《流浪地球》熱映后，影片中反復(fù)出現(xiàn)的提示語(yǔ)由于不押韻，觸發(fā)一干觀眾的強(qiáng)迫癥，對(duì)其印象深刻。

[[257837]]

這一魔性洗腦的廣告語(yǔ)從電影火到網(wǎng)絡(luò)，又從網(wǎng)絡(luò)火到現(xiàn)實(shí)中。

IDC預(yù)估，今年全球圍繞物聯(lián)網(wǎng)衍生的商機(jī)逼近1萬(wàn)億美元，Counterpoint的IoT服務(wù)項(xiàng)目也作出預(yù)測(cè)，到2019年底，全球物聯(lián)網(wǎng)蜂窩連接將達(dá)到16億。

萬(wàn)億級(jí)消費(fèi)市場(chǎng)、連接數(shù)量猛增，面對(duì)如此情形，耳邊響起了那句提示語(yǔ)：

回顧2018年發(fā)生在物聯(lián)網(wǎng)領(lǐng)域內(nèi)的安全事件，你會(huì)覺(jué)得，物聯(lián)網(wǎng)脫掉“安全”的外衣，整個(gè)人形同“裸奔”。

全球最大CPU制造商英特爾遭遇“史詩(shī)級(jí)別”漏洞的沖擊

2018年1月3日，Google Project Zero(GPZ)團(tuán)隊(duì)安全研究員Jann Horn在其團(tuán)隊(duì)博客中爆出CPU芯片的兩組漏洞，分別是Meltdown(幽靈)與Spectre(熔斷)。

Meltdown漏洞影響幾乎所有的Intel CPU和部分ARM CPU，而Spectre則影響所有的Intel CPU和AMD CPU，以及主流的ARM CPU。從個(gè)人電腦、服務(wù)器、云計(jì)算機(jī)服務(wù)器到移動(dòng)端的智能手機(jī)，都受到這兩組硬件漏洞的影響。

IoT僵尸網(wǎng)絡(luò)陰魂不散

Bitdefender的安全研究人員于2018年1月10日發(fā)現(xiàn)一個(gè)名為Hide 'N Seek (HNS)的僵尸網(wǎng)絡(luò)，短短10天時(shí)間感染了20000個(gè)僵尸主機(jī)。研究者發(fā)現(xiàn)，HNS不僅具備高度自定義的特征，會(huì)對(duì)開(kāi)放Telnet設(shè)備發(fā)起暴力破解攻擊，還能夠保持“在設(shè)備重啟之后惡意軟件仍舊存在”。

物聯(lián)網(wǎng)安全漏洞導(dǎo)致4.96億設(shè)備易受攻擊

2018年7月20日，物聯(lián)網(wǎng)(IoT)安全供應(yīng)商Armis發(fā)布研究報(bào)告，稱約4.96億企業(yè)設(shè)備面臨DNS重綁定攻擊風(fēng)險(xiǎn)。DNS重綁定攻擊可令攻擊者通過(guò)操縱DNS(域名服務(wù))工作機(jī)制獲得局域網(wǎng)訪問(wèn)權(quán)。

Armis公司表示，物聯(lián)網(wǎng)以及其他智能設(shè)備正是攻擊者通過(guò)DNS重綁定漏洞進(jìn)行攻擊的完美目標(biāo)，主要由于其在企業(yè)網(wǎng)絡(luò)中分布較廣，在情報(bào)收集和數(shù)據(jù)竊取方面可以發(fā)揮驚人的作用。

“毀”掉智慧城市的漏洞達(dá)17個(gè)之多

2018年8月，IBM研究團(tuán)隊(duì)發(fā)現(xiàn)，Libelium、Echelon、Battelle三種智慧城市只要系統(tǒng)中存在包括默認(rèn)密碼、可繞過(guò)身份驗(yàn)證、數(shù)據(jù)隱碼等安全漏洞達(dá)17個(gè)之多。利用這些漏洞，攻擊者可以控制報(bào)警系統(tǒng)、隨意篡改傳感器數(shù)據(jù)，甚至連城市交通，都可以受其擺布。

“學(xué)院派”黑客盜走特斯拉

比利時(shí)KU Leuven大學(xué)研究人員發(fā)現(xiàn)，通過(guò)設(shè)備截獲讀取特斯拉Model S用戶遙控鑰匙發(fā)出的信號(hào)，不到兩秒鐘的時(shí)間，遙控鑰匙的秘鑰就能夠被復(fù)制。要做到這些，開(kāi)走特斯拉，只需要600美元的無(wú)線電和樹(shù)莓派等設(shè)備。

