雷锋网编者按:你有没有为混合型的流氓软件涌现做好准备?物联网僵尸网络要是参与加密数字货币的挖矿会怎样?物联网研究机构 IoT Institute 采访了多位物联网安全专家,发现明年行业内可能出现的相关趋势。在下文中,IoT Institute 探讨了这些趋势,同时,考虑到人工智能、量子计算、安全和网络自动化工具等相关技术飞速发展,明年还可能有什么新现象。
今年,恶意勒索软件还在继续“扩大声势”。 李嵩是物联网安全领域初创公司青天科技的联合创始人兼首席技术官。他预计,虽然大多数传统勒索软件还在使用加密技术将用户困在计算平台之外,但一些黑客可能会开始发动多种多样的勒索软件攻击。李嵩说道:“基于物联网的勒索软件攻击可能集中在窃取数据上,或者是让目标设备无法发挥应有的功能。”
网络摄像机(IP camera)可以从大量地点、多个位置四处搜寻(比如工厂内部、私人房屋住宅等),捕捉一些用户敏感的视频片段。 李嵩 表示:
“黑客可能会说:‘除非你给我比特币,否则我会到处散布这段视频。’”
还有一种可能是,黑客利用网络摄像头这样的物联网设备,将流量导入一个携带流氓软件的网址。Ofer Amitai 是软件解决方案供应商 Portnox 的联合创始人兼首席执行官,他指出:“那样一来,那种网址可以从访问的端点提取数据,命令软件勒索用户,让用户赎回加密后的数据。”
黑客还有可能威胁物联网厂商,如果不支付赎金,就让物联网的设备失灵,包括一些智能门锁或者市内温控器。当然,我们根本无法保证黑客在自己的条件得到满足后说话算话,放过受害用户。Ofer Amitai 继续说道:
“我们预计,黑客会用一种勒索软件攻击个人电脑,让用户无法操纵自己的电脑,最后还会找回来,说‘我们想要更多数字货币。’”
未来一年,我们可能目睹一系列进一步融合多种攻击的流氓软件,将 DDoS(分布式拒绝服务)攻击、勒索软件和其他攻击类型集于一身。Peter Tran 是加密技术公司 RSA 的高级网络防御部门总经理兼高级总监,他表示:“我更愿意把它们称作为‘综合性流氓软件’,现在这种软件增长速度很快。由于物联网设备激增,我们将无法预测花样繁多的各式攻击组合。”
最近,加密数字货币的市值不断飙升,随之而来的就是加密数字货币挖矿业的激烈竞争。因此,黑客企图利用这股加密数字货币的狂热捞金趋势,也再自然不过了。Amitai 这样预测表示道:
“很多人相信区块链是不会被黑客攻破的。但我们已经发现,基于区块链技术的应用遭到的攻击数量越来越多。”这其中最脆弱的环节倒不是区块链本身,而是依托这种技术运行的应用。“(黑客)将更频繁地动用社交工程获取密码和私人密钥,从而攻入这些应用。”
Ankit Anubhav 是青天科技的首席安全研究员,他提到,仅在开源加密数字货币 Monero上,就已经发现物联网僵尸网络的挖矿剧增,导致黑客甚至还会利用视频摄像头进行比特币挖矿。
Tran说道:
“和传统的货币价值和波动结构一样,(这么做的)风险是通过物联网僵尸网络矿工让公开市场充斥(数字货币),破坏区块链和数据完整,操纵或是直接抢劫大批加密数字货币。”
今年全球软件企业的量子计算竞赛更趋白热化。短短几个月内,英特尔公司就造出了包含 17 个量子位的全新芯片,而且已经交付测试;微软公司也详细展示了用于开发量子程序的新型编程语言;IBM 公司则发布了50个量子位的量子电脑原型。Louis Parks是物联网安全软件公司 SecureRF 的首席执行官,他认为,在这些科技进步影响下,量子计算可能会在十年内实现商业化,化解量子计算可能存在的安全威胁显得更为紧迫。
