◆ 國外那起借由智能魚缸實施的黑客攻擊并非偶然事件,聯網的咖啡機、電冰箱、智能畫板、電動窗簾、路由器都有可能成為被黑客攻擊的目標
◆ 國家互聯網應急中心今年最新數據顯示,其所收錄的安全漏洞中,聯網智能設備惡意程序控制服務器IP地址約1.9萬個,同比上升11.2%
◆ 路由器、交換機和網絡攝像頭等聯網智能設備一般全天候在線,被控制后用戶不易發現,往往被黑客控制后作為分布式拒絕服務攻擊的“穩定”攻擊源,甚至會成為綁架的“幫兇”
◆ 物聯網環境下,個體間的聯系越緊密,網絡攻擊帶來的損害程度就越大
◆ 處理好效率與安全之間的關系,從中找到一個平衡點,“既不過分強調效率忽視安全,也不能為了安全搞‘一刀切’,挫傷創新的積極性。”
防范萬物互聯下的網絡安全風險
智能科技如同一把雙刃劍,在給人們生活帶來諸多便利的同時,網絡安全風險也相伴相生:一張打印照片就能充當人臉用于識別,一款智能魚缸會成為網絡攻擊的入口,高度集中存儲的隱私數據面臨“裸奔”的可能……面對無所不在的網絡安全風險,一場“反擊戰”已悄然打響。
生物識別屢現漏洞
人臉識別技術近年來風生水起,不過,最近一則消息提示了其中存在的安全隱患。
近日,浙江嘉興上外秀洲外國語學校402班科學小隊向媒體稱:他們在一次課外科學實驗中發現,只要用一張打印照片就能代替真人刷臉,騙過小區里的豐巢智能柜,取出父母們的快遞,隨后該科學小隊還給出了幾段視頻佐證。
業內人士透露,目前人臉識別技術主要有2D和3D兩種。基于3D數據的人臉識別不管識別準確率還是活體檢測準確率都比2D有顯著提升。而通過攝像頭識別、算法比對的2D人臉識別,則容易被照片欺騙破解。這次豐巢智能柜很可能采用的是2D人臉識別技術。
今年初,提供人臉檢測和人群分析的深圳某公司被國外安全研究員發現其人臉識別數據庫沒有密碼保護,幾乎等同于在網上“裸奔”。
該研究員撰寫報告稱,這個數據庫涵蓋了超過250萬用戶的記錄,包括身份證號碼、地址、出生日期、識別其身份的位置等。在24小時內,有超過680萬條位置被記錄進去,根據這些信息可以跟蹤行蹤。
網絡安全專家黃道麗說,此次疑似泄露的人臉識別數據如果與以往泄露的隱私信息相關聯,或可達到“用戶畫像”的程度,產生網絡詐騙等風險。
不僅如此,在今年國家網絡安全周期間,有關“拍照比剪刀手”也可能會讓不法分子獲取指紋信息、破解各類密碼的消息進一步挑動大眾神經。
對此,上海信息安全行業協會專委會副主任張威從科學角度分析:拍攝者和被拍攝者距離在1.5米范圍內,當被拍攝者比出“剪刀手”時,其指紋信息就有可能通過照片提取還原。
數據顯示,從2002到2015年,我國生物識別市場規模復合年均增速為50%左右。在巨大發展潛力及迅猛的發展態勢之下,生物識別商業化步伐越邁越寬。而近期接連曝出的網絡安全風險提示人們未來發展的隱患。
9月27日,工作人員在鄭州地鐵紫荊山站刷臉過閘 李嘉南攝
萬物互聯亦延伸風險
萬物互聯時代,發生在國外的一起借由智能魚缸實施的黑客攻擊事件,將物聯網風險暴露出來。
被攻擊的是一家位于北美的賭場,其智能魚缸通過連接互聯網,可以實現自動喂食并保持環境、溫度、清潔度。這個看似不起眼的物聯網設備成了黑客攻擊的目標。
黑客先是入侵智能魚缸,得以進入賭場內網中,然后進行掃描,發現漏洞后進而侵入到網絡中的其他地方,最終神不知鬼不覺將賭場數據竊取。
