ISC2015物联网专家:别等黑客攻击你的设备时才后悔
日前,中国互联网安全大会(ISC2015)在国家会议中心落幕。大会期间,物联网安全再度成为众多与会大咖关注和热议的话题。针对物联网设备安全的脆弱现状,美国中佛罗里达大学电子工程与计算机系教授金意儿认为,需建立自动化的设备安全监测框架和工具链,以快速检测任意物联网设备,并生成有针对性的低成本解决方案。
图说:金意儿在ISC全球互联网安全精英峰会上演讲。
“我们不想等到真正黑客攻击你的设备让你感到后悔,而是我们扮演着一个黑客,或者帮助某一个公司技术人员变成一个黑客,黑他们自己公司的设备,最终解决他们的安全问题,而不是等到这个问题被新闻媒体报道为止。”在ISC闭幕全球互联网安全精英峰会上,金意儿带来了题为《智能还是安全:物联网安全与保护》的演讲,并提出所有物联网设备都应该为了安全而设计,而非为了设计而安全。
这一观点的提出与时下物联网飞速发展的背景紧密相连。ISC大会名誉主席、中国工程院院士邬贺铨在大会开幕致辞中便提到,随着物联网时代的来临,接入互联网的设备也呈现爆发式增长,2015年全球连接到互联网上的设备将达49亿台,而到2020年将超过 260 亿台。随着互联网+计划的推进,传统行业逐步数据化、在线化、移动化、远程化;人、企业、社会服务甚至整个世界都与网络深度绑定,将产生巨量连接和巨量数据。
邬贺铨强调,当海量人、设备和服务连接到互联网后,其存在的安全风险对于整个网络空间的影响将是灾难性的,由于网络世界与现实物理世界深度融合,网络世界的安全威胁也将更深地影响到现实世界。
而基于物联网层面,薄弱的硬件设备安全现状会对现实世界产生哪些影响?金意儿给出了答案,他将物联网安全威胁划分为4个层面——安全考量、隐私考量、人身安全考量和国家战略安全考量。
具体而言,智能冰箱、电视能被远程控制发送垃圾邮件,智能手环被远程监控可能让窃贼了解你的作息模式并伺机作祟……从早期的ThingBot威胁到个人隐私被窃取,类似的硬件漏洞已是屡见报端。更加令人心生忧虑的是,物联网设备可能造成人身安全和国家战略安全层面的威胁。
金意儿举例称,比如智能汽车被破解,攻击者远程可随意操纵汽车,乘客安全无法保障;还有曝光尚少的医疗设备,“美国FDA(美国食品药品监督管理局)不久前下架一款医疗注射产品,这是个很有趣的例子,因为黑客并没有把这个漏洞报给医疗公司,而是报给了黑客大会,由黑客大会逐步传到FDA耳朵里,再有FDA命令这款设备下降。这对公司是个很大的打击,也从侧面反映了这个公司没有把安全作为很强的考虑。”
演讲现场,金意儿还以电网实验为例,展示了硬件安全对工控系统的重要影响。视频显示,实验者远程操控了发电机组的一些固件,结果整个发电机组被烧毁瘫痪。实验报回给美国国土安全部之后,引起强烈反响,“因为大家第一次从实际活生生的例子看到,对于固件或者从网络层面、软件层面的攻击是可以导致硬件的问题。”
金意儿表示,对特定智能设备的攻击,使得工业级的危害成为可能。而未来,由于设备激增、设计周期短、缺乏有效的安全规范和准则等因素,物联网设备面临着缺乏有效安全保护的挑战。解决之道则在于,厂商理解物联网的安全隐患,并定义“设计准则”来消除、减弱这些安全隐患。
同时,金意儿提出,应当建立自动化的设备安全监测框架和工具链,以快速检测任意物联网设备,并自动生成有针对性的低成本解决方案,最终帮助设备实现“为了安全而设计”。
据悉,中国互联网安全大会是由中国互联网协会和360互联网安全中心共同创办于2013年,经过3年发展已经成长为亚太地区规模最大、最具影响的网络安全行业盛会。主题为“数据驱动安全”的2015中国互联网安全大会(ISC 2015)9月29日~30日在北京国家会议中心举行,在为期两天的会议中,来自中国、美国、以色列、澳大利亚、韩国、新加坡等国家的120位全球顶级安全专家,在中国互联网安全领袖峰会、全球互联网安全精英峰会和13个分论坛上围绕110个议题分享最新的研究成果和行业洞见,深入交流全球信息安全最新发展趋势,共同探讨网络安全行业未来。