3.2 物联网脆弱性分析
为了确保物联网能够发展成为一个安全的、可赋能千行百业的基础设施,必须对物联网的脆弱性进行全面自检分析。物联网继承了互联网的大部分特性,从安全和隐私的角度看,物联网还具有许多潜在的易受攻击的特性[4]。本节详尽地列举了物联网可能存在的脆弱特征并对其进行分析,旨在探讨物联网安全面临的风险[5]。
3.2.1 无人看守的环境
纷繁多样、层出不穷的物联网应用极大地改变了公众的生产生活方式,只要拥有一台电脑、一部手机、一个平板电脑或其他任何一个智能终端,用户就可实时掌握了解所关心的一切,如工厂设备的运转情况、出行路线的交通情况、大棚农作物的生长情况、家居设备的工作情况、身体机能参数的指标情况、校园公共资源的占用情况等。然而,在享受便利的生产生活的同时,人们不禁要问:是什么在感知万物、获取信息?答案是遍布各个角落、覆盖各行各业、规模数量庞大、功能复杂多样的物联网终端,物联网终端扮演着环境信息的收集者和智能决策的执行者的角色。
无人看守的环境造成物联网终端易被物理破坏。一方面,物联网终端为了感知万物信息,通常被放置于无人看守、气候变化多端的环境中,易遭受风吹、日晒、雨淋、霜打等自然气候的威胁,易被物理破坏,造成功能失效,无法感知周围的环境信息,威胁物联网应用的正常运转。另一方面,物联网终端也易被人为破坏,如恶意击打、非法偷盗、肆意移动等,造成终端损毁、数据丢失、功能异常等,且较难第一时间发现并及时处置,影响物联网应用的智能决策。
无人看守的环境还会造成物联网终端接触式攻击。物联网终端通常处于数量多、分布广的放置状态,无人看守,缺少人对终端设备实时、有效的监测和管理。攻击者可利用其暴露的调试接口或芯片设计缺陷直接捕获相关信息,实现未授权访问、非法访问等攻击,甚至引发大面积攻击事件。另外,攻击者还可通过物联网终端处理数据的时间消耗、功率消耗、电磁辐射等信息,推测终端密钥等关键数据,进行侧信道攻击,从而获得更多、更敏感的隐私数据。
3.2.2 资源和能力受限的终端
物联网终端是“感知万物”的关键要素,相当于人体的五官和皮肤,用于察觉外部世界的数据信息。然而,受限于物联网终端低成本、低功耗、计算资源有限等现实因素,较难将为手机等传统通信终端设计的安全机制直接配置到物联网终端上,如安全策略、加密算法等,导致物联网终端自身安全能力较低,易被利用安全漏洞开展入侵、攻击等行为,且较难抵御这些行为。
总的来说,物联网终端自身存在以下两个风险。
(1)操作系统权限设置、认证鉴权机制弱,易被攻击。一是在操作系统设计方面,大部分物联网终端厂商在设计之初普遍关注终端自身的功能要求,并未考虑对系统安全进行额外的设计,或者仅为了保护通信安全添加了如安全套接层等简单的安全功能,导致物联网终端普遍存在启动代码没有进行合法性/完整性验证、系统和预置应用组件等漏洞未及时修补、系统权限开放过多、权限限制不严格等问题,易被攻击者利用实现非授权访问、非法访问等攻击。二是在认证鉴权方面,大量物联网终端使用弱口令或缺省登录账号密码,而且高安全技术手段较难直接应用在终端上。因此,物联网终端普遍存在身份认证和授权机制弱、缺乏必要的安全防护能力等问题,导致不法分子更易利用终端设备的安全漏洞,获取用户的身份认证信息,进而伪造用户身份或通信节点,并向其他终端、接入网关开展恶意攻击、入侵等行为。
(2)软件应用自身存在漏洞,易被利用。物联网终端的软件应用程序普遍存在逻辑缺陷或编码漏洞等问题,甚至有些终端厂家为节省开发成本直接调用第三方组件,导致应用软件引入了开源漏洞。攻击者可利用软件漏洞,或者通过植入木马、病毒、恶意代码等方式入侵或控制终端,并导致应用服务失效。
3.2.3 万物互联的开放性
