物联网安全之痛——堵不完的系统漏洞

 近日，在《预测2017年：安全和技术问题将迟滞物联网的发展》报告中，Forrester调研公司预测2017年可能出现大规模物联网安全漏洞，黑客将继续利用物联网设备大肆实施分布式拒绝服务(DDoS)攻击。

随着智能手机、可穿戴设备、活动追踪器、无线网络、智能汽车、智能家居等终端设备和网络设备的迅速发展和普及利用，针对物联网设备的网络攻击事件比例呈上升趋势，攻击者利用物联网设备漏洞可入侵设备，获取设备控制权，通过控制大量物联网设备，黑客可以发起分布式拒绝服务网络攻击(DDoS)，或窃取用户信息和其他黑客地下产业交易。

2016年10月份在美国发生的大规模断网事件，就是大量物联网设备在被黑客植入Mirai病毒后参与的一种分布式拒绝服务网络攻击(DDoS)的结果。

匡恩网络安全研究院研究分析后认为：现在的物联网设备所传输的数据基本都是在“裸奔”。当前的物联网设备厂商很多，但真正关注并引入安全控制的厂商很少。并且，物联网设备的用户也普遍缺乏安全意识，其安全状况的惨淡就可想而知了。

目前，黑客发展已呈现国际化，组织化的趋势。2016年8月，以网络攻击著称的美国NSA方程式组织Equation Group也被入侵，大量黑客工具被一个自称为“ The Shadow Brokers ”(影子经纪人)的黑客团伙所盗窃，并在网上售卖一百万比特币。简单来说，一百万比特币价值大约为五亿六千八百万美金。我们对盗取的公开部分的黑客工具进行了初步分析，确定这类工具利用了系统的一些0-day漏洞，形成有效的攻击。

方程式黑客组织既然拥有那么多的攻击工具，一定对自己的系统实施了有效的防护措施，为什么还能被其他黑客入侵呢?这件事也说明另外一个问题：系统漏洞是挖不完的，也是补不完的。有时候因为弥补已知漏洞，可能会引入新的系统漏洞，物联网安全漏洞也是如此。

值得注意的是，PC和移动端的设备漏洞，最多也就是谋财。但是物联网的漏洞，真是可能害命的。例如，安全研究人员演示了如何通过攻击软件，使高速行驶的汽车突然刹车、黑客侵入监控设备，扰乱社会治安等。因此在物联网系统安全方面需要多方面、多维度的保护。