IoT黑產(chǎn)驚人：黑掉攝像頭、劫持飛機(jī)、操控僵尸車(chē)隊(duì)、入侵核電站

反派塞隆成功入侵了智能汽車(chē)系統(tǒng)，遠(yuǎn)程操控其自動(dòng)駕駛功能，組成了可怖的僵尸車(chē)隊(duì)：數(shù)十輛失控的汽車(chē)從天而降；成百輛汽車(chē)如同僵尸一般瘋狂碰撞引起連環(huán)爆炸；巨大的沖擊波把跑車(chē)拋向天空，電影主角身陷火海之中。

不要以為這些精彩劇情，僅僅存在于電影《速度與激情8》里。在現(xiàn)實(shí)生活中，智能汽車(chē)、智能家居等智能終端，都有可能被黑客入侵。

萬(wàn)物互聯(lián)的IoT時(shí)代，處于大爆發(fā)前夜，但各種安全隱患也如影隨形。

3月28日，由IFAA（互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟）主辦的“IFAA 物聯(lián)網(wǎng)可信連接研討會(huì)”（以下簡(jiǎn)稱研討會(huì)）在京召開(kāi)，來(lái)自主管部門(mén)、學(xué)術(shù)界、產(chǎn)業(yè)界的參會(huì)者，就如何打造聚焦物聯(lián)網(wǎng)時(shí)代的安全生態(tài)聯(lián)盟，進(jìn)行了深入的探討。

IoT安全黑洞：入侵、劫持、盜竊、勒索

小米的IoT平臺(tái)聯(lián)網(wǎng)設(shè)備已經(jīng)超過(guò)了1億臺(tái)；

BAT已經(jīng)或者即將發(fā)布多款智能音箱產(chǎn)品，天貓精靈已經(jīng)成為全球第三大智能音箱品牌；

百度剛剛獲得了北京市頒發(fā)的首張自動(dòng)駕駛測(cè)試牌照；阿里巴巴集團(tuán)和上汽集團(tuán)聯(lián)手出品的首款互聯(lián)網(wǎng)汽車(chē)榮威RX5成為了炙手可熱的暢銷(xiāo)車(chē)；

受益于AI交互技術(shù)的成熟，云計(jì)算的快速發(fā)展，以及產(chǎn)業(yè)鏈軟硬件企業(yè)的大力推動(dòng)，IoT有望在2018年迎來(lái)大爆發(fā)元年，已經(jīng)成為產(chǎn)學(xué)研界的共識(shí)。

IoT大爆發(fā)的同時(shí)，嗅覺(jué)靈敏、趁虛而入的黑客們也開(kāi)始出手了。過(guò)去十年至今，智能設(shè)備遭遇攻擊的案例只增不減。

在研討會(huì)上，浙江大學(xué)教授、IFAA科研基金評(píng)委徐文淵介紹了語(yǔ)音攻擊的案例。

上海交通大學(xué)特別研究員、IFAA科研基金獲選人孔令和的發(fā)言，聚焦于RFID如何通過(guò)并行識(shí)別技術(shù)，提升IoT設(shè)備身份識(shí)別效率。

而西安交通大學(xué)副教授、IFAA科研基金獲選人沈超的演講，則把關(guān)注點(diǎn)放在工業(yè)互聯(lián)網(wǎng)領(lǐng)域。

徐文淵和她的研究團(tuán)隊(duì)通過(guò)上千次試驗(yàn)，利用麥克風(fēng)收集使用者語(yǔ)音，并將之加載至人耳無(wú)法聽(tīng)到的超聲波上，然后操控語(yǔ)音助手，可以實(shí)現(xiàn)對(duì)智能手機(jī)、智能手表等智能終端的遠(yuǎn)程操控。

實(shí)驗(yàn)室將這種攻擊形式，命名為“海豚攻擊”。實(shí)驗(yàn)顯示，語(yǔ)音助手所存在的漏洞，廣泛出現(xiàn)在包括蘋(píng)果、三星、華為、谷歌、亞馬遜等品牌中。

在論壇現(xiàn)場(chǎng)，徐文淵播放了一段視頻，極為噪雜的聲場(chǎng)環(huán)境中，徐文淵和其團(tuán)隊(duì)，實(shí)現(xiàn)了對(duì)蘋(píng)果iwatch的系統(tǒng)破解。