物联网是开放互联的,各类终端设备可通过局域网、蜂窝移动通信网、互联网等进行连接[6];平台可基于云计算架构进行部署,连接大量业务系统和设备。物联网的开放性导致终端、网络和平台易被俘获、攻击或控制。终端设备直接暴露于局域网、蜂窝移动通信网、互联网等网络之中,攻击者可利用简单的工具分析出同类型终端或节点所存储的机密信息、隐私信息,从而开展规模化攻击。这些“突破口”还可能成为攻击物联网设备所连接网络、平台的渗透入口,攻击者利用终端漏洞控制物联网设备,发起网络、平台攻击,可能会造成网络瘫痪和服务中断。物联网的互联性还会导致单个终端、单个网络、单个平台被攻击后容易波及整个物联网服务,影响范围更广、程度更深。例如,一个完整的工业互联网系统往往拥有数万个“数据节点”,一旦某个节点被攻破渗透,将对整个系统造成巨大影响,而且攻击者将通过被攻破的节点向整个网络高速扩散。在2013年的黑帽(Black Hat)技术大会上,黑客展示了通过入侵某工业生产线网络中的某一数据节点,逐步夺取整个系统的控制决策权,最终更改生产线生产流程决策的过程,包含物料采购子系统、生产子系统、销售数据统计系统在内的整个系统全部沦陷,而整个入侵过程只耗时不到2分钟。
同时,物联网终端使用周期通常较长,现有网络上甚至仍暴露着许多已经停产却仍处于使用周期内的物联网终端。而厂家停产意味着产品不再更新,以及终端的缺陷、漏洞不会再被修复。这些终端一旦被攻击,极有可能成为“僵尸终端”,被用于开展DDoS攻击等行为,进而破坏网络、业务,甚至发生攻击、破坏、勒索威胁等事件,给个人、企业甚至国家关键基础设施带来极大的威胁。
3.2.4 融合网络物理空间
物联网最显著的特点是能够将计算和通信能力与对物理世界中实体的监测和控制相结合,这就使真实环境中的物理实体能够影响虚拟环境中的事件,反之亦然[7-8]。这意味着针对物联网系统的安全攻击会对相关的物理系统或人员造成无法弥补的伤害。因此,从这个角度来看,物联网的发展使现实世界与网络世界深度联通,导致网络空间的攻击能够穿透虚拟世界,直接影响工业、医疗等行业的系统运行安全,危及关键基础设施安全、城市安全、社会安全、人身安全,乃至国家安全,造成的后果日益严重。例如,物联网中的监控和数据采集模块在国家关键基础设施中发挥着至关重要的作用,影响着配电、石油和天然气、水利及运输行业内的控制系统。对这些控制系统的破坏可能会对一个国家的公共卫生、安全和经济地位产生严重影响。
3.2.5 异构融合的网络
物联网采用多种异构网络,网络架构相比蜂窝移动通信网、互联网更为复杂,在物联网数据的采集、传输,以及平台下达决策指令的过程中,会涉及多网络协同工作。
异构网络虽然可以融合各自网络的优缺点,但也将引发新的安全风险,带来新的安全需求。首先,异构融合的网络使数据拥塞风险更大。感知接入层的异构网络比单一网络架构面对更多数量的感知终端,而且大都以集群方式存在。当发起海量数据传输需求时,极易导致网络拥塞,产生拒绝服务攻击等,影响网络和业务的正常运行。其次,异构融合的网络组网更加复杂,更易遭受攻击,如暴力破解、中间人攻击等。在感知层、网络层不同网络制式共同完成数据传递的过程中,黑客可利用不同制式在协同工作时存在的缺陷和漏洞,实施算法破解、协议破解等暴力破解,进而获取隐私数据信息,造成数据泄露。最后,异构融合的网络,跨网认证安全需求极高。感知接入层和网络层中不同制式、不同架构的网络要想相互联通,需有可靠的跨网认证、密钥管理等安全机制,保证合法读取并传递数据,如果认证机制失效,易发生中间人攻击,带来数据窃听、篡改、伪造等问题。
3.2.6 网络蝴蝶效应
