5G時(shí)代��,萬(wàn)物皆互聯(lián)���。在數(shù)據(jù)流動(dòng)性空前增強(qiáng)����、攻擊表面急劇擴(kuò)大的5G時(shí)代�,物聯(lián)網(wǎng)呈現(xiàn)出“爆炸式”的發(fā)展態(tài)勢(shì),如何有效保障物聯(lián)網(wǎng)安全已經(jīng)成為當(dāng)務(wù)之急����。
8月5日上午,第八屆互聯(lián)網(wǎng)安全大會(huì)(簡(jiǎn)稱“ISC 2020”)正式拉開(kāi)帷幕����。本屆ISC首次采用云端峰會(huì)的形式進(jìn)行,聯(lián)結(jié)世界范圍內(nèi)的頂級(jí)安全智囊����、專家、學(xué)者及政要��,聚焦5G時(shí)代“數(shù)字產(chǎn)業(yè)化�,產(chǎn)業(yè)數(shù)字化”新形勢(shì)下網(wǎng)絡(luò)安全領(lǐng)域的新對(duì)話��、新探討與新碰撞�����。期間�,360智慧生活集團(tuán)軟件中臺(tái)部總經(jīng)理孫浩發(fā)表了關(guān)于物聯(lián)網(wǎng)安全的主題演講��,并表示��,物聯(lián)網(wǎng)安全不僅需要與使用場(chǎng)景高度結(jié)合,更需要良好的研發(fā)規(guī)范和安審流程作保障��。
眾所周知,近年來(lái)隨著智能電視�����、智能音箱、智能掃地機(jī)器人等智能家居設(shè)備的普及�,物聯(lián)網(wǎng)安全已經(jīng)變得和每個(gè)人息息相關(guān)。從漠不關(guān)心到密切關(guān)注���,物聯(lián)網(wǎng)設(shè)備的安全性甚至已經(jīng)成為很多用戶購(gòu)買決策的關(guān)鍵因素之一�。
攝像機(jī)網(wǎng)絡(luò)安全問(wèn)題凸顯
作為覆蓋范圍最廣����、聯(lián)網(wǎng)率最高��、數(shù)據(jù)敏感性最強(qiáng)且具備一定運(yùn)算能力的物聯(lián)網(wǎng)產(chǎn)品�����,攝像機(jī)的安全問(wèn)題非常具有代表性。今年6月�,澎湃新聞連發(fā)三篇報(bào)道��,揭示了偷拍相關(guān)黑色產(chǎn)業(yè)鏈,在此之前��,央視也報(bào)道了大量攝像機(jī)被破解��,IP地址被公開(kāi)叫賣的問(wèn)題��。
統(tǒng)計(jì)數(shù)據(jù)顯示���,2019年新增暴露的攝像機(jī)IP數(shù)量已經(jīng)超過(guò)1500萬(wàn)——這還僅僅是部分掃描數(shù)據(jù)。從變化趨勢(shì)來(lái)看����,近兩年的攝像機(jī)公網(wǎng)暴露情況是直線增長(zhǎng)的�����,隨著C端智能攝像機(jī)的進(jìn)一步普及,這個(gè)數(shù)據(jù)還將維持高增長(zhǎng)趨勢(shì)��。可以說(shuō)�,攝像機(jī)的安全問(wèn)題已經(jīng)得到了整個(gè)社會(huì)的廣泛關(guān)注�。
“公網(wǎng)暴露和開(kāi)放的端口數(shù)量,是攝像機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一個(gè)基礎(chǔ)��。”孫浩表示�����,圍繞攝像頭常見(jiàn)的安全漏洞可以分為三大類:第一類是命令注入漏洞�,可以借此執(zhí)行系統(tǒng)命令或者運(yùn)行任意程序�,2016年10月�����,美國(guó)東海岸甚至因此造成了持續(xù)數(shù)小時(shí)的大規(guī)模斷網(wǎng);第二類是授權(quán)問(wèn)題�����,可以訪問(wèn)未授權(quán)或者通過(guò)某個(gè)隱藏入口直接訪問(wèn)對(duì)應(yīng)的設(shè)備;第三類是服務(wù)器存在訪問(wèn)控制缺陷����,例如2018年4月HK云服務(wù)器發(fā)現(xiàn)訪問(wèn)控制缺陷�����,任意人可以通過(guò)該漏洞實(shí)現(xiàn)查看攝像、回放錄像��、添加賬戶共享等操作�����。
