大部分物聯網設備在設計之初主要應用在專網、或者不聯網的領域,并沒有將互聯網作為應用場景。比如安防攝像頭,最初都是通過硬盤來存儲數據,其產品特性也主要考慮編解碼、清晰度等特性。但隨著攝像頭數量增多,越來越多設備需要遠程控制能力,也因此開始連接互聯網。此時,缺少安全防護的問題開始大規模暴露。
公布了源代碼的物聯網蠕蟲Mirai,只用了不到一個月的時間就搞了個大新聞。10月21日,北美地區大量用戶發現Twitter、Netflix、Paypal、GitHub等重要網站陸續無法訪問,該情形持續了6個小時之久。大量媒體描述稱“半個美國互聯網癱瘓了”。
該事件的主要原因是為美國互聯網公司提供域名解析服務的著名DNS服務提供商DYN遭遇了來自上千萬個IP的DDoS攻擊,主要攻擊源頭就是Mirai僵尸網絡,該網絡已經控制了數十萬包括攝像頭、路由器、DVR(硬盤錄像機)在內的物聯網設備,且數量還在高速增長之中。
DDoS是最當前普遍的網絡攻擊模式,受攻擊的網絡會出現無法訪問的情形,諸如電商、社交網絡等企業會因無法訪問遭受巨額損失,而物聯網設備讓DDoS攻擊的威力倍增。不久前,Mirai僵尸網絡曾經通過控制14.5萬個攝像頭對法國服務器托管公司發起了每秒1Tb攻擊流量的DDoS攻擊,該流量峰值打破了歷史記錄。
“傳統的服務器、PC等終端已經具備了成熟的防DDoS的能力,但物聯網設備在這一領域的能力基本為零,極易被控制”,國內某安全部門人士告訴記者:“而且,被感染的物聯網設備很難被發現,難以防范。國內的網站,也很可能會成為攻擊目標。”
物聯網的安全危機
從安全角度審視,絕大多數物聯網設備幾乎是裸露在外的。
最明顯的體現是弱密碼問題,多個業內人士稱,“通過12345、1234、password”等簡單密碼,可以控制10%以上的設備。根據安天安全研究與應急處理中心發布的分析報告,包括Cisico、Sumsung、Dreambox、大華科技、中興通訊等多個知名公司的部分設備均存在單一默認密碼的問題。
而Mirai通過60多組密碼組合,高效掃描互聯網,源代碼被公布之初就已經控制了38萬個物聯網設備。相對于通過僵尸主機、服務器發起的DDoS攻擊而言,物聯網設備幾乎等同于無門檻、無成本的廉價“肉雞”。
一位安全行業人士告訴記者:“以往的僵尸網絡,最多也就控制幾萬個終端,跟這個沒辦法相比。”根據360發布的最新文章,感染Mirai的物聯網終端已經超過了72萬個,且保持著高速、穩定的擴張速度。
大部分物聯網設備在設計之初主要應用在專網、或者不聯網的領域,并沒有將互聯網作為應用場景。比如安防攝像頭,最初都是通過硬盤來存儲數據,其產品特性也主要考慮編解碼、清晰度等特性。但隨著攝像頭數量增多,越來越多設備需要遠程控制能力,也因此開始連接互聯網。此時,缺少安全防護的問題開始大規模暴露。
“PC、服務器設備在設計之初就考慮到了安全防護問題,即使被控制,發現之后也可以很快處理、清除。但物聯網設備,根本沒有設計溯源、審計等防護能力,被感染的物聯網設備,很難從僵尸網絡中清除出去。”前述安全部門人士告訴記者,“‘肉雞’還分布在全球各地,DDoS的威力在物聯網上被極速放大,而且還很難出臺一個應急機制來應對這個問題。這種攻擊問題,可能會越來越多。”
物聯網安全預算不足1%
而對整個物聯網而言,安全問題的爆發才剛剛開始。
國際知名分析機構Gartner分析指出,2015年,全球聯網的設備數量達到49億臺,預計2016年將增長30%,達到64億臺。其中,個人消費電子產品約40.2億臺,而行業物聯網設備數量約23.7億臺。到2020年,兩類設備數量將分別達到135億臺、63億臺,合計198億臺。
Gartner分析指出:“由于物聯網會收集大量個人健康、工廠生產等高價值數據,企業必須重視安全問題。”目前物聯網的安全問題爆發在DDoS領域,但未來必然會產生數據泄露、泄密等重大安全事件,其帶來的損失遠非DDoS攻擊可比。
2015年,國內知名安防企業海康威視(24.880,-0.30,-1.19%)曾爆發黑天鵝事件,其產品漏洞爆發安全事件,導致部分設備被境外IP控制。江蘇省公安廳曾為此發文要求全省各級公安機關對海康威視設備進行全面清查,開展安全加固。
而在本次美國網絡癱瘓事件中,國外安全分析網站KrebsonSecurity指出被感染的DVR、攝像頭設備則主要來自杭州雄邁信息技術有限公司、浙江大華技術股份有限公司兩家中國企業,前者為大部分攝像頭企業提供攝像模組,而后者面向全球提供視頻存儲、前端、顯示控制和智能交通等系列化產品。
“很多物聯網公司已經開始嘗試尋求安全方案”,一位國產芯片公司人士告訴記者:“攝像頭現在是安全問題的重點領域,一些公司開始嘗試增加安全芯片的方式來進行硬件加密。”當然,也有部分公司更關心“硬件加密究竟會提高多少成本”。
2015年,為解決物聯網安全問題而產生的安全費用不足行業年度預算的1%。Gartner預測,這一比例到2020年需要提高到20%。
前述安全人士指出:“現在,物聯網的安全涉及到前端設備、傳輸鏈路、后端管理平臺和數據協議,設備種類繁多,通信協議各異,很難通過一種解決方案來解決物聯網的安全問題。現在標準存在很多缺失,有關部門正在籌備這些事。”