物联网是有史以来最大的网络基础设施。在万物互联的模式下产生了超复杂的、广泛分布的、异构的通信节点网,给维护网络稳定和安全提出了更大的挑战。在大型网络中,由于蝴蝶效应,即使小事件也可能会引起大影响,对过程输入的小扰动会使系统的输出不稳定。此外,根据耦合原理,当一个系统变得更大时,它常常表现出组件之间更多的相互依赖性。大多数物联网服务是通过多个组件设备之间的高度互通来实现的。因此,整个系统的状态取决于每个组件的状态,短板效应将直接影响整个物联网服务的可靠性。物联网设备尤其是终端设备,又是巨量、泛在分布的,保障每个节点的安全是不可能完成的任务,这也是物联网一个重要的脆弱特征。例如,如果一个家庭的中央供暖系统中的一个传感器受损或检测到不正确的数据,中央控制器的决策就会受到影响,导致整个家庭的温度失常。
3.2.7 海量多源的数据
物联网与垂直行业应用深度融合,覆盖安防、医疗、教育、交通、家居、政务、工业、农业、渔业等社会生产生活的方方面面。在物联网的发展进程中,技术不断智能化,管理日益标准化,应用逐渐丰富化,伴随着物联网应用场景的拓展,物联网采集的数据呈现海量、多源的发展趋势。海量数据体现为物联网汇集多行业、多用户、多维度、长时间、广空间的感知数据,并基于大数据、云计算、人工智能、数据挖掘等技术,深度剖析数据价值,实现高效、便捷的智能化应用。多源数据体现为物联网从多渠道采集信息,全方位感知万物世界,支撑各行业打造自动、精准的智能化应用。
海量多源的数据在物联网时代虽是一笔丰厚且重要的资产,但更像一把“双刃剑”,在夯实数据基础的同时,不可避免地存在数据安全风险。巨量化物联网终端感知、采集、存储的海量数据涉及个人、家庭、垂直行业的数据,甚至包括个人身份、位置信息、用户病历、兴趣爱好、商业秘密等隐私和敏感信息,且物联网终端使用周期长,敏感数据需要长时间使用并存储在终端内部。然而,受限于硬件资源,物联网终端无法直接引入传统的数据安全保护机制,导致敏感数据缺少保护机制,甚至是明文传送。一方面,数据被窃取,隐私被泄露。攻击者可以利用安全漏洞入侵终端,获取大量的用户隐私数据。例如,攻击者可入侵联网家用摄像头,获取用户生活状态和生活规律等隐私数据,危及用户隐私。另一方面,数据被篡改,污染数据源。攻击者利用安全漏洞入侵终端,篡改数据源并向决策服务端回传伪造的数据,将对应用服务带来巨大的影响。如果智慧医疗、智能交通等应用数据源遭到污染,将极大地危害用户的生命财产安全。例如,智慧医疗中的“胰岛素智能决策控制”程序,若个人用户当前血糖值被恶意篡改,应用平台将根据错误的生命体征值反馈不合适的胰岛素注入量,无论过多或过少,均将严重危害用户健康,甚至危及用户生命,后果不堪设想。
3.2.8 多态共存的标识
物联网中,为实现物与物、物与人的通信,需利用标识在一定范围内唯一识别物、人、终端、网络、应用、服务等对象主体。与传统标识体系不同,物联网标识体系呈现多态并存的发展状态。结合物联网分层体系架构,物联网标识通常由终端标识、网络标识和应用标识构成。其中,终端标识用于识别感知“物”信息的终端,通常包括MAC地址、RFID标签、近场通信(Near Field Communication,NFC)标签、IMEI等;网络标识用于识别终端在网络中传递数据的过程,通常包括移动用户号码(Mobile Subscriber International ISDN/PSTN Number,MSISDN)、IP地址等;应用标识用于识别物联网应用服务,如智慧医疗、智能交通等,通常包括域名、统一资源标识符(Uniform Resource Identifier,URI)等。
