反派塞隆成功入侵了智能汽车系统,远程操控其自动驾驶功能,组成了可怖的僵尸车队:数十辆失控的汽车从天而降;成百辆汽车如同僵尸一般疯狂碰撞引起连环爆炸;巨大的冲击波把跑车抛向天空,电影主角身陷火海之中。
不要以为这些精彩剧情,仅仅存在于电影《速度与激情8》里。在现实生活中,智能汽车、智能家居等智能终端,都有可能被黑客入侵。
万物互联的IoT时代,处于大爆发前夜,但各种安全隐患也如影随形。
3月28日,由IFAA(互联网金融身份认证联盟)主办的“IFAA 物联网可信连接研讨会”(以下简称研讨会)在京召开,来自主管部门、学术界、产业界的参会者,就如何打造聚焦物联网时代的安全生态联盟,进行了深入的探讨。
IoT安全黑洞:入侵、劫持、盗窃、勒索
小米的IoT平台联网设备已经超过了1亿台;
BAT已经或者即将发布多款智能音箱产品,天猫精灵已经成为全球第三大智能音箱品牌;
百度刚刚获得了北京市颁发的首张自动驾驶测试牌照;阿里巴巴集团和上汽集团联手出品的首款互联网汽车荣威RX5成为了炙手可热的畅销车;
受益于AI交互技术的成熟,云计算的快速发展,以及产业链软硬件企业的大力推动,IoT有望在2018年迎来大爆发元年,已经成为产学研界的共识。
IoT大爆发的同时,嗅觉灵敏、趁虚而入的黑客们也开始出手了。过去十年至今,智能设备遭遇攻击的案例只增不减。
在研讨会上,浙江大学教授、IFAA科研基金评委徐文渊介绍了语音攻击的案例。
上海交通大学特别研究员、IFAA科研基金获选人孔令和的发言,聚焦于RFID如何通过并行识别技术,提升IoT设备身份识别效率。
而西安交通大学副教授、IFAA科研基金获选人沈超的演讲,则把关注点放在工业互联网领域。
徐文渊和她的研究团队通过上千次试验,利用麦克风收集使用者语音,并将之加载至人耳无法听到的超声波上,然后操控语音助手,可以实现对智能手机、智能手表等智能终端的远程操控。
实验室将这种攻击形式,命名为“海豚攻击”。实验显示,语音助手所存在的漏洞,广泛出现在包括苹果、三星、华为、谷歌、亚马逊等品牌中。
在论坛现场,徐文渊播放了一段视频,极为噪杂的声场环境中,徐文渊和其团队,实现了对苹果iwatch的系统破解。
不止在实验室里,在外部的真实世界,智能设备遭遇黑客成功攻击的案例也普遍存在。
3月18日,Facebook被曝出超过5000万用户信息被滥用。
2015年,浙江公司海康威视的智能摄像头遭到入侵,用户个人隐私被该摄像头在公开网络上现场直播。互联网上,甚至已经出现了破解摄像头的专业软件和教程,一个完整的黑产链条雏形初现。
沈超则对工控网络脆弱的防控体系表达了担忧。
2000年,澳大利亚马卢奇污水处理厂遭遇了非法入侵,在前后三个多月的时间里,总计约100万升未经处理的污水直接经雨水渠排入了公园、河流等自然水系。
2010年7月,震网病毒攻击了伊朗布什尔核电站,这种病毒能够更改离心机中的发动机转速,足以摧毁离心机运转能力且无法修复。措手不及的伊朗政府,不得不在发电站即将启动之前,暂时卸载了其核电站的核燃料。而在此前7年,美国的核电站也曾遭遇攻击。
2015年6月,波兰航空公司的地面操作系统遭遇黑客攻击。
对于工业互联网领域陆续发生的攻击事件,沈超在演讲中表示,工控网络的漏洞,甚至比传统互联网还要严重,“工控网络的“操作系统、技术零件器以及网络节点更新速度很慢,甚至基本不更新,处理能力非常有限,很容易被攻击、控制。航空、电厂、水厂、电网的漏洞都很多,随便搞一搞就能看出来。”
沈超和其团队,在实验室通过窃听、探测信息网络,成功实现了对美国加州一家发电站的简单攻击。
主要专注于智能安防和家居领域的飞天诚信技术总监伍妙君,分享主题聚焦于智能家居行业。伍妙君认为,信息安全有三个核心,“机密性,也就是说数据不泄露;完整性,我的数据不被中间人篡改;可用性,数据实时可用,不会影响中断和服务,对应到智能家居领域,则被细化为:人的认证;安全链路;指令的确认。”但伍妙君同时也特意强调,针对消费者端的智能家居产品,在保证安全之余,用户体验始终是第一位的。
8位来自不同领域的嘉宾,发言既前瞻又务实,初步描绘了IoT身份识别和安全生态构建的草图。尽快构建与IoT时代适配的全方位的安全生态体系,成为了参会人员的共识。
IFAA助力,搭建IoT安全生态联盟
面对汹汹而来的IoT安全事故,与会的产学研人士达成了共识,必须构建一套融合产业链上下游力量的全方位的安全风控体系,合力狙击虎视眈眈的黑客军团。
“与智能手机行业不同,整个IoT领域相当碎片化、多元化。IoT行业有几百家芯片厂商,在这上面可能有成千上万的整机厂商,再往上有几十万上百万的软件开发者”,全球领先的半导体知识产权 (IP) 提供商ARM公司的资深市场经理王骏超说,“IoT的安全体系,需要芯片厂商、安全厂商、智能终端、服务商等,一块来搭建。单独一家企业的力量远远不够。”
在IoT大爆发前夜,亟需类似IFAA这样的联盟组织,集合全产业链上下游企业的力量,共筑适配IoT时代的安全生态联盟。
作为国内主流的身份识别技术行业标准组织,IFAA目前已经汇集了超过160家全产业链不同角色的会员单位,覆盖设备厂商、芯片厂商、算法厂商、安全厂商、标准机构、检测机构等等产业链上下游单位。
通过技术合作与标准制定,IFAA对外输出的“身份识别技术行业解决方案”,充分保障了从芯片层到硬件层、应用层等全链路的协议及传输安全,降低了行业开发及适配的成本,有助于支持硬件及应用厂商的快速发展,目前,已有超过36个品牌、230多款机型使用了IFAA提供的解决方案。
ARM于2016年1月加入了IFAA联盟,王骏超表示,“我们非常关注服务商对底层安全架构的需求,加入IFAA之后,我们能够更深入的了解服务商对IP的需求,我们知道该往哪个方向做,希望能跟产业链一起推广安全架构,分担安全责任。”
作为学术界代表,徐文渊介绍完语音攻击的两个案例后,给IFAA联盟提出了建议,“希望在考虑制订标准时,能把相关问题考虑进去。”
中国电子技术标准化研究院物联网研究中心、物联网标准与应用工业和信息化部重点实验室主任王文峰,强调了构建物联网技术与标准化的重要性。他作为指导部门的代表,点赞了IFAA联盟的活力和价值,并对IFAA联盟提出了建议,“搭建一个活跃的好联盟很不容易。一个好的联盟,第一应该始终坚持初心和使命,第二,应该以联盟成员利益为先,第三,应该构建共赢的利益生态体系。”
据悉,IFAA联盟正在调研成员企业的需求,筹备建立IoT工作组。
免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与 无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。