尽管专家们对现实世界的量子计算看法不一,对它的兴趣仍有增无减。正如美国国家安全局(NSA)所说,基于量子计算的网络攻击将淘汰过去普遍的公开密钥加密,可能令无数物联网产品面对攻击不堪一击。李嵩表示,面对量子计算,现代电脑可能变成西方科幻小说《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)里的那种“袖珍计算器”。
“对一般的电脑来说,解密可能就像不断换钥匙尝试打开一把锁,直到试出对的那把要是为止。而一部量子电脑会同时试用多把钥匙开一把锁,一次性找出哪一把才是能打开锁的钥匙。”
“我们认为,2018年会是一个重大的转折点,包括医学、汽车、数据分析和航天在内,遍布多个行业的工程师将史上首次面对量子电脑带来的挑战,”Parks说,“如果未来十年或者更久以后希望立足量子计算领域,那些半导体生产商、物联网平台供应商,以及制造产品的电子产品厂商将在2018年懂得,他们必须控制量子计算产生的安全威胁。他们将优先处理面向未来的产品,因为量子计算革命即将到来,他们要为相关的安全挑战未雨绸缪。”
李嵩同意量子计算将改变物联网安全领域格局的看法。他表示:“那就是说,量子计算还有很长一段路要走。”当前的加密机制可能在一段时间内仍有效,而即便一部量子电脑能破解数学家开发的加密程序算法,可能也要花几年时间。
用量子电脑武装的黑客增加可能是即将出现的另一个趋势。不过李嵩认为:“量子计算不仅会用于攻击,也会用于防御。”
去年,最臭名昭著的物联网流氓软件来自于僵尸网络 Mirai,它造成全球多家大型网站瘫痪。而在今年,最令人难忘的一个物联网僵尸网络可能是 Reaper,它又称 IoTroop。如果你和不同的人提起它,可能反应全然不同,有人认为它比 Mirai 危险得多,有人却觉得它的威胁比 Mirai 小得多。时间会证明,Reaper究竟是不是极大的威胁,而明年物联网安全的一些重大威胁可能是一些规模很小的网络攻击,它们会小得让人难以检测察觉。Tran说:
“我会称之为‘微型入侵’,我们会看到越来越多这类入侵,它攻击(物联网的)弱点,却规模较小,能逃过目前安全监控和监测技术的法网。很多安全工具在网络里防范的是一堵堵红线高墙,可很多物联网的弱点就如同一本总账里财会计算时四舍五入的小错误。从规模上看,它们不会引起人们注意,但它们可能非常危险。它们可能顺应环境而变,重新组合,自成规模,攻击速度远超基于网络且‘声势浩大’的传统攻击。”
李嵩也这么认为。他预计,逃过监测的小型物联网攻击会增多。他指出:
“如果黑客的目标是汽车,不是计算平台,可能就像在油箱上戳了一个小洞。汽车会漏一小部分油,还算能正常行驶。不利之处在于:你(黑客)仍然在毒害整个环境。”
当企业物联网的规模明显扩大,覆盖到了成千上万台设备这种级别,可能就难以做好网络和收集数据的管理工作。自动化和人工智能工具可以推行规则,监测不规律的流量模式,由此可能帮助网络管理者和网络安全人员处理混乱的局面。Amitai 预计:
“到 2018 年,自动化可能占据核心地位,成为首屈一指的安全潮流。总体而言这是好消息,因为它能保证更多操作者有足够安全的处理方式,对物联网这类固件升级存在困难的模块设备很有意义。”
Tran 认为,这种自动化得到大范围应用的行业前景,其实蕴藏着不少风险。即使面对数以百万计的交通、电力、医疗保健等庞大的基础设施,物联网领域的人工智能和基于机器学习的自动化也可能让自动化系统自动做有关它们功能的决定。而且,支持这些系统的电脑程序算法可能还会存在偏见。
