万物互联来袭,安全隐忧浮现
近年来,以互联和智能为基础的万物互联开始成为市场和投资热点,而以智能手环、智能汽车、智能家电为代表的新兴智能设备层次不穷并迅速推动了智能生活的普及。
来自gartner和麦肯锡等调研机构的预测显示,2015年全球连接到互联网上的设备将达49亿台,而到2020年将超过 260 亿台,万物互联每年将为全球经济带来高达3.9万亿~11.1万亿美元的影响力。
在万物互联高速发展的同时,其背后的安全问题也日益浮现,在8月初的世界黑帽大会blackhat和世界黑客大会defcon上,包括汽车在内的智能设备被批量曝出安全漏洞,黑客利用安全漏洞可以控制行驶中的汽车,控制交通红绿灯,劫持无人飞机,甚至可以控制狙击步枪的子弹发射。
惠普旗下应用安全部门fortify曾经对时下流行的电视、网络摄像头、自动调温器、喷水灭火器、门锁、家用报警器、体重秤等10款物联网设备进行安全审查时发现,这些设备竟然存在250个不同程度的安全漏洞,平均每款25个。
数十亿有着安全漏洞的设备一旦接入互联网,将可能带来难以估量的灾难性后果。
极客和大咖云集,演练万物互联“安全漏洞”
hackpwn是由国内安全团队360vulcanteam、 360unicornteam发起的基于智能设备和智能平台安全,旨在唤起民众和产业关注智能时代安全的安全极客平台,倡导安全无忧的智能生活,从而引领未来科技、智能生活发展的方向。包括世界传奇黑客,首个ajax蠕虫作者samy kamkar、badusb逆向者adma caudill、知名越狱团队盘古的核心成员徐昊、defcon两大议题演讲者杨卿在内的数十位国内外知名白帽黑客出任评委,并参与现场演示。
samy kamkar、车联网安全公司visualthreat创始人严威、思科物联网安全总监asaf atzmon和360unicorn team将先后演示多种汽车和车联网破解技术,通过汽车和车联系统存在的安全漏洞,控制和操纵包括特斯拉、比亚迪、奔驰、雪佛兰等在内的多款汽车。
来自浙江大学、北京邮电大学、神话等多支国内顶尖安全研究团队现场展示了智能手环、洗衣机、烤箱、智能电视、智能家居系统等流行智能设备的破解。
“这些可联网的智能设备可以让人们的生活更加便捷,但是其中的安全漏洞有可能给用户带来很大的危害。”现场破解了豆浆机的女白帽黄源称,“黑客可以利用这些漏洞用手机或者电脑随意控制同一型号的所有联网智能设备,但更可怕的是,很多生产厂商在产品设计时基本没有考虑安全设计。”
除了智能设备,知名越狱团队盘古、360nirvan team等还现场演示了最新ios系统、多款流行 o2o应用的漏洞利用。
全民参与,共筑万物互联安全
智能设备和系统存在如此多的安全漏洞,根源是相关企业对安全的低投入和公众安全意识的淡漠,black hat创始人jeff moss曾经说过,几乎没有任何物联网设备制造商具备真正意义上的安全团队,多数制造商对物联网市场趋之若鹜,仅仅源于物联网是一个淘金市场。
业内人士称,目前国内大多数的智能设备厂商都没有专门的安全响应机制,安全研究人员发现了一些智能家电的漏洞,竟然无法将漏洞报告直接提交给厂商,还得先通过他们的客服找到他们的信息系统部,信息系统部也没有专门的安全人员,所以漏洞响应速度非常慢。
“可以预计随着智能设备的普及,黑客工具的普及和黑客技术水平的提高,万物互联的安全问题会日益严重。面对庞大复杂的万物互联世界,仅靠安全公司和安全行业很难彻底解决安全问题,需要安全厂商与智能硬件、互联网服务平台等产业链相关厂商紧密合作,共同解决。”
360总裁齐向东在hackpwn上的演讲中表示,类似hackpwn安全极客狂欢节这样的平台,就是为了搭建一个万物互联时代的安全交流平台,吸引智能硬件厂商、家电厂商、汽车厂商和安全厂商加入进来,通过最新的漏洞挖掘和攻击技术展示,探讨万物互联的安全防护技术和产业合作,同时唤醒全社会的安全意识,共同关注万物互联的安全问题,也民间的安全极客们加入其中,用他们的智慧和才华参与到万物互联的安全防护中。