從智能手機、個人電腦的普及算起,我們就已經進入物聯網時代。此外,網絡攝像頭、智能路由器等在家庭的普及程度也越來越高。未來,智能汽車、智能家居等的普及,將會帶我們全面進入物聯網時代。
但隨之而來的物聯網安全問題也與日俱增,如果黑客通過網絡對物聯網設備進行遠程控制,給我們的工作和生活所帶來的危害幾乎無法想象。過去,物聯網技術的應用還沒有普及,安全問題并沒有得到充分重視,但接下來,安全問題很可能成為物聯網進一步發(fā)展的瓶頸。
安全問題日益凸顯
最近Gartner的一項調查發(fā)出警示:近20%的企業(yè)組織在過去三年中至少發(fā)現過一次基于物聯網的攻擊。Gartner預測,為防范這些威脅,2018年全球物聯網安全支出將達到15億美元,比2017年的12億美元增長28%。
在物聯網快速普及的過程中,安全問題所帶來的挑戰(zhàn)也是水漲船高,安全問題已經不僅是有待解決這么簡單,而是迫在眉睫。這不僅關系到信息與網絡的安全,更關系到整個物聯網產業(yè)的可持續(xù)發(fā)展。
嚴重情況,你根本想不到
由于物聯網安全風險一直不被產業(yè)鏈中的廠商所重視,無論是終端設備層的設備嗅探、入侵,還是網絡層的安全防護,或是平臺和應用層的數據竊取、欺詐、業(yè)務中斷,都存在不小的問題。
在終端設備層,不少廠商的產品都保留有硬件調試接口,這些接口往往都具有系統(tǒng)最高權限,不法分子可以輕松通過這些接口控制CPU的運行狀態(tài)、讀寫內存內容、查看系統(tǒng)信息與應用程序調試等。
不僅如此,物聯網設備大多采用嵌入式linux系統(tǒng),賬戶信息一般存放在/etc/passwd或者/etc/shadow 文件中,攻擊者拿到這個文件可以通過John等工具進行系統(tǒng)密碼破解,或者通過搜集常用的弱口令列表,通過機器嘗試的方式獲取系統(tǒng)相關服務的認證口令。
相比較終端設備層的安全而言,物聯網安全中的網絡層、平臺和應用層的安全基本屬于傳統(tǒng)網絡安全的范疇,我們已經比較熟悉。比如,在平臺和應用層,由于物聯網設備已經逐步實現通過云的方式進行遠程管理和控制,對于攻擊者來說,他們可以通過挖掘云提供商的漏洞、APP的漏洞,或者分析設備和云端的通信數據,偽造數據來獲取設備控制權。