然而��,影響最大的安全漏洞還要數(shù)弱密碼問(wèn)題���。孫浩表示�,“弱密碼之前在攝像機(jī)���、路由器上都很常見(jiàn)�����,攝像機(jī)上尤其突出����,因?yàn)槎鄶?shù)用于公共安防的攝像機(jī)需要和NVR等設(shè)備做集成部署����,所以多數(shù)攝像機(jī)都是使用的默認(rèn)密碼��,在互聯(lián)網(wǎng)上只要搜索一下就能夠得到主流設(shè)備廠商的默認(rèn)用戶名和密碼。如果攝像機(jī)暴露在公網(wǎng)��,通過(guò)弱密碼一碰����,很容易就能夠控制攝像機(jī)����,壓根不需要什么復(fù)雜的操作�����。”
由于弱密碼這類漏洞的破解技術(shù)含量非常低,這類的網(wǎng)絡(luò)攻擊已經(jīng)大規(guī)模的工具化���、產(chǎn)業(yè)化。售賣破解工具���、售賣已經(jīng)破解的IP地址和密碼����、將已經(jīng)破解的設(shè)備做成一個(gè)可以在線查看的APP����,諸如此類違法黑產(chǎn)行為�,甚至已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈。在此基礎(chǔ)上����,攝像機(jī)安全漏洞,尤其是弱密碼帶來(lái)的風(fēng)險(xiǎn)��,已經(jīng)愈演愈烈。
安全滲透服務(wù)是物聯(lián)網(wǎng)安全的最后一道防線
“由于安全意識(shí)不夠或者嫌麻煩�����,而未對(duì)核心數(shù)據(jù)傳輸進(jìn)行加密處理,就可能會(huì)被不法分子利用����。”孫浩表示�,“漏洞的產(chǎn)生還與寫(xiě)程序的人有關(guān)��,為了調(diào)試方便在開(kāi)發(fā)時(shí)開(kāi)個(gè)特殊端口,然而量產(chǎn)的時(shí)候忘記關(guān)了�����,這就可能成為一個(gè)常見(jiàn)的授權(quán)漏洞���。”
“我們的每一款新硬件、每一個(gè)固件在發(fā)版前�,都需要按照流程做安全滲透審查��。”孫浩指出,安全滲透服務(wù)是物聯(lián)網(wǎng)安全的最后一道防線�����。目前���,360的安全滲透審查大致分為五個(gè)方面:首先是硬件安全�,查看有無(wú)遺留的物理接口——這里主要是調(diào)試接口�����、產(chǎn)測(cè)接口,能不能防物理攻擊����,比如之前門鎖的小黑盒���,需要能防電磁沖擊,做好屏蔽和ESD防護(hù);再者是系統(tǒng)安全���,查看有無(wú)危險(xiǎn)的端口遺留�,OTA更新對(duì)固件有無(wú)校驗(yàn)����,有無(wú)系統(tǒng)漏洞等;其次是應(yīng)用層安全�����,查看應(yīng)用安裝、運(yùn)行通信有無(wú)風(fēng)險(xiǎn);然后是通信安全,主要針對(duì)各種協(xié)議進(jìn)行分析����,檢查有無(wú)身份驗(yàn)證和數(shù)據(jù)傳輸問(wèn)題;最后是云端安全��,主要檢查有沒(méi)有遭受注入攻擊的風(fēng)險(xiǎn),確保認(rèn)證安全和業(yè)務(wù)安全��。
“當(dāng)然,內(nèi)部的安全審查只是一方面�����,我們深刻的認(rèn)識(shí)到未知攻����,焉知防�����,所以我們也在積極的將我們的IoT產(chǎn)品放到更大的平臺(tái)上接受挑戰(zhàn)、攻擊����。” 從2017年開(kāi)始�,360推出了“IoT安全守護(hù)計(jì)劃”���,每年的黑客馬拉松挑戰(zhàn)賽中����,都將360 IoT產(chǎn)品攻防作為重要參賽題目��。國(guó)際方面�����,360于2018年在拉斯維加斯的DEFCON大會(huì)上舉辦了“黑客踢館賽”——攝像機(jī)��、門鎖�����、路由器等均作為參賽項(xiàng)目接受挑戰(zhàn)���,3天吸引了全球百余名黑客前來(lái)瘋狂破解,但最終所有的參賽設(shè)備以“0”漏洞完美收官�����。事實(shí)上��,自2014年起,360 IoT產(chǎn)品還參與過(guò)不少非360舉辦的黑客比賽���,其防護(hù)能力經(jīng)受住了重重考驗(yàn)����。
