當(dāng)前位置:首頁(yè) > 物聯(lián)網(wǎng) > 智能應(yīng)用
[導(dǎo)讀] 物聯(lián)網(wǎng)(IoT)是一項(xiàng)被引領(lǐng)期盼的未來(lái)技術(shù)潮流,只是在人們不斷歌頌物聯(lián)網(wǎng)所帶來(lái)的美好未來(lái)時(shí),另一個(gè)造成恐慌的“未來(lái)”(Mirai惡意軟件),則在2016年底開(kāi)啟了物聯(lián)網(wǎng)安全威脅之門(mén)。

 物聯(lián)網(wǎng)(IoT)是一項(xiàng)被引領(lǐng)期盼的未來(lái)技術(shù)潮流,只是在人們不斷歌頌物聯(lián)網(wǎng)所帶來(lái)的美好未來(lái)時(shí),另一個(gè)造成恐慌的“未來(lái)”(Mirai惡意軟件),則在2016年底開(kāi)啟了物聯(lián)網(wǎng)安全威脅之門(mén)。

物聯(lián)網(wǎng)并不只是一個(gè)可以連上互聯(lián)網(wǎng)的裝置而已,事實(shí)上,物聯(lián)網(wǎng)可以說(shuō)是集合網(wǎng)絡(luò)、應(yīng)用程序、移動(dòng)化、云端等科技之大成,甚至包括大數(shù)據(jù)及AI人工智能等等;但相對(duì)的,這些科技所存在的安全問(wèn)題,也同樣被移植到物聯(lián)網(wǎng),并且產(chǎn)生復(fù)合性的威脅,而Mirai則是利用物聯(lián)網(wǎng)這項(xiàng)科技存在的漏洞威脅,所應(yīng)運(yùn)而生。

事實(shí)上,Mirai是一款?lèi)阂廛浖?,針?duì)執(zhí)行Linux的系統(tǒng),使之成為被遠(yuǎn)程操控的“殭尸”,透過(guò)殭尸網(wǎng)絡(luò)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊。一群網(wǎng)絡(luò)攻擊者利用Mirai所發(fā)動(dòng)的DDoS攻擊,創(chuàng)下每秒Tb級(jí)的攻擊流量,另外,他們也成功癱瘓Dyn網(wǎng)絡(luò)服務(wù)商的DNS服務(wù)。

同時(shí),此次DDoS攻擊有效地?fù)糁幸?,并且造成北美各大網(wǎng)站受到影響,使用者無(wú)法瀏覽,而這些攻擊,則是來(lái)自高達(dá)10幾萬(wàn)臺(tái)被Mirai所感染的物聯(lián)網(wǎng)裝置(IP Camera),作為殭尸網(wǎng)絡(luò)利用。

更令人憂(yōu)心的是,Mirai原始碼被該作者公布后,已經(jīng)促成新變種殭尸網(wǎng)絡(luò)形成。根據(jù)Level 3威脅研究中心研究估計(jì),Mirai殭尸裝置的數(shù)量從21.3萬(wàn)臺(tái),增加到49.3萬(wàn)臺(tái),并且已演化出能感染W(wǎng)indows裝置的版本,勢(shì)必?cái)U(kuò)大Mirai殭尸網(wǎng)絡(luò)的感染范圍。

雖然威脅越演越烈,但相對(duì)地,由于Mirai事件的爆發(fā),也同時(shí)驚醒人們對(duì)于物聯(lián)網(wǎng)安全的注意。

物聯(lián)網(wǎng)設(shè)備是發(fā)動(dòng)DDoS攻擊的完美平臺(tái)

過(guò)往要實(shí)現(xiàn)一個(gè)DDoS攻擊并不容易,但隨著物聯(lián)網(wǎng)在業(yè)者的推波助瀾下,促使聯(lián)網(wǎng)的裝置系統(tǒng)大幅度增長(zhǎng)。

根據(jù)國(guó)際研究顧問(wèn)機(jī)構(gòu)Gartner預(yù)測(cè),2017年全球使用中的連網(wǎng)對(duì)象數(shù)量,將達(dá)到84億個(gè),到2020年更將增至204億個(gè)。而另一知名市調(diào)機(jī)構(gòu)IDC更預(yù)估,在2020年,全球物聯(lián)網(wǎng)裝置數(shù)量將達(dá)到300億個(gè)。

這樣的數(shù)量何其驚人!或許有人認(rèn)為“這一切都是假的,嚇不倒我......”,但現(xiàn)實(shí)中,光是我們?nèi)粘=佑|或使用的聯(lián)網(wǎng)裝置,就已不下數(shù)十種,例如:安全監(jiān)控設(shè)備(IP Camera)、無(wú)線基地及分享器、網(wǎng)絡(luò)儲(chǔ)存系統(tǒng)(NAS),或是任何冠上智能聯(lián)網(wǎng)的電器設(shè)備(Smart Devices)。

