今年5月发生的波及全球的比特币勒索病毒事件除了让我们再一次意识到互联网安全问题外,另外一个特点就是物联网(IoT)在其中所涉及的方面。我们从报道的新闻中了解到,与以往不同,这次来自于互联网的蠕虫攻击除了对电脑设备有所影响外,还同时影响到医院、加油站等的一些其他联网设备。而其原因就是物联网已经将设备与互联网的概念淡化,将它们都整合到了一起。所以,一旦不管是双方哪一个收到攻击,都会同时对我们的生产生活有着直接影响。
IOT是机遇也是挑战
而说到物联网安全问题,离我们最近的安全隐患就是每个人手上用的各种智能设备的摄像头和家用的智能摄像头。现在有了物联网技术的支持,我们可以通过软件远程打开这些智能摄像头,即便不在家里也可以查看居所的情况。但是,正是因为这些软件和智能摄像头都联网,所以如果我们没有做好安全工作,比如使用了比较弱的口令密码,甚至不加设密码,那么不法之徒可以很轻易地通过大范围的扫描就破解我们的网络,从而控制这些智能设备。来自国家互联网应急中心的高级工程师高胜告诉我们,类似于user, admin,或者单一纯数字等都是最容易被破译的弱口令密码。
目前随着物联网技术的不断普及,智能家电设备走入千家万户,所以互联网安全攻击变得形势更加多样化。不法分子可以通过单单攻击一款路由器就彻底控制所有与之联网的家电设备。根据美国Helpnetsecurity调查机构的数据显示,目前全球范围内由于物联网而受到网络攻击的国家中,美国和中国排名最高,分别占到28%和7%。
国内近几年影响最大的一起因为互联网攻击而引发的物联网安全事件就是2015年的苹果X-code Ghost。由于苹果APP的开发者们使用了非官方的苹果开发工具,而这些工具又被提前植入了恶意代码,所以用户下载后便直接受到了影响。这起安全事件影响了一大批上亿用户量的APP,比如微信、滴滴打车等,而这些APP已经因为物联网的关系渗透到我们生活中的方方面面。由于互联网而引发的物联网安全事故除了对于普通人的生活外,对于大型企业的危害更加严峻。
2015年的苹果X-code Ghost
根据普华永道发布的《2017年全球信息安全状况调查报告》,我国大陆和香港公司近两年侦测到的网络攻击次数暴增969%,工业物联网的信息安全事故仅一年就增长约22倍。由于目前大多企业采用半自动化生产,再加上智能化设备的普及,所以大量的物联网设备被投入到生产环节中。但是,其中相当大一部分都还依然保留着出厂密码,也就是前面提到的user,admin等弱口令密码,很容易成为网络黑客下手的对象。
对于我们这些普通消费者来说,目前通过物联网智能设备来攻击家用网络环境主要分为inbound和outbound两种攻击方式。其中,直接攻击我们的智能设备比如手机、平板、摄像头等是典型的inbound攻击,而放大攻击(DNS Amplification Attack)则是最常见的outbound攻击,而且基本上80%的家用环境网络安全问题都出在了路由器上。
对此Helpnetsecurity给我们普通消费者和用户提供了三个预防家用环境网络受到攻击的方法。
首先,我们要不时更换各种智能设备,甚至整个家庭网络的密码。长时间暴露在未被保护的网络环境中会极易收到攻击,甚至产生财产人身等安全问题。
第二,不随意连接未知的无线网络和蓝牙设备。我们对于那种因为连接了不安全的无线网络而损失财产的新闻都不陌生,所以这一方法也会让我们尽可能远离危险的网络环境。
第三就是要及时通过正规的方法升级设备的软件。目前大到整个苹果iOS团队和谷歌安卓团队,小到某一个APP的开发者都会隔三差五更新软件,很多用户觉得不耐烦甚至会关掉提示。但是,其中大部分的软件升级和更新都与安全内容相关,及时跟进升级内容将会是我们作为普通消费者最主动的保障自己网络设备安全的方法。
Cyber病毒
互联网拉近了人与人之间的距离,将我们的地球真真正正变成了一个地球村,但是也正因为互联网带来的便利,任何国家和个人都有可能随时受到网络攻击。当下,面对网络攻击没有谁是独善其身,所以奇虎360的CEO周鸿伟之前曾表示希望全球厂商建立某种形式的合作机制,以用来共同应对越来越泛滥和严峻的互联网与物联网安全危机。
随着IoT与互联网的联系越来越紧密,似乎Web3.0的概念都已经不能涵盖目前的网络发展了,而这同时也意味着我们要面对的网络攻击肯定会更加频繁,方式也会越来越不可预测。普通消费者在面对智能设备给我们的生活带来各种便利的同时,掌握基础的预防知识也显得愈发必不可少。