不止在實(shí)驗(yàn)室里，在外部的真實(shí)世界，智能設(shè)備遭遇黑客成功攻擊的案例也普遍存在。

3月18日，F(xiàn)acebook被曝出超過(guò)5000萬(wàn)用戶信息被濫用。

2015年，浙江公司?？低暤闹悄軘z像頭遭到入侵，用戶個(gè)人隱私被該攝像頭在公開(kāi)網(wǎng)絡(luò)上現(xiàn)場(chǎng)直播?；ヂ?lián)網(wǎng)上，甚至已經(jīng)出現(xiàn)了破解攝像頭的專(zhuān)業(yè)軟件和教程，一個(gè)完整的黑產(chǎn)鏈條雛形初現(xiàn)。

沈超則對(duì)工控網(wǎng)絡(luò)脆弱的防控體系表達(dá)了擔(dān)憂。

2000年，澳大利亞馬盧奇污水處理廠遭遇了非法入侵，在前后三個(gè)多月的時(shí)間里,總計(jì)約100萬(wàn)升未經(jīng)處理的污水直接經(jīng)雨水渠排入了公園、河流等自然水系。

2010年7月，震網(wǎng)病毒攻擊了伊朗布什爾核電站，這種病毒能夠更改離心機(jī)中的發(fā)動(dòng)機(jī)轉(zhuǎn)速，足以摧毀離心機(jī)運(yùn)轉(zhuǎn)能力且無(wú)法修復(fù)。措手不及的伊朗政府，不得不在發(fā)電站即將啟動(dòng)之前，暫時(shí)卸載了其核電站的核燃料。而在此前7年，美國(guó)的核電站也曾遭遇攻擊。

2015年6月，波蘭航空公司的地面操作系統(tǒng)遭遇黑客攻擊。

對(duì)于工業(yè)互聯(lián)網(wǎng)領(lǐng)域陸續(xù)發(fā)生的攻擊事件，沈超在演講中表示，工控網(wǎng)絡(luò)的漏洞，甚至比傳統(tǒng)互聯(lián)網(wǎng)還要嚴(yán)重，“工控網(wǎng)絡(luò)的“操作系統(tǒng)、技術(shù)零件器以及網(wǎng)絡(luò)節(jié)點(diǎn)更新速度很慢，甚至基本不更新，處理能力非常有限，很容易被攻擊、控制。航空、電廠、水廠、電網(wǎng)的漏洞都很多，隨便搞一搞就能看出來(lái)?！?/p>

沈超和其團(tuán)隊(duì)，在實(shí)驗(yàn)室通過(guò)竊聽(tīng)、探測(cè)信息網(wǎng)絡(luò)，成功實(shí)現(xiàn)了對(duì)美國(guó)加州一家發(fā)電站的簡(jiǎn)單攻擊。

主要專(zhuān)注于智能安防和家居領(lǐng)域的飛天誠(chéng)信技術(shù)總監(jiān)伍妙君，分享主題聚焦于智能家居行業(yè)。伍妙君認(rèn)為，信息安全有三個(gè)核心，“機(jī)密性，也就是說(shuō)數(shù)據(jù)不泄露；完整性，我的數(shù)據(jù)不被中間人篡改；可用性，數(shù)據(jù)實(shí)時(shí)可用，不會(huì)影響中斷和服務(wù)，對(duì)應(yīng)到智能家居領(lǐng)域，則被細(xì)化為：人的認(rèn)證；安全鏈路；指令的確認(rèn)?！钡槊罹瑫r(shí)也特意強(qiáng)調(diào)，針對(duì)消費(fèi)者端的智能家居產(chǎn)品，在保證安全之余，用戶體驗(yàn)始終是第一位的。

8位來(lái)自不同領(lǐng)域的嘉賓，發(fā)言既前瞻又務(wù)實(shí)，初步描繪了IoT身份識(shí)別和安全生態(tài)構(gòu)建的草圖。盡快構(gòu)建與IoT時(shí)代適配的全方位的安全生態(tài)體系，成為了參會(huì)人員的共識(shí)。

