目前还有待观察。
五、导致物联网设备大规模“变砖”的恶意软件
6 月份,一名 14 岁的黑客使用一种名为 Silex 的恶意软件来欺骗多达 4,000 个不安全的物联网设备,然后突然关闭了其命令和控制服务器。Silex 将不安全的 IoT 设备作为攻击目标,使其瘫痪(类似2017年的 BrickerBot 恶意软件一样)。Silex 专门针对运行 Linux 或 Unix 操作系统,采用默认或者已知密码的的物联网 (IoT) 设备,破坏设备的磁盘分区,删除其防火墙和网络配置,并最终使其完全 “变砖”。
六、200万物联网摄像头“裸奔”
联网摄像头是蓬勃发展的智慧城市的关键组件,同时其安全问题的严峻性也日益凸显。
今年 4 月份,安全研究者披露了可能是迄今最为严重的物联网摄像头安全漏洞,受影响监控摄像头数量超过 200 万个,来自包括 HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight 和 HVCAM 等多个摄像头厂商。
这些产品都使用了某国内厂商开发的名为 iLnkP2P 的 P2P 通讯组件。该组件包含两个漏洞,可能使远程黑客能够找到并接管设备中使用的易受攻击的摄像机并监视其所有者。
此外,七月物联网摄像头制造商 Swann 修补了其联网摄像头中的一个漏洞,该漏洞使远程攻击者可以访问其视频源。9 月,多达 80 万个基于 IP 的闭路电视摄像机暴露在零日漏洞攻击之下,该漏洞可能使黑客能够访问监视摄像机,监视和操纵视频源或植入恶意软件。
七、智能玩具不再“好玩”
联网智能玩具仍然不安全。去年 12 月,安全研究人员发现,各种儿童专用的联网玩具存在很多先天性的安全问题,例如缺少设备配对的身份验证,以及联网帐户缺乏加密。在 2019 年美国黑帽大会上,研究人员展示了 LeapPad Ultimate 儿童教育平板电脑的安全检测结果,表示该平板电脑存在许多安全问题,包括允许不良行为者跟踪设备,向孩子发送消息或发起中间人攻击。
LeapPad 平板电脑的一个应用程序 Pet Chat(宠物聊天)也存在安全问题。Pet Chat 应用程序创建一个 Wi-Fi Ad-Hoc 连接,并使用简单的 SSID “Pet Chat” 广播到附近的其他兼容设备。研究人员能够使用名为 WiGLE 的工具——一个收集不同无线热点信息的网站,在全球范围内将位置和其他信息存储在中央数据库中,以识别平板电脑。
这意味着 “任何人都可以使用 Pet Chat 通过在公共 Wi-Fi 上找到它们,或跟踪其设备的 MAC 地址来识别 LeapPads 的位置。
八、儿童智能手表安全问题爆发
与其他物联网和智能设备类似,儿童智能手表也存在先天性的安全缺陷,例如可以暴露儿童的位置数据和个人信息,从而为各种隐患制造伏笔。
2019 年因安全问题被曝光的智能手表产品包括中国的 M2 智能手表,该智能手表存在的缺陷可能会泄露用户的个人和 GPS 数据,并允许攻击者监听和操纵对话。此外安全研究人员还发现 Smartwatch TicTocTrack 存在大量安全问题,这些问题使黑客能够跟踪和呼叫孩子。
更糟糕的是,与其他智能硬件产品类似,智能手表的安全缺陷很有可能是全行业的系统性风险。
九、智能音箱:大热必死
在亚马逊、谷歌、阿里、百度等各路人工智能厂商数年风风火火的暖场演出后,2019年智能音箱市场终于迎来总爆发。
但在安全问题上,无论是特斯拉电动车还是智能音箱,一旦被信息安全界关注,终究难逃“大热必死“的魔咒。
安全研究人员调查发现亚马逊、谷歌和苹果的智能音箱存在严重的隐私侵犯问题。一份安全报告甚至披露亚马逊雇佣了数千名审计员来收听Echo用户的语音记录。苹果的Siri和Google Home也由于类似的原因而受到抨击,有报道称Google员工可以识别和捕获家庭暴力或机密商务电话的声音。
除此之外,企业高管和商务人士偏爱的差旅神器Bose 降噪耳机,也曾因为窃听用户隐私被起诉,指控 Bose 一直在通过 Bose Connect 应用监视用户,并监听用户所有的对话和播放的内容。
总之,音响设备的安全问题和隐私威胁,往往比我们想象的更为可怕。