“智能魚缸成為‘后門’并非偶然事件。”在科技專欄作家金智淵看來,聯網的咖啡機、電冰箱、智能畫板、電動窗簾、路由器都有可能成為被攻擊的目標。隨著日常生活中物聯網設備的激增,黑客有著越來越多的渠道進入內網竊取數據。
隨著大數據、人工智能等技術發展,越來越多的個體被接入萬物互聯的體系內。在物聯網加速融入人們生活的同時,傳統的網絡攻擊和風險也開始向物聯網和智能設備蔓延。
國家互聯網應急中心最新發布的《2019年上半年我國互聯網網絡安全態勢》顯示,其所收錄的安全漏洞中,包括家用路由器、網絡攝像頭等在內的聯網智能設備惡意程序控制服務器IP地址約1.9萬個,同比上升11.2%。
國家計算機網絡應急技術處理協調中心副主任云曉春等專家認為,與電腦不同,路由器、交換機和網絡攝像頭等聯網智能設備一般全天候在線,被控制后用戶不易發現,往往被黑客控制后作為分布式拒絕服務攻擊的“穩定”攻擊源,甚至會成為綁架的“幫兇”。
研究者演示了能夠將勒索軟件安裝到家庭的智能恒溫器上,除非受害者同意用比特幣支付贖金。還能對聯網的車庫門、車輛甚至家電發動類似攻擊。隨著無人駕駛日益普及,黑客有可能控制車輛,換廣播電臺、開啟雨刷器、逼停車輛,乃至引發交通事故。
網絡安全風險真的防不勝防嗎?答案當然是否定的。
互聯網社區極客公園的專業人士一語道破了其中真相:很多公司疏于物聯網設備的安全的防護,主要出于成本考慮。
部分物聯網設備生產商為了節省成本,使用通用、開源的操作系統,或未經安全檢測的第三方組件,這很可能會引入漏洞。而且,大多數物聯網設備不會保護調試接口,這也給了攻擊者乘虛而入的機會。
“在大量價格低廉的物聯網設備上,幾乎不可能使用復雜又耗電的安全系統。”一位互聯網安全專家無奈地說。
中國工程院院士鄔賀銓認為,物聯網、工業物聯網的發展帶來了新的安全問題,其一旦受影響,情況將會更嚴重。
物聯網環境下,個體間的聯系越緊密,網絡攻擊帶來的損害程度就越大。因為任何一個針對個體的網絡攻擊都有可能蔓延到更廣的范圍。
系統思維維護網絡安全
智能時代,網絡安全機遇與挑戰并存。面對不斷升級的網絡安全風險,解決的出路究竟在哪里?
360集團董事長兼CEO周鴻祎提出了“安全大腦”概念,希望建立超大分布式智能安全系統,綜合利用人工智能等新技術,保護基礎設施、城市及個人等的網絡安全,其智能安全防護的能力進一步延伸到工業互聯網、車聯網、物聯網、城市安防等領域。
化解網絡安全風險難以一蹴而就,當務之急是封堵可見的漏洞,守住國家安全、企業安全及個人安全的底線。
其中,解決物聯網設備安全問題迫在眉睫。專家建議,具有公共屬性的政府機關及企事業單位要盡快強化對內部物聯網設備的安全排查及日常監控,重點關注是否存在漏洞、過往被攻擊情況、被攻擊IP地址來源等。
“物聯網設備常見的脆弱點有硬件接口暴露、未授權訪問等,技術水平并不高,完全可以防患于未然。”綠盟科技首席架構師楊傳安建議,通過國家標準要求、協會統籌規范、市場需求倒逼等方式多措并舉,生產商要做好設備全生命周期的安全保障工作,形成完善的網絡安全應急處置預案。
當前,對數據泄露管控還存在一些難點。盡快出臺更為完善的信息、數據領域保護法律法規成為普遍呼聲。
對于企業來說,減少對用戶隱私的收集,加強對用戶數據的保護,樹立良好的價值觀,增強數據監督與預防,能夠更好地從內部先行保護用戶信息安全,扮演好“守門人”的角色。
網絡的核心一定是安全。網絡既帶來了便捷,也帶來了風險。應處理好效率與安全之間的關系,從中找到一個平衡點,“既不過分強調效率忽視安全,也不能為了安全搞‘一刀切’,挫傷創新的積極性。”