不過(guò)��,孫浩也坦承����,“即便我們的產(chǎn)品本身沒(méi)有安全問(wèn)題,但是因?yàn)楹?jiǎn)單好用��,被不法分子用于非法用途,這其實(shí)也是目前面臨一個(gè)非常突出的問(wèn)題�。作為廠商���,我們目前正在積極行動(dòng)����,通過(guò)專門的優(yōu)化和部署�,盡可能的保障設(shè)備被合法使用�����。”
以360攝像機(jī)為例����,360實(shí)施了以下舉措:一是針對(duì)家人分享功能���,設(shè)定10人的分享上限���,超出需求的特殊場(chǎng)景需要人工確認(rèn)審批;對(duì)頻繁分享��、取消的異常行為也進(jìn)行了識(shí)別�����,做二次驗(yàn)證或者禁止。另外�,為了避免賬號(hào)共用����,目前360計(jì)劃借鑒金融平臺(tái)的設(shè)備安全認(rèn)證能力���,打通內(nèi)部數(shù)據(jù)���,完善賬號(hào)的異地登錄����、可信設(shè)備管理等功能����。
“物聯(lián)網(wǎng)最大的特點(diǎn)是萬(wàn)物互聯(lián)����,設(shè)備互聯(lián)互通��,單個(gè)設(shè)備的數(shù)據(jù)維度是有限的,所以物聯(lián)網(wǎng)安全需要多維度的數(shù)據(jù)融合���。”為此,360在去年發(fā)布了新一代家庭防火墻·路由器——內(nèi)置BNI流解析引擎�,可以識(shí)別聯(lián)網(wǎng)設(shè)備�����,并對(duì)設(shè)備行為進(jìn)行識(shí)別,能夠通過(guò)特征標(biāo)識(shí)識(shí)別設(shè)備和應(yīng)用行為�,通過(guò)協(xié)議識(shí)別�、特征提取等判斷設(shè)備的安全情況����。此外����,去年10月���,360基于設(shè)備識(shí)別引擎����,還上線了攝像機(jī)檢測(cè)功能�,通過(guò)手機(jī)就可以識(shí)別檢測(cè)同網(wǎng)絡(luò)下的攝像機(jī)設(shè)備���,目前累計(jì)使用已經(jīng)超過(guò)2000萬(wàn)次���。
總結(jié)起來(lái)��,孫浩認(rèn)為就是一句話:“物聯(lián)網(wǎng)安全是一種能力,更是一種態(tài)度�,這不僅需要良好的研發(fā)規(guī)范和安審流程做保障,更需要與使用場(chǎng)景進(jìn)行深入結(jié)合����。”其實(shí)��,這也是360公司董事長(zhǎng)兼CEO周鴻祎“用戶至上、體驗(yàn)為王”產(chǎn)品理念的一種體現(xiàn)——做產(chǎn)品一定要先分析用戶是怎么想的,然后想方設(shè)法滿足用戶的需求�,唯有如此才能給用戶帶來(lái)驚喜感�,使之真切感受到產(chǎn)品背后的價(jià)值�����。
事實(shí)上���,360智慧生活集團(tuán)戰(zhàn)略管理部總經(jīng)理張修路也曾提出類似的觀點(diǎn)����,強(qiáng)調(diào)要用產(chǎn)品說(shuō)話�����,全方位滿足用戶的實(shí)際需求和潛在需求��。無(wú)論是攝像機(jī)、路由器���,還是智能門鈴����、兒童手表���、掃地機(jī)器人等硬件產(chǎn)品����,360智慧生活所秉持的都是以用戶為中心的理念,想用戶所想��,急用戶所急,做用戶所需�。
目前,ISC 2020依然在如火如荼進(jìn)行中��。我們看到�,互聯(lián)網(wǎng)、大數(shù)據(jù)���、人工智能等新一代信息技術(shù)��,在不斷創(chuàng)新聚變的同時(shí),也對(duì)物聯(lián)網(wǎng)安全的宏觀環(huán)境�����、業(yè)務(wù)需求有了進(jìn)一步挑戰(zhàn),共同建設(shè)物聯(lián)網(wǎng)安全生態(tài)已經(jīng)成為IoT廠商共識(shí)��。未來(lái)�����,相信360將攜手客戶、生態(tài)企業(yè)及業(yè)界專家����,共同把物聯(lián)網(wǎng)生態(tài)安全建設(shè)推進(jìn)到新的高度�。