十、物联网僵尸网络野蛮生长
自从 2014 年从冰箱上发动首个物联网僵尸网络攻击后,臭名昭著的 Mirai IoT 物联网僵尸网络在 2016 年一战成名,通过创记录的 DDoS 攻击冲垮了包括 Twitter、Netflix 和 Github 等多家大型互联网站点,导致 “半个美国掉线”,甚至公有云服务商 Akamai 也迫于 Mirai 的淫威停止了对爆料独立安全博客 KrebsonSecurity 的庇护。
当时,信息安全界和人权组织就曾指出趋势:物联网僵尸网络将取代集权国家成为互联网言论的终极审查者。基于物联网僵尸网络的超大规模 DDoS 攻击,已经展现了自己在言论审查方面的 “威权”,已经远超任何一个国家政府的审查能力。甚至在美国这样一个标榜言论自由的国家,没有人能够保护 Krebs 这样一个享有盛誉的安全技术博客。
2019 年,恐怖的 Mirai 僵尸网络继续保持高速增长,同时也改变了其 TTP(战术、技术和程序)。据研究人员分析,Mirai 的活动在 2018 年第一季度至 2019 年第一季度之间几乎翻了一番。安全分析人员指出,在过去的一年中,Mirai 扩展了其技术,以瞄准更多的处理器和更多的企业级硬件。
踏入新十年,物联网安全领域逐渐成熟,但也伴随着新一波的风险。
就在不久之前,“物联网安全” 这个术语听起来还有点自相矛盾。但现在,对物联网安全重要性的认知已经达到了空前的高度。联网设备如今已渗透到我们生活的方方面面,从家居到工厂无处不在,恶意黑客如今手握大把形形色色的终端目标。
现在我们就来预测一下,2020年网络安全领域的猫鼠游戏中会出现些什么。
现在我们就来预测一下,2020年网络安全领域的猫鼠游戏中会出现些什么。
一.智能楼宇安全问题引人关注
2020 年,智能楼宇安全问题可能会成为设施管理者的首要考虑。Gartner 的调查研究表明,2020 年,80% 的联网设备与楼宇相关,智能楼宇为对手提供了新的攻击途径。但在明年此类攻击会不会大幅增加的问题上,专家们意见不一。Honeywell Building Solutions 网络安全全球总监 Mirel Sehic 预期会出现大幅增长。攻击者可能将楼宇管理系统作为跳板,用以获取 IT 数据,以及操纵建筑控制。
2013 年塔吉特信用卡数据泄露后,联网楼宇系统的前景就成了主要的网络安全顾虑。该事件中,塔吉特的暖通空调供应商被入侵,攻击者能够进入其内部网络,包括其支付系统。仅此一项,黑客就卷走了 4,000 万信用卡号。
保护楼宇安全的挑战之一,就是情况常是碎片化的。没有大玩家现身充当该领域的安全供应商。
二.5G安全开始崭露头角
**
2019 年时,5G 看起来还只是理论上的可能性。上半年,5G 在商展和个别地区展示性现身,但现在,电信公司纷纷开始推出他们的 5G 网络。
到 2020 年,随着 5G 部署持续推出,攻击亦将接踵而至。5G 最终成为基础协议的前景意味着,从监视和交通摄像头到车辆的所有东西都会通过该协议连接。这就有可能给攻击者提供瘫痪社区、城市甚至整个国家的康庄大道了。5G 还可以为主要使用不同无线协议的设备提供连接。比如,5G 可以作为 LPWAN 设备接入云端的回传线路。
尽管有抗干扰属性,但与其他无线通信方式一样,5G 也易于遭受拒绝服务攻击和阻塞。
电信和基础设施公司大力推广 5G 的各种用例,包括工业领域。将 5G 用于关键工业过程,产生切实业务影响,是颇具风险的提议。对此,PAS Global 首席信息安全官 Jason Haward-Grau 表示:很多工业环境都部署着过时的遗留设备。恶意黑客将开始针对这些环境,带来严重后果,比如对配置的非授权修改——可致工业过程未按既定方式运转,因而造成工业事故、断电,甚至环境灾难。
三.托管安全服务市场激增
近些年,很多公司企业开始抛弃独自管理安全的想法。增长中的一个细分市场就是托管安全服务,Kenneth Research 的研究概要中称,该细分市场年增长率达到了 15%。
2020 年,托管安全服务市场的增长率还将更高。总体上看,正在进行数字化转型的很多公司企业,都难以找到足够的专业人才来处理复杂性不断增加的网络安全问题。于是,他们将目光转向了托管服务。
