◆ 国外那起借由智能鱼缸实施的黑客攻击并非偶然事件,联网的咖啡机、电冰箱、智能画板、电动窗帘、路由器都有可能成为被黑客攻击的目标
◆ 国家互联网应急中心今年最新数据显示,其所收录的安全漏洞中,联网智能设备恶意程序控制服务器IP地址约1.9万个,同比上升11.2%
◆ 路由器、交换机和网络摄像头等联网智能设备一般全天候在线,被控制后用户不易发现,往往被黑客控制后作为分布式拒绝服务攻击的“稳定”攻击源,甚至会成为绑架的“帮凶”
◆ 物联网环境下,个体间的联系越紧密,网络攻击带来的损害程度就越大
◆ 处理好效率与安全之间的关系,从中找到一个平衡点,“既不过分强调效率忽视安全,也不能为了安全搞‘一刀切’,挫伤创新的积极性。”
防范万物互联下的网络安全风险
智能科技如同一把双刃剑,在给人们生活带来诸多便利的同时,网络安全风险也相伴相生:一张打印照片就能充当人脸用于识别,一款智能鱼缸会成为网络攻击的入口,高度集中存储的隐私数据面临“裸奔”的可能……面对无所不在的网络安全风险,一场“反击战”已悄然打响。
生物识别屡现漏洞
人脸识别技术近年来风生水起,不过,最近一则消息提示了其中存在的安全隐患。
近日,浙江嘉兴上外秀洲外国语学校402班科学小队向媒体称:他们在一次课外科学实验中发现,只要用一张打印照片就能代替真人刷脸,骗过小区里的丰巢智能柜,取出父母们的快递,随后该科学小队还给出了几段视频佐证。
业内人士透露,目前人脸识别技术主要有2D和3D两种。基于3D数据的人脸识别不管识别准确率还是活体检测准确率都比2D有显著提升。而通过摄像头识别、算法比对的2D人脸识别,则容易被照片欺骗破解。这次丰巢智能柜很可能采用的是2D人脸识别技术。
今年初,提供人脸检测和人群分析的深圳某公司被国外安全研究员发现其人脸识别数据库没有密码保护,几乎等同于在网上“裸奔”。
该研究员撰写报告称,这个数据库涵盖了超过250万用户的记录,包括身份证号码、地址、出生日期、识别其身份的位置等。在24小时内,有超过680万条位置被记录进去,根据这些信息可以跟踪行踪。
网络安全专家黄道丽说,此次疑似泄露的人脸识别数据如果与以往泄露的隐私信息相关联,或可达到“用户画像”的程度,产生网络诈骗等风险。
不仅如此,在今年国家网络安全周期间,有关“拍照比剪刀手”也可能会让不法分子获取指纹信息、破解各类密码的消息进一步挑动大众神经。
对此,上海信息安全行业协会专委会副主任张威从科学角度分析:拍摄者和被拍摄者距离在1.5米范围内,当被拍摄者比出“剪刀手”时,其指纹信息就有可能通过照片提取还原。
数据显示,从2002到2015年,我国生物识别市场规模复合年均增速为50%左右。在巨大发展潜力及迅猛的发展态势之下,生物识别商业化步伐越迈越宽。而近期接连曝出的网络安全风险提示人们未来发展的隐患。
9月27日,工作人员在郑州地铁紫荆山站刷脸过闸 李嘉南摄
万物互联亦延伸风险
万物互联时代,发生在国外的一起借由智能鱼缸实施的黑客攻击事件,将物联网风险暴露出来。
被攻击的是一家位于北美的赌场,其智能鱼缸通过连接互联网,可以实现自动喂食并保持环境、温度、清洁度。这个看似不起眼的物联网设备成了黑客攻击的目标。
黑客先是入侵智能鱼缸,得以进入赌场内网中,然后进行扫描,发现漏洞后进而侵入到网络中的其他地方,最终神不知鬼不觉将赌场数据窃取。
“智能鱼缸成为‘后门’并非偶然事件。”在科技专栏作家金智渊看来,联网的咖啡机、电冰箱、智能画板、电动窗帘、路由器都有可能成为被攻击的目标。随着日常生活中物联网设备的激增,黑客有着越来越多的渠道进入内网窃取数据。