IFAA助力，搭建IoT安全生態(tài)聯(lián)盟

面對(duì)洶洶而來(lái)的IoT安全事故，與會(huì)的產(chǎn)學(xué)研人士達(dá)成了共識(shí)，必須構(gòu)建一套融合產(chǎn)業(yè)鏈上下游力量的全方位的安全風(fēng)控體系，合力狙擊虎視眈眈的黑客軍團(tuán)。

“與智能手機(jī)行業(yè)不同，整個(gè)IoT領(lǐng)域相當(dāng)碎片化、多元化。IoT行業(yè)有幾百家芯片廠商，在這上面可能有成千上萬(wàn)的整機(jī)廠商，再往上有幾十萬(wàn)上百萬(wàn)的軟件開(kāi)發(fā)者”，全球領(lǐng)先的半導(dǎo)體知識(shí)產(chǎn)權(quán) (IP) 提供商ARM公司的資深市場(chǎng)經(jīng)理王駿超說(shuō)，“IoT的安全體系，需要芯片廠商、安全廠商、智能終端、服務(wù)商等，一塊來(lái)搭建。單獨(dú)一家企業(yè)的力量遠(yuǎn)遠(yuǎn)不夠?！?/p>

在IoT大爆發(fā)前夜，亟需類(lèi)似IFAA這樣的聯(lián)盟組織，集合全產(chǎn)業(yè)鏈上下游企業(yè)的力量，共筑適配IoT時(shí)代的安全生態(tài)聯(lián)盟。

作為國(guó)內(nèi)主流的身份識(shí)別技術(shù)行業(yè)標(biāo)準(zhǔn)組織，IFAA目前已經(jīng)匯集了超過(guò)160家全產(chǎn)業(yè)鏈不同角色的會(huì)員單位，覆蓋設(shè)備廠商、芯片廠商、算法廠商、安全廠商、標(biāo)準(zhǔn)機(jī)構(gòu)、檢測(cè)機(jī)構(gòu)等等產(chǎn)業(yè)鏈上下游單位。

通過(guò)技術(shù)合作與標(biāo)準(zhǔn)制定，IFAA對(duì)外輸出的“身份識(shí)別技術(shù)行業(yè)解決方案”，充分保障了從芯片層到硬件層、應(yīng)用層等全鏈路的協(xié)議及傳輸安全，降低了行業(yè)開(kāi)發(fā)及適配的成本，有助于支持硬件及應(yīng)用廠商的快速發(fā)展，目前，已有超過(guò)36個(gè)品牌、230多款機(jī)型使用了IFAA提供的解決方案。

ARM于2016年1月加入了IFAA聯(lián)盟，王駿超表示，“我們非常關(guān)注服務(wù)商對(duì)底層安全架構(gòu)的需求，加入IFAA之后，我們能夠更深入的了解服務(wù)商對(duì)IP的需求，我們知道該往哪個(gè)方向做，希望能跟產(chǎn)業(yè)鏈一起推廣安全架構(gòu)，分擔(dān)安全責(zé)任?！?/p>

作為學(xué)術(shù)界代表，徐文淵介紹完語(yǔ)音攻擊的兩個(gè)案例后，給IFAA聯(lián)盟提出了建議，“希望在考慮制訂標(biāo)準(zhǔn)時(shí)，能把相關(guān)問(wèn)題考慮進(jìn)去?！?/p>

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院物聯(lián)網(wǎng)研究中心、物聯(lián)網(wǎng)標(biāo)準(zhǔn)與應(yīng)用工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室主任王文峰，強(qiáng)調(diào)了構(gòu)建物聯(lián)網(wǎng)技術(shù)與標(biāo)準(zhǔn)化的重要性。他作為指導(dǎo)部門(mén)的代表，點(diǎn)贊了IFAA聯(lián)盟的活力和價(jià)值，并對(duì)IFAA聯(lián)盟提出了建議，“搭建一個(gè)活躍的好聯(lián)盟很不容易。一個(gè)好的聯(lián)盟，第一應(yīng)該始終堅(jiān)持初心和使命，第二，應(yīng)該以聯(lián)盟成員利益為先，第三，應(yīng)該構(gòu)建共贏的利益生態(tài)體系?！?/p>

據(jù)悉，IFAA聯(lián)盟正在調(diào)研成員企業(yè)的需求，籌備建立IoT工作組。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。