雷锋网了解到,去年,大量不安全的 IP 摄像头为 Mirai 僵尸网络提供了可乘之机,事实上,这是自有黑客历史记录以来规模最大的一次袭击。不过,在即将到来的 2018 年,IP 摄像头将会继续成为一个重大威胁,因为很多摄像头的密码要么是默认的,要么干脆就没有设置,而且不少黑客还通过IP摄像头为僵尸网络窃取到带宽和算力。
李嵩说道:
“黑客会不断寻求各种方法、利用更多类型的设备来构建僵尸网络。比如,他们可能会利用一些没有密码、或是有弱密码的网络打印机,而在中国,黑客也正在攻击智能门锁设备。”
实际上,物联网算是传感器网络的一个衍生产品,因此互联网传感器本身就存在潜在安全漏洞,似乎也是合乎逻辑的。黑客可能会尝试向传感器发送一些人类无法感知的能量,来对传感器设备进行攻击。举个例子,黑客能够将基于超声波的信号发送到语音控制系统,或者将红外信号发送到摄像头上。
如今,企业会越来越多地安装物联网设备,比如互联恒温器和 HVAC 系统、在会议室中配置智能电视,互联打印机、以及智能照明电灯,等等。与此同时,工业物联网也在不断发展,消费者也对诸如智能扬声器这样的互联设备产生了浓厚的兴趣。虽然目前物联网设备的互联性有所提高,但是在这种“超连接(hyper-connected)”环境下产生的隐私分歧等问题暂时还是无法确定。Don DeLoach是《物联网的未来:利用数字化中心世界的转型》(The Future of IoT: Leveraging the Shift to a Data Centric World)一书作者,他表示:“隐私将会变成房间里的大象。”
另一方面,大公司对敏感数据的追踪已经引发了公众对他们的不信任,DeLoach 继续说道:
“最近在美国的不少知名社交媒体网站上,人们对这些问题都进行了激烈讨论。不过,真正对这件事情重视起来的,还是欧盟——他们将会在明年五月正式生效《通用数据保护法规》。从本质上来说,这是为了保护所有个人信息,违反通用数据保护法规的企业,可能会面临高达企业年收入4%的罚款。”
《通用数据保护法规》已经引起了美国、以及其他在欧洲开展业务的跨国企业关注。DeLoach解释说:
“不仅如此,绝大多数企业认为,欧盟推出的《通用数据保护法规》很可能会成为一个行业信号,未来包括北美在内的其他地区也会相继推出类似的法案。”
另一个引发业内关注的,是 2017 年美国三大征信机构之一的 Equifax 公司的数据泄露事件。这次事件波及到了全球 1.455 亿人,很多身份信息(比如姓名、地址、社保号码)都被泄露了。不过DeLoach表示,未来与隐私有关的讨论主题可能会集中在其他类型的信息上,包括 IP 地址、地理位置、网页浏览记录、电话记录、客户忠诚度积分等等。他补充说:
“物联网数据可能会被很多匿名信息所充斥。这可能需要更长一段时间才能引起人们重视。不幸的是,对于欧盟和涉案企业而言,他们的时间真的不多了。就像金融服务行业早期的巴塞尔协议和 DiFID 等监管要求,《通用数据保护法规》其实是给我们敲响了警钟,呼吁各方尽早展开对物联网隐私问题的讨论。”
Tran 也表示,如果 Equifax 公司违规数据泄露事件算是足够严重的话,那么未来物联网潜在的数据泄露问题可能会更加复杂、也更加严重,因为相比于传统个人征信数据,物联网涉及到个人身份信息的数量是它的好几倍。Tran最后说道:
“在2018年,我预计有越来越多的企业会使用区块链和数据标记等技术来升级目前的个人身份信息数据结构。请记住,黑客在寻找攻击目标的时候,往往会非常有针对性,比如他们会关注数据价值和数据质量,还有数据数量和易访问程度等等。所以,企业可以‘拿掉’一个、或多个关键数据属性,这样的话,这些数据信息对网络犯罪分子的价值可能就没有那么高了。”
雷锋网翻译自 ioti。