物聯網十大不得不防的安全威脅

李陽

弗雷斯特研究公司在其2018年物聯網預測中指出：“安全漏洞是部署物聯網解決方案的公司深為擔憂的一大問題。事實上，這也是在考慮部署物聯網解決方案的企業最關注的問題。然而，大多數公司并沒有始終如一地應對物聯網安全威脅，業務壓力壓倒了技術安全問題?！?/p>

在消費者方面，物聯網安全風險可能還要大，因為個人常常未認識到潛在威脅以及該如何對付這些威脅。安全廠商金雅拓（Gemalto）通過2017年物聯網安全現狀調查發現，接受調查的消費者中只有14%認為自己對物聯網安全有所了解。鑒于54%的調查對象平均擁有四個物聯網設備，這個數字尤其令人不安。

而那些物聯網安全威脅不僅僅是理論上的。黑客和網絡犯罪分子已經找到了危及許多物聯網設備和網絡的方法，專家表示得逞的攻擊可能會增加。弗雷斯特研究公司預測：“2018年，我們會看到更多與物聯網有關的攻擊......它們在規模和影響方面會有增無減?！?/p>

2018年企業和消費者將面臨哪種類型的物聯網安全威脅？以下是最有可能的10種攻擊。

1.僵尸網絡和DDoS攻擊

許多人在2016年9月聽說Mirai僵尸網絡時才首次意識到物聯網安全威脅。據一些人估計，Mirai感染了約250萬個物聯網設備，包括打印機、路由器和聯網攝像頭。僵尸網絡的創建者用它來發動分布式拒絕服務（DDoS）攻擊，包括攻擊網絡安全博客KrebsonSecurity。實際上，攻擊者利用被Mirai感染的所有設備，企圖同時連接到目標網站，希望搞垮服務器，防止任何人訪問網站。

自Mirai首次見諸媒體以來，攻擊者已發動了其他多起物聯網僵尸網絡攻擊，包括Reaper和Hajime。專家表示，未來可能會有更多的此類攻擊。

2.遠程拍錄

黑客有可能在主人毫不知情的情況下，黑入物聯網設備，拍錄主人的活動，公眾知道這一點還要感謝中央情報局（CIA），而不是感謝黑客。維基解密網站披露的文件表明，這個情報機構早就知道物聯網設備的眾多零日攻擊，但沒有透露這些漏洞，原因是希望利用這些漏洞秘密錄下會揭露美國敵人的活動的對話。除了Android和iOS智能手機的漏洞外，文件還提到了智能電視的漏洞。很顯然，犯罪分子也可能會利用這些漏洞實施不法行為。

3.垃圾郵件

2014年1月發生的針對物聯網設備的一起攻擊，攻陷了10多萬個聯網設備，包括電視機、路由器和至少一臺智能電冰箱，每天發送30萬封垃圾郵件。攻擊者可以從任何一個設備發送的消息就有10條之多，因而很難阻止或查明攻擊源頭。

這起攻擊絕非最后一起。由于Linux.ProxyM物聯網僵尸網絡，2017年秋天物聯網垃圾郵件攻擊繼續肆虐。

4. APT

近年來，高級持續性威脅（APT）已經成為安全專業人員關注的一大問題。APT的背后是一群本領高超的攻擊者，它們發動復雜的網絡攻擊，難以預防或對付。比如說，摧毀伊朗核離心機的Stuxnet蠕蟲和2014年索尼影業黑客事件。

隨著更多的關鍵基礎設施接入互聯網，許多專家警告，APT可能會對電網、工業控制系統或其他聯網系統發起物聯網攻擊。有人甚至警告，恐怖分子可能會發動使全球經濟陷于癱瘓的物聯網攻擊。

5.勒索軟件

勒索軟件在家用PC和企業網絡上已變得非常普遍?，F在專家表示，勒索軟件攻擊者開始盯上智能設備只是個時間問題。安全研究人員已經演示了能夠將勒索軟件安裝到智能恒溫器上。比如說，他們可以將溫度調高到95度，拒絕調回到正常溫度，除非受害者同意支付用比特幣支付的贖金。他們還能夠對聯網的車庫門、車輛甚至家電發動類似的攻擊。試想一下，早上你肯付多少贖金來解鎖自己的智能咖啡壺？

6.數據竊取

獲取敏感數據仍然是網絡攻擊的主要目標之一，比如客戶名稱、信用卡號碼、社會保障號碼及其他個人身份信息。據波耐蒙研究所聲稱，數據泄露事件讓公司平均損失362萬美元，相當于每條被竊取的記錄有141美元。在想方設法入侵企業網絡或家庭網絡的犯罪分子看來，物聯網設備就是一條全新的攻擊途徑。比如說，如果一個保護不當的物聯網設備或傳感器連接到企業網絡，這可能為攻擊者提供了進入網絡的新方法，有可能找到他們覬覦的寶貴數據。

7.入侵住宅

隨著智能鎖和智能車庫開門器變得更常見，網絡犯罪分子也更有可能成為現實世界中的小偷。面對手頭擁有高級工具和軟件的犯罪分子，如果沒有得到妥善的保護，家庭系統可能岌岌可危。令人不安的是，安全研究人員已證明，很容易黑入幾家不同廠商的智能鎖，智能車庫門的安全性似乎也并沒有“大大提高”。

8.偷偷與孩子溝通

物聯網安全最令人不安的故事之一就是黑入嬰兒監視器。一對夫婦曾發現，一個陌生人不僅用他們的嬰兒監視器窺視其三歲大的兒子，還一直通過監視器與孩子說話。這位母親曾聽到陌生的聲音說：“醒來，小男孩，爸爸在找你”，孩子說他嚇壞了，因為有人在晚上通過監視器與他說話。

隨著更多的兒童設備和玩具連接到互聯網，這種可怕的情景可能會變得更司空見慣。

9.遙控車輛

由于車輛變得更智能，并連接到互聯網，它們也容易受到攻擊。黑客已證明，他們可以控制吉普車，將空調設到最高數值、換廣播電臺、開啟雨刷器，最終讓車輛停下來。這個新聞導致車企召回了140萬輛車，但是這個漏洞背后的白帽研究人員表示，他們發現了另外的安全漏洞。雖然專家表示，汽車業在確保車輛安全方面有所改進，但幾乎可以肯定的是，攻擊者會在聯網汽車中發現新的漏洞。

10.人體攻擊

有時候物聯網不僅僅包含物件，還包括聯網醫療設備植入到體內的人。電視連續劇《Homeland》的劇集圍繞利用植入體內的醫療設備搞暗殺活動展開，美國前副總統對于這種場景深為擔憂，于是他關閉了植入其體內的除顫器的無線功能。這種類型的攻擊在現實生活中還沒有發生，但隨著更多的醫療設備成為物聯網的一部分，這種可能性仍然存在。