你家是怎么被偷窥的
2018-01-31技术宅
技术宅
随着物联网的发展,每个家庭配置的物联网设备越来越多,小到手表、摄像头,大到家里的冰箱、洗衣机,甚至智能汽车,这些设备都可以通过网络实现互联互通。不过这些设备在带给我们便利的同时也带来了安全隐患,因为黑客们也可以通过物联网入侵我们的设备。
并非遥不可及 IoT攻击在你我身边
上述介绍的手表、摄像头、智能汽车等设备,我们统称为IoT设备。IoT是“Internet of things”的简称,顾名思义就是物物相连的互联网,基于该网络连接的设备则为IoT设备。也许很多人并不了解IoT,但是近来针对IoT设备进行攻击的案例却很多。根据一项统计,仅仅在2016年下半年就有高达1.2Tbps流量的DDoS攻击、250万个IoT僵尸大军,5亿个IP发动DNS查询请求,全球75家大型影音、社交网站沦陷,近百万台德国电信家用路由器停摆。据网络安全公司Corero于2017年11月底发布的一份报告,宣称2017上半年的DDoS攻击数量增加一倍,起因亦是IoT所致。物联网研究机构IoT Institute采访了多位物联网安全专家,表示2018年IoT攻击呈越来越上升的趋势,并且很多攻击将无法探测。
2017年6月,中央电视台的《每周质量报告》就曝光大量家庭摄像头遭入侵,扫描软件轻松获取IP地址。这样你在家里的一举一动就会被“现场直播”到网络,让人几乎没有隐私可言(图1)。
当然在常见的IoT设备中,并不仅仅是摄像头泄密,像扫地机器人、智能手环、共享单车,甚至无人驾驶汽车等等,这些设备都有可能被大量黑客入侵,导致用户隐私泄露。针对IoT的攻击已经时刻存在你我身边(图2)。
IoT设备是这样被攻克——IoT攻击解密
如上所述,现在已经有很多IoT设备被黑客攻击,那么这些黑客是怎样入侵我们的IoT设备的呢?
先来了解一下IoT设备的工作原理,这里以家庭常见的网络摄像头为例。摄像头通过Wi-Fi连接到互联网,并将影像传输到网络。手机通过安装的APP,在APP中完成用户注册和验证,这样APP可以通过特定的端口连接到指定的网络服务器,通过服务器查看摄像头的实时影像,这就是一个物联网设备的典型应用(图3)。
显然在上述的连接中,只要黑客们知道连接的端口和设备的IP地址,再借助摄像头连接的弱密码,他们就可以通过网络看到摄像头的影像,从而导致个人隐私的泄露。在实际的摄像头入侵案例中,黑客们也正是通过很多非法扫描软件,借助这些扫描软件获取摄像头的IP地址,接着依靠扫描器,用一些弱口令密码做大范围的扫描,最终通过获得的弱口令密码来实现对摄像头的入侵(图4)。
实际上IoT设备通过网络连接到互联网后,这些设备的验证、运行方式几乎和我们常用的电脑并没有什么大的不同。黑客们平时通过各种黑客工具针对电脑的攻击,通过简单的改造就可以移植到针对IoT设备的攻击。
因此除了上述扫描端口攻击外,随着IoT设备的增多,黑客们还有很多攻击手段,僵尸网络(一般由物联网设备打造的僵尸网络称做ThingBots)攻击便是一种。ThingBots是由不同种类的设备组成,它们都是互联互通的。黑客们在网上激活这些设备后,就可以通过它们来进行僵尸网络攻击,通过IoT设备来发送大量的垃圾邮件或者信息(图5)。
此外还有诸如中间人攻击(黑客通过在两个独立系统中间,进行安全数据窃取与破坏)、身份认证(黑客通过身份盗取来进行对loT设备的攻击,盗取共享单车的认证,实现他人骑车你付账)、拒绝服务(黑客通过分布式拒绝服务DDoS攻击,大量恶意系统攻击同一个目标,从而导致loT设备服务商瘫痪,给广大用户带来不便)等等(图6)。
小心无大错 如何避免自己的IoT设备被入侵
通过上述介绍可以知道,现在很多IoT设备都有漏洞,那么在日常使用这些IoT设备时该怎样进行自我保护?
IoT设备要尽量从正规渠道购买,这样可以防止买到暗藏后门或者恶意软件的IoT设备。其次对设备的初始验证密码进行更改,尽量设置复杂的验证密码,同时要及时升级官方固件,像小米摄像头可以在APP端定期检查固件升级(图7)。
当然作为IoT设备厂商,也应该针对自己的设备加强安全防护。针对IoT固件的防护,从源头入手,通过对IoT设备上运行的程序进行深入保护,在发现Bug时及时推出升级固件,从底层加强对设备的保护。物联网将我们的常用设备甚至信息都进行了互联互通,这樣在提供了便利的同时也埋下了隐患。如何更好地保护我们的隐私和IoT的安全,无论是消费者和厂商都还有很长的路要走。endprint