随着大数据、人工智能等技术发展,越来越多的个体被接入万物互联的体系内。在物联网加速融入人们生活的同时,传统的网络攻击和风险也开始向物联网和智能设备蔓延。
国家互联网应急中心最新发布的《2019年上半年我国互联网网络安全态势》显示,其所收录的安全漏洞中,包括家用路由器、网络摄像头等在内的联网智能设备恶意程序控制服务器IP地址约1.9万个,同比上升11.2%。
国家计算机网络应急技术处理协调中心副主任云晓春等专家认为,与电脑不同,路由器、交换机和网络摄像头等联网智能设备一般全天候在线,被控制后用户不易发现,往往被黑客控制后作为分布式拒绝服务攻击的“稳定”攻击源,甚至会成为绑架的“帮凶”。
研究者演示了能够将勒索软件安装到家庭的智能恒温器上,除非受害者同意用比特币支付赎金。还能对联网的车库门、车辆甚至家电发动类似攻击。随着无人驾驶日益普及,黑客有可能控制车辆,换广播电台、开启雨刷器、逼停车辆,乃至引发交通事故。
网络安全风险真的防不胜防吗?答案当然是否定的。
互联网社区极客公园的专业人士一语道破了其中真相:很多公司疏于物联网设备的安全的防护,主要出于成本考虑。
部分物联网设备生产商为了节省成本,使用通用、开源的操作系统,或未经安全检测的第三方组件,这很可能会引入漏洞。而且,大多数物联网设备不会保护调试接口,这也给了攻击者乘虚而入的机会。
“在大量价格低廉的物联网设备上,几乎不可能使用复杂又耗电的安全系统。”一位互联网安全专家无奈地说。
中国工程院院士邬贺铨认为,物联网、工业物联网的发展带来了新的安全问题,其一旦受影响,情况将会更严重。
物联网环境下,个体间的联系越紧密,网络攻击带来的损害程度就越大。因为任何一个针对个体的网络攻击都有可能蔓延到更广的范围。
系统思维维护网络安全
智能时代,网络安全机遇与挑战并存。面对不断升级的网络安全风险,解决的出路究竟在哪里?
360集团董事长兼CEO周鸿祎提出了“安全大脑”概念,希望建立超大分布式智能安全系统,综合利用人工智能等新技术,保护基础设施、城市及个人等的网络安全,其智能安全防护的能力进一步延伸到工业互联网、车联网、物联网、城市安防等领域。
化解网络安全风险难以一蹴而就,当务之急是封堵可见的漏洞,守住国家安全、企业安全及个人安全的底线。
其中,解决物联网设备安全问题迫在眉睫。专家建议,具有公共属性的政府机关及企事业单位要尽快强化对内部物联网设备的安全排查及日常监控,重点关注是否存在漏洞、过往被攻击情况、被攻击IP地址来源等。
“物联网设备常见的脆弱点有硬件接口暴露、未授权访问等,技术水平并不高,完全可以防患于未然。”绿盟科技首席架构师杨传安建议,通过国家标准要求、协会统筹规范、市场需求倒逼等方式多措并举,生产商要做好设备全生命周期的安全保障工作,形成完善的网络安全应急处置预案。
当前,对数据泄露管控还存在一些难点。尽快出台更为完善的信息、数据领域保护法律法规成为普遍呼声。
对于企业来说,减少对用户隐私的收集,加强对用户数据的保护,树立良好的价值观,增强数据监督与预防,能够更好地从内部先行保护用户信息安全,扮演好“守门人”的角色。
网络的核心一定是安全。网络既带来了便捷,也带来了风险。应处理好效率与安全之间的关系,从中找到一个平衡点,“既不过分强调效率忽视安全,也不能为了安全搞‘一刀切’,挫伤创新的积极性。”(记者 毛振华)
刊于《瞭望》2019年第51期