万物互联风险重重 IoT行业安全亟待解决
如果说互联网的到来改变了人与人之间的关系,那么物联网(IoT)时代的到来则是一个前所未有的变革,因为它将改变人与物、物与物之间的关系,使我们的生活方式有了翻天覆地的变化,最终实现所谓的万物互联。但物联网技术仍存在不少漏洞,同时与技术发展相伴而行的黑灰产威胁也随之而来。
近年来可穿戴设备、智能汽车、摄像头、智能家居、无人售货机等终端设备、网络设备迅速发展并得到广泛的应用,而针对IoT设备的出现的风险漏洞和攻击事件频繁出现。攻击者利用IoT设备漏洞可导致设备拒绝服务、获取设备控制权限进而形成大规模恶意代码控制网络,或用于用户信息数据窃取、网络流量劫持等其他黑客地下产业交易。甚至像能源、航空等关系到国计民生的行业都受到威胁,可以说IoT行业的安全形势刻不容缓。
按漏洞类型TOP分布(来源:CNVD)
下面我们不妨回顾一下2016年IoT行业的安全形势,根据国家信息安全漏洞共享平台(CNVD)公布的数据,2016年收录IoT设备漏洞达到1117个,漏洞甚至涉及Google、西门子、华为这些大型企业。下面就按风险技术类型和设备事件类型进行归纳,供大家直观地了解。
2016年CNVD收录IoT设备漏洞类型分别为权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、SQL注入、弱口令、设计缺陷等漏洞。其中,权限绕过、拒绝服务、信息泄露漏洞数量位列前三,分别占收录漏洞总数的23%,19%,13%。而对于弱口令(或内置默认口令)漏洞,虽然在统计比例中漏洞条数占比不大(2%),但实际影响却十分广泛,成为恶意代码攻击利用的重要风险点。
这1117个IoT设备漏洞中,影响设备的类型(以标签定义)包括网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。其中,网络摄像头、路由器、手机设备漏洞数量位列前三,分别占公开收录漏洞总数的10%,9%,5%。这些漏洞与我们的生活息息相关,不仅侵犯了个人隐私,而且还会带来人身安全方面的威胁。
漏洞(通用)按设备类型TOP分布(来源:CNVD)
仅仅是设备漏洞已经存在1117个,那么波及的设备可谓是不计其数,如果说一堆数字还不足以说明IoT行业的安全风险问题,那么我们不妨从一个个真实的案例去看看当前IoT行业受到什么样的安全挑战。
gSOAP开源软件开发库曝“Devil's Ivy”漏洞 数百万IoT设备岌岌可危
在6月份,IoT 安全公司 Senrio 的研究员在 gSOAP 中发现这个漏洞(编号 CVE-2017-9765 ),并将其命名为 “Devil’s Ivy”)。它是一个堆栈缓冲区溢出漏洞,可允许黑客远程攻击(DOS 攻击)SOAP Web 服务后台程序,并在存在漏洞的设备上执行任意代码。这个漏洞存在于下载量达上百万的第三方工具包中,可以影响数百万 IoT 设备并且很难清除。
而安讯士网络通讯公司(Axis)摄像头产品,则首当其冲被研究员利用漏洞进行进行演示攻击,攻击者可以远程访问一段视频资料或者阻止原用户访问该视频资料。而这些摄像头主要在银行大厅监控等对安保要求较高的场所使用,如果一旦受到攻击,将会造成不可估量的恶性影响。
Axis公司旗下252款摄像头产品,中有249款都受到该漏洞的影响。虽然漏洞被发现后,Axis公司立刻向负责维护gSOAP的Genivia公司上报漏洞,Genivia随后发放修复补丁。虽然Axis产品修复了Devil’s Ivy漏洞,但gSOAP拥有庞大的IoT开发者用户群体,下载量超过了100万次,包括佳能、西门子、思科、日立等很多大型厂商。Senrio推断,超过数百万设备受到漏洞的影响。
另外,此前央视还专门开辟新闻专题进行摄像头安全漏洞方面的风险,可以说作为IoT设备的风险大户,摄像头的安全已经受到极大的威胁,而且可能造成无法想象的后果!