四.OT网络安全巨头重要性日显
**
随着安全仪表系统已成当前攻击目标的事实曝光,运营技术 (OT) 网络安全某种程度上已日渐获得重视。Honeywell 的 Mirel Sehic 预期该趋势在 2020 年还将继续加速,因为届时将有更多的 OT 环境拥抱数字化。
其中一个因素就是这个市场仍不成熟。从安全角度看,OT 领域的现状类似于十年前的 IT 领域。而十年前,想找到适用 IT 环境的安全标准是很难的。网络安全人员能够找到一些 NIST 指南,但想找与之略有差别的适用于特定工业环境的指南,就完全不是那么回事儿了。
这种状况促成了专注 OT 的组织的兴起,比如西门子的 Charter of Trust(信任宪章)和非盈利性基金会 MITRE Engenuity 的 Center for Threat-Informed Defense(威胁知情防御中心)。Howard 预期 2020 年将有更多专注于 OT 网络标准的组织出现:“在安全问题上,OT 领域比 IT 领域更难。毕竟,在 IT 领域,笔记本 A 与笔记本 B 和服务器 C 之间的差别并不是那么巨大,尤其是在操作系统整合的情况下。但 Rockwell PLC 和 Honeywell 制造系统之间就是天差地别了。”
PAS Global 首席运营官 Mark Carrigan 观察到,ISA/IEC 62443 和《欧洲网络指令》之类针对 OT 的安全标准有所增长,NIST、NERC、SANS 和互联网安全中心这样的机构也推出了很多针对 OT 的框架。Carrigan在电子邮件中对媒体说道:“2020 年,随着这些框架和标准的逐步采纳,网络风险将会减小。但是,公司企业采纳和验证这些框架与标准需要消耗一些资源,会增加工业网络安全开支与复杂性。由于标准和框架的采纳相对不成熟,公司企业可能需要评估多个框架采纳情况,由此,进一步增加成本与复杂性。”
五.物联网安全:从设计阶段开始
没有哪个产品设计者会想创建毫无安全性可言的联网产品。除非他工作的公司难以协调上市时间、成本和客户体验。不过,Arm 物联网服务小组策略副总裁 Charlene Marini 认为,鉴于物联网安全所获得的关注度,情况正在不断改善。她在邮件中透露:物联网设备制造商和联网设备部署者会设置功能升级计划,确保物联网系统的安全。
这种思维的转变将意味着,设备制造商开始重视创建受信可连接可管理产品。新的物联网安全思维模式包括,在设计阶段嵌入生命周期管理功能、以安全和隐私原则为前提编写软件,以及为部署者提供可用设备更新。对于部署物联网设备的公司企业而言,这种思维的转变还涉及引入有经验的专家帮助管理大规模物联网网络。
Marini 的同事,Arm 物联网云服务高级副总裁兼总经理 Hima Mukkamala 认为,欧盟《通用数据保护条例》和美国《加州消费者隐私法案》这样的监管规定,将继续强调物联网设备中隐私与安全的重要性。
Mimecast 电子犯罪主管 Carl Wearn 持类似观点。他预期明年物联网相关网络风险将随糟糕的安全与勒索机会上升,并预测与此类联网设备的使用相关的立法将会增多。Wearn 表示,这种连接性和设备内置安全的普遍缺乏被严重忽视了太长时间,公众对其使用和潜在漏洞利用的意识正在增加。
六.AI炒作继续,但垂直AI方法兴起
**
网络安全领域中围绕人工智能的炒作开始降温。但别期望情况会有巨大改善。“AI” 这标签被拍到了几乎所有东西上,其中很多不过是决策树、算法或软件。当然,这并不是说AI没有巨大的潜力。但真正的术语 “AI” 某种程度上成了没什么特指的潮词。
Augury 是一家专注运用工业物联网传感器监视机器健康状况的公司,其策略副总裁 Artem Kroupenev 对 AI 在网络安全领域的前景保持乐观。考虑到AI当前的成熟度,为特定用例精心设计的产品,会比采用通用方法制造的产品更加有效。
说到人工智能在网络安全中的使用,Cerrudo 解释称:如果你想提供更好的解决方案,你就必须收窄自己的焦点,着重投入研发。AI 使用持续增长,不断成熟,用得越有针对性,就会越精确。拓宽范围只会增加复杂性和降低效率。