不過(guò),目前絕大多數(shù)的物聯(lián)網(wǎng),都以能夠快速投入市場(chǎng)為目標(biāo),因此,長(zhǎng)期以來(lái),僅以最低標(biāo)準(zhǔn)來(lái)看待“安全”議題。事實(shí)上,在Mirai所引發(fā)的攻擊前,便已經(jīng)有多起物聯(lián)網(wǎng)安全事件在警告著,包括華碩(Asus)、Belkin、Cisco Linksys、友訊(D-Link)、Netgear、小米、TP-Link等知名且廣為使用的無(wú)線路由器,都傳出暴露重大的安全漏洞問(wèn)題的消息,而令人擔(dān)憂(yōu)的是,類(lèi)似的問(wèn)題發(fā)生,仍層出不窮。

有人說(shuō):“物聯(lián)網(wǎng)設(shè)備是發(fā)動(dòng)DDoS攻擊的完美平臺(tái)”?為何如此?這絕對(duì)與物聯(lián)網(wǎng)設(shè)備的特性有關(guān):

● 常??蛇B結(jié)性:物聯(lián)網(wǎng)設(shè)備與互聯(lián)網(wǎng)的連結(jié)幾乎是7/24不中斷,而人們也很愿意保持物聯(lián)網(wǎng)設(shè)備不斷網(wǎng)、不斷電的狀態(tài),即使設(shè)備是處于閑置的狀態(tài)。

● 具有不錯(cuò)的運(yùn)算能力:為了加速處理能力以提升服務(wù)質(zhì)量下,有越來(lái)越多的物聯(lián)網(wǎng)設(shè)備,都配置了不錯(cuò)的系統(tǒng)規(guī)格,舉例來(lái)說(shuō):一片Raspberry Pi 2配備了單顆4核心頻率900MHz的ARM Cortex-A7處理器,以及1GB內(nèi)存,而這樣的硬件組態(tài),就可以運(yùn)行500個(gè)Docker容器。

● 安全不設(shè)防的設(shè)計(jì):由于物聯(lián)網(wǎng)設(shè)備的多樣化與復(fù)雜性,因此,幾乎都沒(méi)有內(nèi)載、安裝安全軟件。當(dāng)然,沒(méi)有適合于物聯(lián)網(wǎng)型態(tài)的安全軟件,是因素之一,而另一層因素是為了避免影響效能。

● 嵌入式系統(tǒng):物聯(lián)網(wǎng)設(shè)備主要采用Linux或Windows嵌入式系統(tǒng)設(shè)計(jì),但嵌入式系統(tǒng)宛如復(fù)制人大軍,雖然方便物聯(lián)網(wǎng)設(shè)備大量生產(chǎn)或改造,但是被發(fā)現(xiàn)可利用的弱點(diǎn)時(shí),也將會(huì)造成通盤(pán)崩壞的局面。

基于上述的特性,物聯(lián)網(wǎng)設(shè)備對(duì)于黑客而言,無(wú)疑是個(gè)取之不盡、用之不竭的寶地。

以Mirai攻擊為例,受Mirai惡意軟件感染的裝置,會(huì)持續(xù)在互聯(lián)網(wǎng)上掃描物聯(lián)網(wǎng)裝置的IP地址,之后,Mirai會(huì)透過(guò)超過(guò)60種常用默認(rèn)用戶(hù)名稱(chēng)和密碼,辨別出易受攻擊的裝置,然后,登入這些裝置,以注入Mirai惡意軟件,而受感染的裝置將會(huì)繼續(xù)正常工作,只是成為Mirai所掌握的上萬(wàn)名殭尸網(wǎng)絡(luò)軍隊(duì)中的一員,靜靜地等待攻擊者下達(dá)攻擊指令。

物聯(lián)網(wǎng)已經(jīng)為全世界許多國(guó)家所使用,并且有多數(shù)遭受殭尸網(wǎng)絡(luò)感染而被利用著,中國(guó)及美國(guó)為全球主要的物聯(lián)網(wǎng)設(shè)備制造及使用的國(guó)家,因此分占第一、二名;而位居第三的巴西則應(yīng)與2016奧運(yùn)有關(guān)。

