2015年9月29日-30日,亚太信息安全领域最权威的年度峰会——2015中国互联网安全大会(ISC2015)在北京国家会议中心召开。30日上午,数据篡改与物联网安全论坛上,来自浙江大学、密歇根大学、韩国KAIST大学等全球高校的知名教授以及360Unicorn Team等的行业专家,带来了对于物联网安全领域最新的研究成果,现场各种“黑”技术让人们意识到物联网安全的重要性。
图:物联网安全论坛 徐文渊教授
浙江大学教授、博士生导师徐文渊提到,Gartner预测:至2020年,将会有260亿台物联网设备,初步预算平均每人手中将会有6台。如果算上电脑和智能手机,这个数字将会达到300亿,能够创造2000亿美金的价值。物联网发展带来很大机遇的同时,亦面临巨大挑战,而安全问题也成为最大的矛盾点。
海量个人信息安全难保障
图2:Alex教授ISC2015物联网分论坛精彩演讲
物联网安全分论坛上,来自密歇根大学从事计算机研究的Alex Halderman教授展示的“黑”技术尺度大到令人震惊。Alex表示,在测试机场安检使用的扫描器X射线后,结果表明这些设备就相当于一个反向扫描仪,乘客通过安检时,人体全部暴露在别人面前。
然而这还不是最恐怖的。Alex教授介绍,这些扫描仪的监控设备由软件控制。试想如果有人破解了机场内网和操控软件,那么每个曾在机场遭遇安检的人,详细的个人信息资料和自己都没见过的“裸照”将被攻击者掌控。海量的个人信息汇集,造成大数据泄露,信息安全难以保障。
安全漏洞能致命并非玩笑
如果说物联网攻击可致命,很多人觉得这是耸人听闻。但ISC2015物联网安全分论坛上,深圳纽创信安科技创始人兼CEO樊俊峰的一席演讲让人们意识到,这并非玩笑。
万物互联的时代,通过互联网将物与物、物与人、人与人全部建立联系。提到最为新颖的物联网设备你或许会联想到智能汽车,樊俊峰提到,“黑客可以登录到车联网,修改一颗芯片的固件,这个芯片可以发送汽车刹车指令,也就是说能够远程控制引擎,这是致命的。”存在安全漏洞的物联网设备就是令人如此胆战心惊。
此外,韩国KAIST大学安全研究实验室 Syssec Lab 教授Yongdae Kim通过实验证明,噪音可使无人机坠毁。这是通过影响无人机中的传感设备来实现的,而目前许多物联网设备都使用传感器。尤其医疗设备,如果对医疗设备中的传感器进行攻击,影响依然是致命的。
“黑”技术预警安全问题不容小觑
图3:安全专家齐聚ISC2015物联网安全论坛
数据篡改与物联网安全分论坛上,来自360Unicorn Team负责人杨卿和来自北京华永兴安科学技术有限公司的创始人王英键让现场观众get到了许多“黑”技术。
杨卿介绍并演示了如何利用GPS进行欺骗,通过制造假信号等一系列操作,伪装物联网设备的地理位置,定位到纳木错湖中央、甚至穿越时空都能实现。而王英键则支招,如何足不出户玩坏隔壁老王。智能路由器现在很多家庭都会使用,作为一个家庭的网关重要性不言而喻。而其中却存在漏洞,王英键提到,通过入侵网络,以手机控制设备就能接收电视信号,如此能够免费看到隔壁老王家的电视。通过这种手段,还可以控制隔壁门铃响起的频率,让隔壁的门铃不断的自动响起。
其实,杨卿和王英键两位专家介绍的“黑”技术,听起来很恶作剧很搞笑。但实际上,物联网中普遍存在的弱口令、后门、漏洞等,一旦被不法分子加以利用,小到个人生活和隐私安全受到影响,大到人身安全都面临严峻威胁。
物联网安全中被忽视的一环
美国马里兰大学教授屈钢在ISC015物联网安全分论坛上,发表了题为“物联网设备硬件设计的安全隐患、挑战和机遇”演讲。
屈钢教授将视角投放在了硬件设计方面。物联网的组成部分,除了“网”,就是“物”了。将物联网中的“物”具体化,就是我们日常使用的联网硬件设备。那么关注物联网安全,除了网络安全,自然硬件设计的底层安全也是其中一部分。
屈钢教授将硬件喻为“保险箱”。如果硬件的底层安全做不好,存在诸多漏洞,那就相当于众人在使用一个纸糊的保险箱,纸糊的保险箱又如何保障安全?
在ISC2015“数据篡改与物联网安全论坛——万物互联之下的安全生态”分论坛上,各位嘉宾的精彩演讲揭露了物联网中的安全问题、提出解决方案。物联网在飞速发展的同时正是由于这些专家和行业精英的努力才能使入正轨不偏航。
据悉,2015中国互联网安全大会(ISC2015)汇聚了全球顶级安全智库、知名大学和国内研究机构学者、世界各地安全企业和安全团队,在中国互联网安全领袖峰会、全球互联网安全精英峰会和13个分论坛上,围绕超过110个演讲议题进行头脑风暴,以世界级的眼光共同做了深入有效的探讨。