[[257838]]

亞馬遜修復(fù)物聯(lián)網(wǎng)操作系統(tǒng)13個(gè)安全漏洞

2018年10月，亞馬遜修復(fù)了物聯(lián)網(wǎng)操作系統(tǒng)FreeRTO及AWS連接模塊的13個(gè)安全漏洞。入侵者可以利用這些漏洞破壞設(shè)備，獲取內(nèi)存中的內(nèi)容和遠(yuǎn)程運(yùn)行代碼，從而完全控制設(shè)備。

前不久有媒體發(fā)布2019年物聯(lián)網(wǎng)發(fā)展十大預(yù)測(cè)，其中包括安全狀況堪憂預(yù)測(cè)，內(nèi)容表示物聯(lián)網(wǎng)安全事故同比增長(zhǎng)近6倍。

物聯(lián)網(wǎng)所面臨的安全問(wèn)題，主要表現(xiàn)在：

1. 安全隱私

舉個(gè)栗子，當(dāng)射頻識(shí)別技術(shù)被用于物聯(lián)網(wǎng)系統(tǒng)時(shí)，RFID標(biāo)簽可以被嵌入任何物品中，日常生活中，人們不會(huì)格外注意到這些物品，從而導(dǎo)致物品擁有者在不知情的情況下不受控制地被掃描、定位和追蹤。

2. 假冒攻擊

相對(duì)于傳統(tǒng)TCP/IP網(wǎng)絡(luò)，智能傳感終端、RFID電子標(biāo)簽的屬性更加“暴露”，傳輸平臺(tái)在一定范圍內(nèi)也是“暴露”在空中，“竄擾”在傳感網(wǎng)絡(luò)領(lǐng)域顯得非常頻繁、并且容易。所以，傳感器網(wǎng)絡(luò)中的假冒攻擊是一種主動(dòng)攻擊形式,它極大地威脅著傳感器節(jié)點(diǎn)間的協(xié)同工作。

3. 物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)的本地安全問(wèn)題

物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)多數(shù)部署在無(wú)人監(jiān)控的場(chǎng)景中，攻擊者就可以輕易地接觸到這些設(shè)備，從而對(duì)它們?cè)斐善茐?，甚至通過(guò)本地操作更換機(jī)器的軟硬件。

4. 惡意代碼攻擊

惡意程序在無(wú)線網(wǎng)絡(luò)環(huán)境和傳感網(wǎng)絡(luò)環(huán)境中存在大量入口，其具備傳播性、隱蔽性、破壞性，遠(yuǎn)比TCP/IP網(wǎng)絡(luò)更加難以防范。

5. 傳輸層和應(yīng)用層的安全隱患

由于物聯(lián)網(wǎng)在感知層所采集的數(shù)據(jù)格式多樣、海量感知節(jié)點(diǎn)數(shù)據(jù)、多源異構(gòu)數(shù)據(jù)，物聯(lián)網(wǎng)絡(luò)的傳輸層和應(yīng)用層不僅面臨現(xiàn)有TCP/IP網(wǎng)絡(luò)的所有安全問(wèn)題，還將面臨更為復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題。

另外，在2019年，通過(guò)直接互聯(lián)網(wǎng)接口感染大量設(shè)備的攻擊、對(duì)數(shù)據(jù)中心和云服務(wù)或加密貨幣挖掘?yàn)槟康倪M(jìn)行的DDoS攻擊等針對(duì)物聯(lián)網(wǎng)的攻擊途徑將會(huì)快速增長(zhǎng)，表現(xiàn)出來(lái)的特性為攻擊的復(fù)雜性增加，為了盡可能避免物聯(lián)網(wǎng)安全事故的發(fā)生，不僅在網(wǎng)絡(luò)中采取動(dòng)作，也要增強(qiáng)設(shè)備安全的設(shè)計(jì)能力。

從全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)獲悉，有關(guān)物聯(lián)網(wǎng)(IOT)安全技術(shù)的27項(xiàng)國(guó)家標(biāo)準(zhǔn)近日正式發(fā)布，涉及物聯(lián)網(wǎng)安全的內(nèi)容包括相關(guān)的參考模型及通用要求、感知終端應(yīng)用安全、感知層網(wǎng)關(guān)安全、數(shù)據(jù)傳輸安全、感知層接入通信網(wǎng)安全等，自7月1日起實(shí)施。

物聯(lián)網(wǎng)距離我們?cè)絹?lái)越近，別讓安全姍姍來(lái)遲。