聊聊物聯(lián)網(wǎng)的那些事兒——安全篇

互聯(lián)網(wǎng)發(fā)展至今，安全性一直是個讓人勞神的問題。“黑客”這個神秘的群體，正是伴隨著互聯(lián)網(wǎng)而誕生。

現(xiàn)在，物聯(lián)網(wǎng)來了，安全性方面，又被提升到了一個全新的高度。

為什么這么說呢？

互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)邊界終止于PC，安全風(fēng)險到達(dá)信息這個層面，也基本到了頭。黑客本事再大，也不可能隔著屏幕，踢誰一腳。

你的車不聽你的使喚了

而物聯(lián)網(wǎng)時代，這個邊界就要被打破了?！拔镂铩甭?lián)網(wǎng)，一但被入侵，你的“物”就成了別人手中的提線木偶，操縱你家的小智能機(jī)器人踢你一腳，并不完全是一句玩笑話。

談到物聯(lián)網(wǎng)的安全性，讓我們先來看看，已知的案例。

2015年，美國菲亞特克萊斯勒宣布召回140萬輛轎車和卡車。原因是兩名安全專家成功模擬入侵了該汽車的電子系統(tǒng)：可遠(yuǎn)程控制車的行駛速度，可操縱空調(diào)，啟動雨刮器，打開電臺，還可以把車開進(jìn)溝里……

2014年，360安全研究人員發(fā)現(xiàn)了特斯拉ModelS車型應(yīng)用程序的設(shè)計漏洞：可遠(yuǎn)程控制車輛，可遠(yuǎn)程開鎖、鳴笛、閃燈以及開啟天窗等。

除此之外，車聯(lián)網(wǎng)導(dǎo)航系統(tǒng)如果被入侵，你可能被導(dǎo)航到錯誤路線，置于危險境地；

行車記錄儀被入侵，你車?yán)镘囃獾囊磺行袨?，都可能暴露在別人視野之下……

其他物聯(lián)網(wǎng)產(chǎn)品，同樣面臨類似的安全危脅。家中的視頻監(jiān)控系統(tǒng)（智能攝像頭）如果被入侵，你家中的實時狀態(tài)，就可能被別人一覽無余。

未來，還有水、電、石油、交通、物流等民生資源，這些資源的聯(lián)網(wǎng)， 給我們帶來更多的服務(wù)與便利的同時，也要面對更大的安全挑戰(zhàn)。如果一旦產(chǎn)生問題，造成的后果，也將遠(yuǎn)大于過去的互聯(lián)網(wǎng)時代。

那么對于物聯(lián)網(wǎng)，我們在享受它給我們帶來的便利同時，是否就只能將自己暴露在巨大的風(fēng)險之中呢？

道高一尺魔高一丈，安全有保障

其實，也大可不必過于擔(dān)心。因為，辦法總是有的。就物聯(lián)網(wǎng)產(chǎn)品目前所面臨的這些安全風(fēng)險，技術(shù)上都是可以解決的。針對物聯(lián)網(wǎng)的安全性，網(wǎng)上流傳的五大風(fēng)險也罷，八大風(fēng)險也罷，總結(jié)一下，無外乎就是兩方面的內(nèi)容：產(chǎn)品自身的安全性和用戶使用的安全性。

首先，說說產(chǎn)品自身的安全性。

一個物聯(lián)網(wǎng)產(chǎn)品，要防范被入侵，首先得保證兩方面的安全：傳輸安全、后臺數(shù)據(jù)安全

01傳輸安全

傳輸上，要保證從訪問端到服務(wù)端的數(shù)據(jù)傳輸是加密的。讓信息在傳遞過程中，難以被監(jiān)聽破解。這方面，當(dāng)下加密傳輸技術(shù)已很普遍也很成熟，只要產(chǎn)品需要，解決訪問端到服務(wù)端的傳輸安全，并不存在技術(shù)障礙。

02后臺數(shù)據(jù)安全

對于后臺安全，需要廠商從代碼級別上把安全重視起來，減少漏洞，不要給攻擊者留下可乘之機(jī)。同時在數(shù)據(jù)存儲上進(jìn)行有效的加密，即使平臺攻破了，數(shù)據(jù)仍然是密文的，攻擊者拿到了數(shù)據(jù)，也是一堆看不懂的亂碼。這樣后臺數(shù)據(jù)就具備了較大的安全保障。

