在物联网可能面临的网络攻击中,DDoS攻击即分布式拒绝服务攻击,百度百科将其形容为,“一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重”。
物联网安全事关重大
如果物联网安全问题解决不好,会造成怎样的影响呢?
“据估算,目前在互联网上存在安全问题的摄像头、家用路由器等设备可能有数百万,且未修改默认密码并且可以远程访问。这些设备被‘黑客’远程植入‘后门’后,就可以被控制进而发起海量DDoS攻击,足以对全球任何一个国家和企业的互联网应用造成瘫痪。最近发生在美国和德国的断网事件,其根本原因就在于此。”易鑫说。
据相关媒体报道,今年10月21日,一起“黑客”攻击事件震惊全美。一时间,美国东海岸从波士顿到纽约、费城、华盛顿出现大面积互联网断网,推特、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务陷入瘫痪。事后追查原因时发现,“黑客”入侵、控制了全世界十多万台摄像头等智能硬件设备,组成了Mirai僵尸网络,对美国互联网域名解析服务商Dyn公司进行攻击,堵塞了网民正常浏览网页的请求,进而造成了网站的瘫痪。媒体将此次事件形容为“史上最严重DDoS攻击”,不仅规模惊人,而且对人们生活产生了严重影响。
另据相关媒体报道,美国断网事件余波未平,德国再次遭遇断网事件。
“摄像头、路由器只是海量物联网设备很少的一部分,而DDoS攻击也只是物联网安全的冰山一角。2013年,新西兰的安全研究人员巴纳比·杰克曝光了一项‘黑客’绝技,在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列830V高压电击,从而令‘遥控杀人’成为现实;2015年美国黑帽大会上,两名安全研究人员成功演示了他们可以不需要任何物理连接,远程‘黑’掉一辆正在行驶的切诺基Jeep,操控了方向盘、刹车、发动机、汽车信号、挡风玻璃雨刷。更可怕的是,任何一辆连入网络的切诺基Jeep都可以被‘黑’掉。”易鑫说。
“如果硬件被别人攻破了,很多安全措施就会失效,最直接的后果就是导致认证失效。举个例子,比如我们做一个监控摄像头,如果没有认证好的话,监控到的东西可能不是我们想要的。还有,我们在采集数据时,如果设备被别人控制,采集到的数据就不准确。物联网的一个很大特点就是感知世界,从世界中采集数据。要确保采集的数据真实,设备的身份就必须真实,如果设备的身份不真实,就无所谓来源了,真实性就会受到侵害。总体来看,物联网安全漏洞产生的危害主要包括:身份认证问题、数据真实性问题、隐私保护问题。”林东岱说。
“在未来,随着更多的设备连网,如果不重视安全,越来越多的‘物’都可能危及人身安全。”易鑫说。
物联网安全标准待出台
近年来,随着信息技术的发展,物联网安全问题愈发突出。
“物联网正在以飞快的速度改变这个世界,据研究机构JuniperResearch预计,2020年物联网设备将达385亿个,比2015年的134亿个猛增285%,万物互联的世界正在一步步变成现实。与此同时,越来越多的安全‘白帽子’开始关注和研究物联网,但产业界对安全的投入和重视力度,以及物联网安全标准的制定还是远远滞后,绝大部分物联网设备和系统在安全上考虑很少。地下‘黑客’也逐渐看到了物联网蕴含的巨大破坏力量,最终引发了近期的美国和德国断网事件。”易鑫说。
“白帽子”,按照百度百科的解释,描述的是正面的“黑客”,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是向社会公布漏洞。
应对物联网安全问题,要纳入网络安全总体框架予以考虑。
“从本质上说,物联网连接的还是互联网,但是连接的设备发生了变化。以前互联网连接的是电脑,后来有了手机,现在是各种穿戴设备、家电甚至还有汽车等。物联网使得万物互联,众多生活中离不开的‘物’都连接到了互联网。对绝大多数人来说,互联网的安全风险最多在于钱的损失,而物联网的安全风险远超于此,你身边的‘物’随时可能变成定时炸弹。”易鑫说,“在不久的将来,我们每一个人可能都会面临一个抉择,我到底要不要选择将这个设备联网?联网带来的可能是智能和便捷,而与此同时,安全和风险也如影随形。”