5G时代,万物皆互联。在数据流动性空前增强、攻击表面急剧扩大的5G时代,物联网呈现出“爆炸式”的发展态势,如何有效保障物联网安全已经成为当务之急。
8月5日上午,第八届互联网安全大会(简称“ISC 2020”)正式拉开帷幕。本届ISC首次采用云端峰会的形式进行,联结世界范围内的顶级安全智囊、专家、学者及政要,聚焦5G时代“数字产业化,产业数字化”新形势下网络安全领域的新对话、新探讨与新碰撞。期间,360智慧生活集团软件中台部总经理孙浩发表了关于物联网安全的主题演讲,并表示,物联网安全不仅需要与使用场景高度结合,更需要良好的研发规范和安审流程作保障。
众所周知,近年来随着智能电视、智能音箱、智能扫地机器人等智能家居设备的普及,物联网安全已经变得和每个人息息相关。从漠不关心到密切关注,物联网设备的安全性甚至已经成为很多用户购买决策的关键因素之一。
摄像机网络安全问题凸显
作为覆盖范围最广、联网率最高、数据敏感性最强且具备一定运算能力的物联网产品,摄像机的安全问题非常具有代表性。今年6月,澎湃新闻连发三篇报道,揭示了偷拍相关黑色产业链,在此之前,央视也报道了大量摄像机被破解,IP地址被公开叫卖的问题。
统计数据显示,2019年新增暴露的摄像机IP数量已经超过1500万——这还仅仅是部分扫描数据。从变化趋势来看,近两年的摄像机公网暴露情况是直线增长的,随着C端智能摄像机的进一步普及,这个数据还将维持高增长趋势。可以说,摄像机的安全问题已经得到了整个社会的广泛关注。
“公网暴露和开放的端口数量,是摄像机网络安全风险的一个基础。”孙浩表示,围绕摄像头常见的安全漏洞可以分为三大类:第一类是命令注入漏洞,可以借此执行系统命令或者运行任意程序,2016年10月,美国东海岸甚至因此造成了持续数小时的大规模断网;第二类是授权问题,可以访问未授权或者通过某个隐藏入口直接访问对应的设备;第三类是服务器存在访问控制缺陷,例如2018年4月HK云服务器发现访问控制缺陷,任意人可以通过该漏洞实现查看摄像、回放录像、添加账户共享等操作。
然而,影响最大的安全漏洞还要数弱密码问题。孙浩表示,“弱密码之前在摄像机、路由器上都很常见,摄像机上尤其突出,因为多数用于公共安防的摄像机需要和NVR等设备做集成部署,所以多数摄像机都是使用的默认密码,在互联网上只要搜索一下就能够得到主流设备厂商的默认用户名和密码。如果摄像机暴露在公网,通过弱密码一碰,很容易就能够控制摄像机,压根不需要什么复杂的操作。”
由于弱密码这类漏洞的破解技术含量非常低,这类的网络攻击已经大规模的工具化、产业化。售卖破解工具、售卖已经破解的IP地址和密码、将已经破解的设备做成一个可以在线查看的APP,诸如此类违法黑产行为,甚至已经形成了一条完整的产业链。在此基础上,摄像机安全漏洞,尤其是弱密码带来的风险,已经愈演愈烈。
安全渗透服务是物联网安全的最后一道防线
“由于安全意识不够或者嫌麻烦,而未对核心数据传输进行加密处理,就可能会被不法分子利用。”孙浩表示,“漏洞的产生还与写程序的人有关,为了调试方便在开发时开个特殊端口,然而量产的时候忘记关了,这就可能成为一个常见的授权漏洞。”
“我们的每一款新硬件、每一个固件在发版前,都需要按照流程做安全渗透审查。”孙浩指出,安全渗透服务是物联网安全的最后一道防线。目前,360的安全渗透审查大致分为五个方面:首先是硬件安全,查看有无遗留的物理接口——这里主要是调试接口、产测接口,能不能防物理攻击,比如之前门锁的小黑盒,需要能防电磁冲击,做好屏蔽和ESD防护;再者是系统安全,查看有无危险的端口遗留,OTA更新对固件有无校验,有无系统漏洞等;其次是应用层安全,查看应用安装、运行通信有无风险;然后是通信安全,主要针对各种协议进行分析,检查有无身份验证和数据传输问题;最后是云端安全,主要检查有没有遭受注入攻击的风险,确保认证安全和业务安全。
“当然,内部的安全审查只是一方面,我们深刻的认识到未知攻,焉知防,所以我们也在积极的将我们的IoT产品放到更大的平台上接受挑战、攻击。” 从2017年开始,360推出了“IoT安全守护计划”,每年的黑客马拉松挑战赛中,都将360 IoT产品攻防作为重要参赛题目。国际方面,360于2018年在拉斯维加斯的DEFCON大会上举办了“黑客踢馆赛”——摄像机、门锁、路由器等均作为参赛项目接受挑战,3天吸引了全球百余名黑客前来疯狂破解,但最终所有的参赛设备以“0”漏洞完美收官。事实上,自2014年起,360 IoT产品还参与过不少非360举办的黑客比赛,其防护能力经受住了重重考验。
不过,孙浩也坦承,“即便我们的产品本身没有安全问题,但是因为简单好用,被不法分子用于非法用途,这其实也是目前面临一个非常突出的问题。作为厂商,我们目前正在积极行动,通过专门的优化和部署,尽可能的保障设备被合法使用。”
以360摄像机为例,360实施了以下举措:一是针对家人分享功能,设定10人的分享上限,超出需求的特殊场景需要人工确认审批;对频繁分享、取消的异常行为也进行了识别,做二次验证或者禁止。另外,为了避免账号共用,目前360计划借鉴金融平台的设备安全认证能力,打通内部数据,完善账号的异地登录、可信设备管理等功能。
“物联网最大的特点是万物互联,设备互联互通,单个设备的数据维度是有限的,所以物联网安全需要多维度的数据融合。”为此,360在去年发布了新一代家庭防火墙·路由器——内置BNI流解析引擎,可以识别联网设备,并对设备行为进行识别,能够通过特征标识识别设备和应用行为,通过协议识别、特征提取等判断设备的安全情况。此外,去年10月,360基于设备识别引擎,还上线了摄像机检测功能,通过手机就可以识别检测同网络下的摄像机设备,目前累计使用已经超过2000万次。
总结起来,孙浩认为就是一句话:“物联网安全是一种能力,更是一种态度,这不仅需要良好的研发规范和安审流程做保障,更需要与使用场景进行深入结合。”其实,这也是360公司董事长兼CEO周鸿祎“用户至上、体验为王”产品理念的一种体现——做产品一定要先分析用户是怎么想的,然后想方设法满足用户的需求,唯有如此才能给用户带来惊喜感,使之真切感受到产品背后的价值。
事实上,360智慧生活集团战略管理部总经理张修路也曾提出类似的观点,强调要用产品说话,全方位满足用户的实际需求和潜在需求。无论是摄像机、路由器,还是智能门铃、儿童手表、扫地机器人等硬件产品,360智慧生活所秉持的都是以用户为中心的理念,想用户所想,急用户所急,做用户所需。
目前,ISC 2020依然在如火如荼进行中。我们看到,互联网、大数据、人工智能等新一代信息技术,在不断创新聚变的同时,也对物联网安全的宏观环境、业务需求有了进一步挑战,共同建设物联网安全生态已经成为IoT厂商共识。未来,相信360将携手客户、生态企业及业界专家,共同把物联网生态安全建设推进到新的高度。