物联网安全在恶化,但谁也没发现

  有一个关于物联网的笑话是这样的:“IoT中的‘s’代表的是安全(security)”

  对,我知道物联网里没有字母“S”。

  ▼

  2016年的时候,甲骨文实验室的首席开发工程师Oleg Šelajev想出了这个段子。然后每一次研究员发现物联网设备的安全漏洞时,都会说起这个段子。至今,这个段子被说了很多很多次。

  

 

  现在的企业推出了越来越多的物联网产品——我们身边的监控、智能玩具,还有智能锁等等。这些产品的理念是让人们的生活更便捷。据英国市场调研机构Juniper Research预测,2020年物联网产品将达到204亿台;2022年时,企业预计每年要花费1340亿美元去解决物联网产品的网络安全问题。

  设备互相连接得越多,就意味着更容易被黑客袭击。这些产品更新换代,但安全性并没有得到改善。学术界多年来一直在警告大家防范网络安全,但实际情况却越来越糟。

  

 

  真正的问题在于,网络安全问题并没有得到大家重视。

  “我们去年就通报了这个事情。今年,又是同样的问题,现在数量变得非常庞大。”

  Denis Makrushin说,他是卡巴斯基(杀毒软件)实验室的研究员。

  更可怕的是,目前已经有超过84亿个物联网设备面临威胁,尤其是旧设备中的安全漏洞不断涌现。即使国家和科技行业想在新产品中解决这个问题,由于老设备数量庞大,他们可能是最容易被攻击的对象。

  

 

  今年卡巴斯基峰会的主题之一就是讨论老旧设备上的系统漏洞。研究人员揭露了很多可能被黑客攻击的对象:比如使用很长时间的加油站气泵、商场的机器人,以及家庭的智能监控系统。

  今年是卡巴斯基第十届年度峰会,他们把会议地点选在了墨西哥著名的旅游城市坎昆。会议室的旁边,就是美丽的阳光海滩。情侣们在泳池边嬉戏、人们来这里度假,孩子们在沙滩上愉快地玩耍。而安全研究员们在会议室里向大家展示存在安全漏洞的设备,因为它们可能会毁掉我们的生活。

  

 

  会议其他内容也包括,如何攻击一艘游艇、家庭用车、工业控制系统,以及医院。这些讨论有一个共同主线是:重点不在于有安全漏洞的新产品,而是在多年前的老设备上。制造商们已经推陈出新,但消费者仍然可以在商店购买以前的产品。

  医疗软件

  医院就是一个典型的案例研究。卡巴斯基实验室的研究员们为黑客找到了高达27716个开放入口点。研究员Yury Namestnikov表示,近年来,医院里大量涌现可以接入互联网的设备,很多甚至都不是医疗设备。

  

 

  他们在医院的照明系统、空调设备以及打印机中发现了大量的系统漏洞。医院里有很多工作人员都在使用过时的管理软件,使得黑客攻击变得异常容易。研究员还指出,就连他们此次参会的酒店——在度假胜地坎昆,也可能有同样的安全漏洞存在。

  “如果你是一个管理员,你就需要决定哪些东西可以放在网上,Namestnikov在接受采访时说,“你需要有一个清单,哪些可以放网上?哪些是需要被保护的?”

  

 

  2017年,通过“永恒之蓝”漏洞传播的Wannacry病毒在全球大规模爆发时,医院是首当其冲的受害者。当时医院的计算机系统被锁定,急诊的病人根本没办法得到救治。医院有很多敏感的数据,网络安全应该是医院关注的重点。但越来越多的医院采用大量的物联网设备。

  “他们必须使用新的设备去跟进,但他们不明白安全的必要性。”Namestnikov说。

  当公司没有考虑到安全性的设备时,后果最终会落到研究人员的身上——他们得去发现并处理一片混乱的局面。

  监测物联网

  总能发现新的安全漏洞。

  

 

  Lucas Apa是一个任职于美国安全公司IOActive的研究员。他曾成功破解了Pepper和NAO这两个智能机器人。(Nao是法国 Aldebaran Robotics 公司于 2006 年研发的智能的教育机器人;而后又联合日本软银公司推出了一款面向企业级的服务机器人 Pepper,阿里巴巴和富士康均有入股)

  Lucas说他现在对破解Knightscope很感兴趣。Knightscope是硅谷创业公司发明的“机器人战警”,用于驱散旧金山的流浪人员以降低犯罪率。

  Ido Naor是卡巴斯基实验室高级安全研究员,自从他发现通过漏洞可在线访问全球1000多个加油站控制器之后,他总是异常谨慎。

  他说:“作为一个研究员,我们为了发现漏洞满世界跑。任何标志、记号,或者我们从来没有见过的不同类型的设备,我们都得用心寻找关于它的信息。”

  

 

  最可怕的事情在于:很多黑客攻击别人,可能仅仅是因为好奇。

上一篇:物联网安全迫在眉睫 区块链技术或是一剂良药

下一篇:物联网安全:到底是谁的份内事?