Netgear路由器存在任意命令注入漏洞 上网安全备受风险威胁
除了摄像头的安全漏洞爆出之外,人们生活中的必需品——路由器也无法幸免。早在2016年,美国网件(Netgear)公司无线路由器Netgear R7000、R6400和R8000型号产品的固件包含一个任意命令注入漏洞。
远程攻击者可能诱使用户访问精心构建的web站点或诱使用户点击设置好的URL,从而以设备root用户权限在受影响的路由器上执行任意命令。在不需要认证的情况下,攻击者就能对路由器发起CSRF攻击——即便路由器并没有将管理接口暴露在互联网上也是完全可行。
Netgear公司拥有庞大的用户群体,一旦路由器漏洞受到攻击,数以百万用户的个人信息安全和用户隐私将荡然无存。或者我们无法想象,仅仅是上了个网就能带来如此严重的风险。
智能交通工具发展迅猛 安全风险问题不可估量
交通领域方面,此前一直备受关注的共享单车行业,有关智能锁存在的风险漏洞问题,同样也是物联网方面存在的风险。因为无论是GPS定位破解,还是一系列抢红包运营活动被盗刷,对于共享单车使用者的人身安全问题,还是运营企业来说都是造成极大的损失。而智能汽车这类拥有IoT设备的产品一并受到攻击,在路上高速飞驰的汽车戛然而止,造成的后果简直不敢想象。可以说,IoT行业的发展为人类带来前所未有的进步,但与此同时也产生了前所未有的、涉及全球性的安全威胁!毫无疑问,IoT行业发展必须具备足够保护级别的安全防控能力!
应运而生!顶象技术助力IoT行业安全发展
顶象技术产品体系由多平台全流程端安全产品(DX-ESS)和业务风险防控产品(DX-RCS)组成,在互联网、云计算以及大数据等领域为客户构建端到端、全环节、全链路和全维度的智能风险感知和防护体系。
DX-ESS针对移动端存在被破解、篡改、欺诈、动态调试、数据窃取、密码窃取、盗版等各类安全风险,为IoT设备的设计、开发、编译、发布、运营提供全流程的保护。
安全SDK产品为App开发者提供核心安全功能和多维度风险监测以及快速组件化接入。例如网络安全签名,可对抗常用签名算法在IoT终端被破解带来的危害;用复杂的数学算法和庞大的Lookup Table取代密钥,排除密钥泄露风险,保护IoT设备密码泄露而造成的风险问题。
虚机源码保护将源代码编译成加密指令,且只能由顶象独创的虚拟CPU执行,任何逆向工具均无法直接逆向破解,能够有效加强IoT设备的安全防护。例如使用专利技术STEE对包括Java,Kotlin,C/C++,Objective-C,Swift等在内的多种源码提供虚机保护;提供隔离的安全执行环境,可强力对抗逆向攻击。
移动威胁防控系统能够实现监控App端威胁事件,并能实时下发处置策略和安全热更新,有效保护无时无刻存在的IoT设备威胁风险。安全事件可视化,风险上报,在线监控能够让企业直观了解IoT设备遇到的风险问题,并可通过独有云端下发功能,无感升级保护IoT设备运行。
DX-RCS业务风险防控产品,支持快速私有化部署,将成熟的业务安全经验提供给IoT行业业务,帮助客户快速建立自由业务安全体系,解决仿冒、欺诈、作弊、垃圾、爬虫等互联网风险。
顶象技术拥有多年的风险防控对抗积累经验,利用智能监控、智能分析、策略管理等技术对风险威胁进行多层分析和决策,实时保护业务安全运行,实现持续的效果监控及安全保证。
防控体系能够实现快速私有化部署,讲业务和用户数据保留在私有云,极大减少数据泄露的可能性。通过无感验证机制,用户在使用过程中,无需操作验证码,较少对用户打扰,保证业务流程体验舒畅。
虽然IoT行业是时下风口正盛的行业,但是IoT设备早已进入我们生活并成为不可或缺的部分。个人用户而言必须具备足够的安全意识,例如及时修复设备系统漏洞,多注意相关安全设置如防火墙之类是否打开等等。而作为IoT设备制造或运营的企业,通过建立有效的漏洞风险防控能力,未雨绸缪,使社会运转、业务发展以及用户权益得到有效保障。