智能硬件安全漏洞频出 物联网安全如何保障？

　　附一张2015年3月份后厂村附近已经被共享的WiFi热点分布图，相信今年随着更多互联网公司入驻，后厂村的共享WiFi热点又更加壮观了。

　　工控物联网事关国家安全

　　家用物联网设备，或者所谓智能硬件设备的安全性，之所有大家开始关注，是因为消费级市场开始增长，与个人的关系越来越密切。但消费级智能产品的安全性只是冰山一角，更重要的、甚至涉及国计民生的，是工业物联网的安全性。

　　匡恩网络首席战略官孙一桉曾参与网信办及公安部对全国工业系统基础设施网络安全检查。孙一桉称，检查中这些单位的安全状况可以用“触目惊心”来形容。孙一桉称，在2014年的一次检查中，可以说“你想到的问题他们有，你想不到的他们也有，跟我们生活息息相关的几样东西也有，像燃气、电、水，因为水和燃气现在很多时候都是智能化的，以后都有无线控制，而无线是公开，谁都可以攻入并破坏。”

　　即便如此，进入公众视野的工控物联网安全事件也少得可怜。因为国内很多企业并不愿意对外披露这种事件，这也造成国内对这种工控领域的网络安全事件感知几乎为零。迄今为止，对外报道的绝大多数还是国外的网络安全事件。

　　数据显示，工控网络安全事件在近几年呈现稳步增长的趋势，2015年被ICS-CERT(美国工控系统网络应急响应小组)收录的攻击事件达到295件。其中，2016年4月底，德国贡德雷明根核电站B机组一台电脑的操作系统中发现了病毒。2016年1月底，以色列国家电网遭受大规模网络攻击。2016年1月，乌克兰最大的机场遭受网络攻击。2015年12月，黑客入侵乌克兰电网，造成多个地区停电，在严冬季度导致约140万个家庭无电可用。2014年底，韩国核电站遭黑客攻击致使文件资料外泄。2010年9月，伊朗约3万个网络终端感染“震网”病毒，病毒给伊朗布什尔核电站造成严重影响，并导致放射性物质泄漏。

　　由于涉及国计民生，工控网络安全领域正在成为反恐的新战场。

　　据了解，2016年3月，美国国防部长卡特首次承认，美国使用网络手段攻击了叙利亚ISIS组织。在2015年5月，美国商务部提交了新的出口限制禁令，将未公开的软件漏洞代码视为潜在武器。同时，美国还公布了《瓦森纳协定》修改草案，其中涉及把限制黑客技术放入全球武器贸易的条约，新规则规定美国企业或个人向境外厂商报告漏洞情况是一种出口行为，需预先申请政府许可，否则将被视为非法。之前乌克兰、伊朗、韩国等国家基础设施受到的攻击，也被认为背后有别的国家支持有关。据孙一桉透露，仅西门子某工业设备上的一个漏洞，在黑产链上的交易价格就高达几十万欧元。

　协同合作是物联网安全的出路?

　　黑客老鹰(万涛)的公司专门搭建了一个别墅级智能硬件专区。在这里可以深度体验国内外的智能硬件产品，当然也可以研究智能硬件的安全性，并给厂商提供相关安全建议。有一天，黑客老鹰发现他挂在公网上的一个Broadlink插座突然被关机了。这也说明，Broadlink的这款插座，已经被黑客破解。单一的事件有时不能说明问题，但Broadlink的数据显示，仅2015年，其WiFi智能模块的出货量就超过500万片，其服务超过200家企业，包括家电、电工以及智能硬件行业，真实联网设备超过8百万台。与之规模相当，另一家模块厂商庆科，2015年出货量也有500万片，超过300多家国内厂商使用了其模块。今年上半年其出货量呈现明显增长势头，半年的时间出货量就达300万片，国内300多家设备厂商的支持。

　　当某个品牌WiFi模块的安全漏洞被黑客大规模利用后，破坏的用户数量足够庞大，这种消费级的安全问题就会上升到国家战略安全层面。还好，Broadlink表示，那个漏洞后来已经被修补。为了增强模块的安全性，Broadlink同时也与360、Geekpwn、乌云等在安全领域有所合作。

　　5月份，360发布了一个《国内智能家庭摄像头安全状况评估报告》，报告显示，国内市场上近80%的摄像头存在安全设计缺陷，黑客只要稍加操作，就可以将用户的家庭隐私生活同步放到网上直播。

　　在今年的ISC互联网安全大会上，浙江大学徐文渊教授与360汽车安全实验室也展示了利用环境感知，欺骗自动驾驶汽车的案例。通过攻击自动驾驶汽车上的超声波传感器、毫米波雷达、前置高清摄像头，造成自动驾驶系统判断上的错误。攻击成功之后，汽车前面的障碍物能够对传感器隐身，或者让传感器认为汽车前面有“障碍物”，造成汽车紧急刹车等等，这些攻击手段如果用于实际，对人身安全会产生严重威胁。

　　奇虎360总裁兼360企业安全集团CEO齐向东表示，这一个个的真实案例说明，物联网现在几乎所有方面都有迫切需要解决的安全问题。任何事物发展一开始都或多或少存在一些缺陷，现阶段企业做的基本是把电子产品联到网上，很多还没有考虑到安全的问题。随着越来越多设备联网，要不断教育用户在有相关的安全意识，用户的需求才是推动物联网整体向前发展的源动力。目前国内有些安全团队在做一些智能硬件的安全测试及公开破解演示，也是为了吸引眼球并教育公众，推动整个行业在安全方面不断完善。齐向东认为，在万物互联的时候，原来传统的安全防边界搞隔离的路子，已经无法适应现在的要求。因此需要用大数据的方法来解决万物互联时代的安全问题。

　　齐向东表示，现在已经是数据驱动安全。能不能找到网络攻击者就取决于我们是否拥有全面的数据。在网络安全方面，如果单一地来看自己网络里面的数据，可能发现80%的问题，但是没有办法彻底根除网络攻击者，因为另外剩下的20%数据不在自己的网络里，可能在其他企业的网络里，也可能在政府部门，也可能在国外的某个机构的数据里。这时候就需要协同和联动。通过数据的协同联动，能够拿到更多的情报和数据，才能解决真正的安全问题。齐向东称，能拿到更多的数据，才能真正解决安全问题，所有未来的网络安全趋势，技术的发展方向也是来源于此。

　　安全圈里流行着这样一句略带调侃的话：世界上只有两种人，一种是知道自己被黑了的，另外一种是被黑了还不知道的。也就是说，几乎人人都会遇到网络安全问题。值得欣慰的是，随着国家层面的推进，在国计民生领域，全国各地各部委和企业积极响应，针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。在消费级领域，国内外的安全公司也在通过教育和协同联动，保护用户的设备和个人信息安全。

　　如果你在购买智能硬件设备前，能够再多问商家一句其在设备安全方面做了哪些投入，相信也能提升整个物联网行业的安全水平。