物聯(lián)網(wǎng)安全之痛——堵不完的系統(tǒng)漏洞

 近日，在《預(yù)測2017年：安全和技術(shù)問題將遲滯物聯(lián)網(wǎng)的發(fā)展》報(bào)告中，F(xiàn)orrester調(diào)研公司預(yù)測2017年可能出現(xiàn)大規(guī)模物聯(lián)網(wǎng)安全漏洞，黑客將繼續(xù)利用物聯(lián)網(wǎng)設(shè)備大肆實(shí)施分布式拒絕服務(wù)(DDoS)攻擊。

隨著智能手機(jī)、可穿戴設(shè)備、活動(dòng)追蹤器、無線網(wǎng)絡(luò)、智能汽車、智能家居等終端設(shè)備和網(wǎng)絡(luò)設(shè)備的迅速發(fā)展和普及利用，針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊事件比例呈上升趨勢，攻擊者利用物聯(lián)網(wǎng)設(shè)備漏洞可入侵設(shè)備，獲取設(shè)備控制權(quán)，通過控制大量物聯(lián)網(wǎng)設(shè)備，黑客可以發(fā)起分布式拒絕服務(wù)網(wǎng)絡(luò)攻擊(DDoS)，或竊取用戶信息和其他黑客地下產(chǎn)業(yè)交易。

2016年10月份在美國發(fā)生的大規(guī)模斷網(wǎng)事件，就是大量物聯(lián)網(wǎng)設(shè)備在被黑客植入Mirai病毒后參與的一種分布式拒絕服務(wù)網(wǎng)絡(luò)攻擊(DDoS)的結(jié)果。

匡恩網(wǎng)絡(luò)安全研究院研究分析后認(rèn)為：現(xiàn)在的物聯(lián)網(wǎng)設(shè)備所傳輸?shù)臄?shù)據(jù)基本都是在“裸奔”。當(dāng)前的物聯(lián)網(wǎng)設(shè)備廠商很多，但真正關(guān)注并引入安全控制的廠商很少。并且，物聯(lián)網(wǎng)設(shè)備的用戶也普遍缺乏安全意識(shí)，其安全狀況的慘淡就可想而知了。

目前，黑客發(fā)展已呈現(xiàn)國際化，組織化的趨勢。2016年8月，以網(wǎng)絡(luò)攻擊著稱的美國NSA方程式組織Equation Group也被入侵，大量黑客工具被一個(gè)自稱為“ The Shadow Brokers ”(影子經(jīng)紀(jì)人)的黑客團(tuán)伙所盜竊，并在網(wǎng)上售賣一百萬比特幣。簡單來說，一百萬比特幣價(jià)值大約為五億六千八百萬美金。我們對盜取的公開部分的黑客工具進(jìn)行了初步分析，確定這類工具利用了系統(tǒng)的一些0-day漏洞，形成有效的攻擊。

方程式黑客組織既然擁有那么多的攻擊工具，一定對自己的系統(tǒng)實(shí)施了有效的防護(hù)措施，為什么還能被其他黑客入侵呢?這件事也說明另外一個(gè)問題：系統(tǒng)漏洞是挖不完的，也是補(bǔ)不完的。有時(shí)候因?yàn)閺浹a(bǔ)已知漏洞，可能會(huì)引入新的系統(tǒng)漏洞，物聯(lián)網(wǎng)安全漏洞也是如此。

值得注意的是，PC和移動(dòng)端的設(shè)備漏洞，最多也就是謀財(cái)。但是物聯(lián)網(wǎng)的漏洞，真是可能害命的。例如，安全研究人員演示了如何通過攻擊軟件，使高速行駛的汽車突然剎車、黑客侵入監(jiān)控設(shè)備，擾亂社會(huì)治安等。因此在物聯(lián)網(wǎng)系統(tǒng)安全方面需要多方面、多維度的保護(hù)。