地下犯罪經(jīng)濟(jì)將助長(zhǎng)物聯(lián)網(wǎng)安全威脅

另一個(gè)物聯(lián)網(wǎng)安全陷入重大危機(jī)的因素,則是近幾年來(lái)的安全攻擊,已經(jīng)跟地下犯罪經(jīng)濟(jì)有著高度依存,而且,各類(lèi)型的黑客工具,已經(jīng)發(fā)展出專(zhuān)業(yè)化的黑客黑市交易平臺(tái),例如,提供DDoSaaS(DDoS服務(wù))、以每小時(shí)5美元起跳的不同等級(jí)服務(wù)。

黑客也將攻擊工具及服務(wù),猶如軍火演練一般,進(jìn)行實(shí)際展示。以最近臺(tái)灣證券業(yè)所遭受的DDoS勒索攻擊事件,也是透過(guò)黑客黑市所致,先不論攻擊的用意是否為了勒索或有其他目的,其結(jié)果已經(jīng)反映出,我們對(duì)于DDoS攻擊的應(yīng)變能力及處理能量上,是不足的。

同時(shí),黑客黑市也逐步將物聯(lián)網(wǎng)IoT,轉(zhuǎn)換成殭尸網(wǎng)BoT (BotNet of Things)。而且,除了Mirai之外,還有其他各類(lèi)型的惡意軟件,正悄悄運(yùn)作中,不斷吸納殭尸魁儡軍團(tuán),不僅可以針對(duì)指定的目標(biāo)及產(chǎn)業(yè),發(fā)起DDoS攻擊,也可以施展分隊(duì)游擊或聲東擊西,抑或是采取連續(xù)技(癱瘓安全設(shè)備->攻擊穿透->注入惡意軟件)等等不同的戰(zhàn)術(shù)。

就以近期狀況而言,我們看到attackscape.com針對(duì)全球各國(guó)物聯(lián)網(wǎng)殭尸網(wǎng)絡(luò)行為分布,提出了2016年第四季偵測(cè)分析結(jié)果,里面談到,全球至少有426,770臺(tái)具弱點(diǎn)可利用的物聯(lián)網(wǎng)設(shè)備,而且,基于Mirai感染機(jī)制下,將會(huì)有更多的殭尸網(wǎng)絡(luò)設(shè)備增加。另外,從Nexusguard《DDoS Threat Report Q4 2016》報(bào)告中顯示,中國(guó)及美國(guó)所占數(shù)量最多。

物聯(lián)網(wǎng)的安全需求

首先,你必須先了解物聯(lián)網(wǎng)的架構(gòu),以及對(duì)應(yīng)的安全管控議題,并且,避免將長(zhǎng)期受到訓(xùn)練的傳統(tǒng)安全防護(hù)概念,直接套用在物聯(lián)網(wǎng),歸零之后,再重新逐層建構(gòu)你的物聯(lián)網(wǎng)安全模型。

如前述提到,物聯(lián)網(wǎng)可說(shuō)是集合網(wǎng)絡(luò)、應(yīng)用程序、移動(dòng)化、云端之大成的進(jìn)化體,因此,其安全上的威脅議題,也變得比我們可以想象的還要更復(fù)雜。

對(duì)于物聯(lián)網(wǎng)的研發(fā)過(guò)程,業(yè)者必須更應(yīng)著重“安全的系統(tǒng)發(fā)展生命周期 (SSDLC)”,在考慮系統(tǒng)功能性的同時(shí),即導(dǎo)入安全性的思維──于系統(tǒng)開(kāi)發(fā)之初,就要進(jìn)行各項(xiàng)必要的安全防護(hù)措施。雖然這會(huì)拉長(zhǎng)設(shè)計(jì)的時(shí)程,卻降低了系統(tǒng)后續(xù)維護(hù)的成本,以及遭受到攻擊行為的損失。

我們可參考幾個(gè)近期實(shí)際案例,像是中國(guó)廠商“雄邁”所打造的機(jī)板,是Mirai殭尸網(wǎng)絡(luò)的重要組成份子,而最近則再次被公布用于閉路監(jiān)視設(shè)備(CCTV)的超級(jí)權(quán)限密鑰,這些信息已然泄露于網(wǎng)絡(luò)上,令人憂(yōu)慮。

此外,于2017年初,美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)也提出指控,認(rèn)為臺(tái)灣網(wǎng)絡(luò)設(shè)備商友訊科技與其美國(guó)子公司,未能采取適當(dāng)?shù)陌踩胧瑢?dǎo)致其無(wú)線路由器與網(wǎng)絡(luò)攝影機(jī)易遭黑客攻擊,進(jìn)而危及美國(guó)消費(fèi)者的隱私權(quán);先前,F(xiàn)TC也曾對(duì)華碩提告,而華碩則已于2016年2月和FTC達(dá)成和解。