除此之外，在身份驗證上實施嚴(yán)謹(jǐn)?shù)陌踩呗?，保證在登錄行為上的有效管控。這些都不缺乏技術(shù)手段。

安全問題是怎么產(chǎn)生的

既然不缺技術(shù)手段，為什么實際流入市場的一些產(chǎn)品，還會存在這樣那樣的安全問題呢？

以智能攝像頭為例，以下是來自互聯(lián)網(wǎng)的一份監(jiān)測數(shù)據(jù)，可以看出問題在哪里。

針對智能攝像頭可能存在的信息安全危害，質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開展了智能攝像頭質(zhì)量安全風(fēng)險監(jiān)測。共從市場上采集樣品40批次，主要依據(jù)GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》等標(biāo)準(zhǔn)要求，對操作系統(tǒng)的更新、惡意代碼防護(hù)、身份鑒別、弱口令校驗、訪問控制、信息泄露、數(shù)據(jù)傳輸使用安全有效加密、本地存儲數(shù)據(jù)保護(hù)等項目進(jìn)行了檢測。

結(jié)果表明，32批次樣品存在質(zhì)量安全隱患。其中：

●28批次樣品數(shù)據(jù)傳輸未加密；

●20批次樣品初始密碼為弱口令，或者用戶注冊和修改密碼時未限制用戶密碼復(fù)雜度；

●18批次樣品在身份鑒別方面，未提供登錄失敗處理功能；

●16批次樣品對用戶密碼、敏感信息等數(shù)據(jù)，在本地存儲時未采取加密保護(hù)措施；

●10批次樣品操作系統(tǒng)的更新有問題，未提供固件更新修復(fù)功能或者固件更新方式不安全；

●10批次樣品后端信息系統(tǒng)存在越權(quán)漏洞，同一平臺內(nèi)可以查看任意用戶攝像頭的視頻；

●8批次樣品未對惡意代碼和特殊字符進(jìn)行有效過濾；

●5批次樣品后端信息系統(tǒng)存儲的監(jiān)控視頻可被任意下載，或者用戶注冊信息可被任意查看。

對于信息安全稍有經(jīng)驗的朋友會發(fā)現(xiàn)，以上這些問題，都不難解決。應(yīng)該說早已有成熟的技術(shù)方案，可以有效地解決這些問題。只是產(chǎn)品制造商未重視，未采取必要措施罷了。

由于相對產(chǎn)品功能而言，老百姓對產(chǎn)品安全性的認(rèn)識常常是陌生的、滯后的，相比之下，低廉的價格往往更容易得到市場。所以某些制造商追求短期利益，對產(chǎn)品安全性不夠重視，是客觀存在的。

隨著市面上安全問題的不斷暴露，用戶安全意識的提升，監(jiān)管部門的重視，物聯(lián)網(wǎng)產(chǎn)品的安全性，也必然會被提升到一個更高的位置。

安全性不足的產(chǎn)品，必將會逐步被用戶拋棄，直至淘汰。

說完產(chǎn)品端安全，我們再來說說用戶使用的安全問題。

以上面提到的智能攝像頭為例，央視新聞頻道曾經(jīng)曝光過，智能攝像頭泄露隱私事件，“弱口令”仍然是重災(zāi)區(qū)。

何謂“弱口令”？

使用者未修改產(chǎn)品的初始密碼；個人手機(jī)號、個人姓名拼音、“123456”等類似的簡單密碼；你記著容易，竊賊破解也不難，這樣的密碼都屬于“弱口令”。

實際使用中，“弱口令”這種最容易解決的問題，正是因為人們的忽視，帶來最大的安全隱患。

對于任何一款物聯(lián)網(wǎng)產(chǎn)品，大到一輛汽車一個冰箱，小到一把智能鎖一個攝像頭，用戶如果忽視了自身使用的一些安全環(huán)節(jié)，那么產(chǎn)品設(shè)計的安全指數(shù)再高，也會大打折扣，甚至變成徒勞。

這就相當(dāng)于，你花高價，買了一把安全性很高的鎖。你卻習(xí)慣于把鑰匙放在自家門口的腳墊下面。自以為用著方便，其實已讓這把好鎖的價值喪失殆盡。

作為用戶，有必要常常自我反省一下：

產(chǎn)品的初始密碼你變更過嗎？你輸入或設(shè)置密碼時有外人看見嗎？如果是廠商工程師幫你設(shè)定的密碼，你自己又重新改過嗎？

不要小看這些小問題，很多時候正是因為個人的安全意識差，才招來引狼入室的大麻煩。

除了以上這些，安全技術(shù)的飛速發(fā)展，也給物聯(lián)網(wǎng)安全帶來了更多的福音。區(qū)塊鏈技術(shù)、同態(tài)加密技術(shù)、IPV6技術(shù)等，這些技術(shù)的逐步落地，都將給物聯(lián)網(wǎng)安全帶來更多的技術(shù)保障。

因此，你家的小智能機(jī)器人“造不造反”，終究還是你說了算。關(guān)于“物聯(lián)網(wǎng)+安全新技術(shù)”的話題，其實還有很多驚喜又精彩的內(nèi)容，換個時間，我們繼續(xù)聊。