王宏 福建省政協辦公廳信息技術中心
物聯網安全淺析
王宏 福建省政協辦公廳信息技術中心
由于計算機網絡技術飛速發展,人們對于互聯網應用普及,人們也越來越關注很多智能化的應用,物聯網技術正是順應這樣的需求而出現的。本文簡要的探討物聯網技術的智能化在智能家居發展過程中存在安全方面的相關問題,并根據分析提出相應的物聯網安全建議措施,以促進物聯網的持續發展。
物聯網 智能家居 安全問題 安全建議
物聯網被譽為繼計算機、互聯網之后信息產業的第三次科技浪潮。和傳統的互聯網相比,物聯網具有以下鮮明的特征:
它是各種感知技術的廣泛應用。物聯網上部署了海量的不同類型傳感器,每個傳感器都是一個信息源,不同類別的傳感器所捕獲得信息內容和格式不同。而且數據具有實時性,需要周期性的采集環境信息,從而不斷更新數據。
物聯網技術的重要基礎和核心仍舊是互聯網,它通過各種有線、無線網絡與互聯網融合,將物體的信息實時準確傳遞出去。在物聯網上的傳感器定時采集的信息需要通過網絡傳輸,數據量非常大。在傳輸過程中,為了保障數據的準確性和及時性,物聯網的傳輸模式必須適應各種異構網絡協議。
物聯網除了連接,它還能夠對物體實施智能控制。物聯網將傳感器和智能處理相結合,利用云計算、模式識別等各種智能技術,對傳感器獲得的海量信息進行分析、加工、整理出可用數據,這些數據既能滿足不同用戶的需求,還可以擴展智能技術的應用領域。
目前包括無人機、智能電源、智能洗衣機、智能微波爐、智能攝像頭等智能硬件產品,只要保持電源連接、網絡連接狀態就有可能被黑客通過電腦進行遠程控制,存在較大的安全隱患。這些問題的曝光不僅給智能家居企業敲響了一個警鐘,也讓正在享受智能家居的消費者熱情冷卻下來。該如何解決這一安全漏洞,成了大家一致關心的問題。
傳統的防護邊界削弱,物聯網易被攻擊,當所有設備都變的更具有智能化,并且將他們接入到互聯網后,網絡邊界的概念會被削弱。接入點越來越多,整個系統也越大,被攻破的可能性也會越大。例如,現在很多設備都會通過藍牙、WiFi模塊接入互聯網。這樣的連接方式會存在很多被黑客利用的點,而且攻擊形式多變,使得安全防守端的挑戰越來越大。
3.1 傳輸過程未加密
在攻防團隊測試過程中,發現該款智能家庭攝像頭在傳輸過程中使用了一定的加密方式,采用了HTTPS協議對請求控制的內容進行傳輸加密。但是由于廠商對API接口的配置不當,造成了用戶可以通過80端口與設備建立連接,并對通信的數據包進行截獲,修改請求的端口號就可以獲得明文的數據。
3.2 用戶隱私泄露
在RSA2016大會上隱私顧問Rebecca Herold表示,大量物聯網設備發布,沒有任何安全和隱私控制。設備泄露的隱私里面會包含用戶的生活數據包括家里的溫度、位置、關照等信息。最主要的還包括家庭內部的視頻信息,通過對大量的智能家庭攝像頭的使用和測試發現,大部分的智能家庭攝像頭都存在繞過身份驗證控制設備的問題。這樣的操作是在遠程并且沒有任何感知的情況下就能完成了。這對于用戶隱私的危害是非常大的。
3.3 未存在人機識別機制
功防團隊通過測試發現,智能攝像頭由于未采用人機識別機制,在注冊流程、找回密碼流程等過程中,導致可以強制修改用戶密碼,從而獲取攝像機的控制權限。整個過程中用戶都毫無感知,因此對用戶的隱私造成了巨大影響。
3.4 智能家居設備存在著硬件調試接口
目前智能設備安全措施包括身份認證、數據加密、反硬件調試等。攻擊者接觸智能設備后,可以通過物理調試接口對設備進行修改,進而達到攻擊的目的;同時攻擊者可以通過遠程連接智能設備,通過暴力破解的方法攻破口令,進而控制智能家居設備。
隨著安全威脅的不斷發展,以及我們對安全理解的不斷加深,開始對安全的本質進行思考,正因為如此出現了基于木桶原理的安全防護體系。我們呼吁相關廠商在推出智能設備的同時,也應當將物聯網設備的安全性放在更加重要的位置上。同時建立相關的防護體系,如:加強對身份的認證識別,增強數據傳輸過程中的加密體系,及時發現相關云安全的解決方案,畢竟基于云+端+邊界的安全模型可以很好的解決這一安全問題。另外,智能家居的使用者也需要對設備帶來的風險有一定的認知,更加注重個人隱私安全。如何能夠保障自己的智能家居設備的隱私不會被泄露,這里提供了一些建議。首先,用戶在購買時候要對所選智能家居的品牌進行一些調查,在互聯網上能不能搜索到相關設備的一些漏洞。要挑選一個安全問題少,口碑不錯,價格合適的智能家居設備。在使用智能家居的時候,要注意設置一定強度的密碼,并且及時關注智能家居設備軟件的提醒。若發現軟件頻繁的提示收到短信驗證碼的信息,使用者就要及時修改相關密碼。使用者要不定期登錄智能家居的控制界面。若發現軟件中設定的參數經常變動的情況,就需要提高自己的警惕,保障智能家居的控制權在自己的手中。
隨著物聯網技術的飛速發展,物聯網的應用領域必將會越來越大,這種趨勢給人們的生產和生活帶來極大便利的同時,也將面臨著各類安全威脅。只有從認清楚當前的安全威脅,才能從安全技術防范和法律兩個方面入手,有效防止物聯網中的信息在傳輸過程中出現安全問題,從而促進物聯網健康快速發展,為人類社會做出突出的貢獻。
[1]魏震,李勝東.物聯網安全問題技術分析[J].無線互聯科技,2013(4):33-34
[2]饒柳,嚴炎.物聯網安全問題分析及機制設計[J].廣東通信技術,2013(2):33-36