就產(chǎn)業(yè)的發(fā)展而言,對(duì)于物聯(lián)網(wǎng)的安全規(guī)范及對(duì)策,也開(kāi)始受到重視,目前已有相關(guān)的組織機(jī)構(gòu)投入,并且著手制訂。

例如,由英國(guó)國(guó)家微電子研究所主導(dǎo),于近期成立的物聯(lián)網(wǎng)安全基金會(huì)(IoTSF),已經(jīng)獲得了30家以上的廠商與機(jī)構(gòu)的支持,其中,包括:Broadcom、Freescale、Imagination Technologies、Inside Secure,以及Tokyo Electron、Vodafone、u-blox等公司,同時(shí),還有一些學(xué)術(shù)單位。

除此之外,OWASP組織也推動(dòng)了“OWASP Internet of Things Project”。而這項(xiàng)計(jì)劃的主要宗旨,在于幫助制造商、開(kāi)發(fā)人員和使用者,能夠更為了解物聯(lián)網(wǎng)相關(guān)安全問(wèn)題,并促使任何環(huán)境中的用戶(hù),在構(gòu)建、部署或評(píng)估物聯(lián)網(wǎng)技術(shù)時(shí),能夠做出更好的安全決策。

與其擔(dān)心DDoS攻擊,更應(yīng)關(guān)注未來(lái)更多的勒索威脅

在臺(tái)灣,我們?nèi)耘f習(xí)慣于消極被動(dòng)的安全應(yīng)對(duì)方式,如近期所發(fā)生的多家證券業(yè)者遭受DDoS勒索攻擊的事件下,即引發(fā)一波DDoS防護(hù)方案的熱潮,但也總是抱持尋求萬(wàn)靈丹的心態(tài),不愿意正視檢驗(yàn)自身不足之處,從“APT熱潮”到去年“加密勒索熱潮”都可見(jiàn)一班。

其實(shí),安全防護(hù)能否健全的根基,始終來(lái)自于你對(duì)自身的弱點(diǎn)風(fēng)險(xiǎn)掌握,畢竟,黑客將施展的攻擊手法,是不可預(yù)知的。

就以“破窗效應(yīng)(Broken Windows Theory)”來(lái)比擬,環(huán)境中的不良現(xiàn)象,如果被放任存在,就可能會(huì)誘使人們仿效,甚至變本加厲,而所要采取的解決之道,除了“要有好窗”之外,還要“經(jīng)常護(hù)窗”,并且“及時(shí)補(bǔ)窗”。

因此,當(dāng)前的安全保護(hù)方法就是“比快”,快速掌握趨勢(shì)、快速檢測(cè)找出可趁之處、快速建立應(yīng)變對(duì)策。

物聯(lián)網(wǎng)架構(gòu)主要包括:感測(cè)層、網(wǎng)絡(luò)層,以及應(yīng)用層,各層的設(shè)備系統(tǒng)擔(dān)負(fù)不同的角色功能,并涵蓋不同的維運(yùn)者,因此,在安全評(píng)量上,不能僅從單一維度思考,圖中的安全需求模型所列出的基礎(chǔ)項(xiàng)目,可做為參考。

OWASP前十大物聯(lián)網(wǎng)弱點(diǎn)項(xiàng)目

早在2014年,OWASP組織針對(duì)物聯(lián)網(wǎng)安全,提出了“OWASP Internet of Things Project”,目的在協(xié)助制造商、開(kāi)發(fā)人員及使用者,都能更清楚了解物聯(lián)網(wǎng)相關(guān)的安全議題,表中為物聯(lián)網(wǎng)前十大弱點(diǎn)項(xiàng)目。數(shù)據(jù)源:OWASP

1. 不安全的網(wǎng)頁(yè)接口(Insecure Web Interface)

2. 驗(yàn)證或授權(quán)不足(Insufficient Authentication/Authorization)

3. 不安全的網(wǎng)絡(luò)服務(wù)(Insecure Network Services)

4. 欠缺傳輸加密或完整性驗(yàn)證(Lack of Transport Encryption/Integrity Verification)

5. 隱私考慮(Privacy Concerns)

6. 不安全的云端服務(wù)接口(Insecure Cloud Interface)

7. 不安全的移動(dòng)應(yīng)用界面(Insecure Mobile Interface)

8. 安全組態(tài)的不足(Insufficient Security Configurability)

9. 不安全的軟件或韌體(Insecure Software/Firmware)

10. 貧乏的實(shí)體安全措施(Poor Physical Security)

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專(zhuān)欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車(chē)的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車(chē)技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車(chē)工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車(chē)。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車(chē) 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶(hù)希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱(chēng),數(shù)字世界的話(huà)語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱(chēng)"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