面对多态共存的标识体系,为实现信息的高效传递、决策的有效下达和指令的精准响应,物联网系统需通过标识解析技术进行多标识间的翻译、映射和转换,以实现准确的寻址和溯源。而物联网标识数量将以千亿计,并发解析请求可达千万量级,对标识解析系统的安全保障能力提出了较高的要求,同时存在安全隐患。
从架构角度看,树形物联网标识解析架构在客户端、缓存与代理服务器、标识解析服务器等方面存在脆弱点,容易导致末端节点间的数据不可达。例如,客户端主机或软件被攻击,会导致无法将接收到的数据可靠地传送到客户端;缓存与代理服务器被攻击,将导致所有经过服务器的数据解析服务遭受中间人攻击,数据被窃取或被篡改;标识解析服务器被攻击,将误导客户端请求解析至错误的地址,引发一系列不可信的解析结果。
从协议角度看,物联网标识解析协议存在安全风险,包括缓存污染、中间人攻击等。通过将污染的缓存记录插入正常的缓存或代理服务器的缓存记录中,或者通过中间人攻击、躲避防火墙等方式实施攻击,将导致标识解析数据结果被污染,如标识数据被篡改、伪造等,严重威胁应用决策的安全性和可靠性。
从数据角度看,物联网标识解析数据存在泄露、篡改、越权访问、非法访问等风险。海量的、多态共存的标识产生多元异构的标识数据架构,数据汇聚治理难度较大。一方面,黑客易攻击标识数据解析、存储等节点;另一方面,标识数据使用接口易被攻击,存在越权和非法访问标识数据的风险,将造成数据被窃取和泄露,污染数据源,影响数据解析结果的有效性。
从运营角度看,物联网标识解析运营存在标识资源浪费、标识资源失信、标识解析结果失真、标识资源闲置/紧缺等风险,需妥善做好标识解析运营,更好地服务各垂直行业物联网应用。
3.2.9 智慧赋能的应用
物联网应用与垂直行业深度融合,为其赋予了智能化的解决方案。近年来,物联网作为重要使能,推动数字经济智能化,促进产业社会变革化发展。许多传统行业希望借此东风,打一场漂亮的转型升级翻身仗,如交通、医疗、工业、农业、安防、家居等行业。
(1)传统行业参与主体众多,安全基础较薄弱。大量传统行业借助物联网技术达成产业升级,然而这些传统行业的ICT系统起步较晚,其安全保障能力较难应对物联网安全风险挑战。具体来说,安全风险主要集中在应用服务平台侧。物联网应用服务平台使用的基础环境和组件包括虚拟机、操作系统、云平台、数据库、各类中间件、Web应用等,由于软件本身设计或业务处理流程存在漏洞,易产生认证绕过、非授权访问、篡改数据、远程控制、服务中断等安全风险。同时,目前大多数的物联网应用平台为了降低设备部署成本,基本上都是基于硬件资源池搭建虚拟化云平台,从而提高计算效能和业务吞吐量。但虚拟化的漏洞、云平台的漏洞、大数据系统的漏洞,都会被攻击者利用,对应用平台进行攻击,从而引发更突出的安全问题,包括虚拟机逃逸、文件泄露、虚拟网络攻击、虚拟化软件漏洞等。
(2)应用场景多样化,安全管理不足。随着物联网与各垂直行业的深度融合,物联网业务应用种类越来越多,业务场景越来越复杂,但相应的安全管理能力不足。例如,物联网重要应用(如工业互联网、远程医疗、车联网等)与普通应用(如智能井盖、智能水表等)在应用平台方面未实现分级分类安全管理,业务防护能力不足,易导致应用平台遭受攻击。此外,在消费型物联网等领域,如智能家居设备、可穿戴设备、智能出行等终端,贴近终端销售者和用户,易出现机卡分离现象,给不法分子带来可乘之机,不法分子可利用其开展网络造谣、网络传谣、违规贷款、色情服务等不法行为。
3.2.10 多方参与的产业
物联网的多层架构造就了多方参与的产业格局,集端、管、云、用、监管与服务于一体,协同提供智能化应用。其中,“端”包括芯片、硬件、感知设备、操作系统等;“管”包括蜂窝移动通信网络、非蜂窝移动通信网络、互联网、专网等;“云”包括通用能力平台,以及通信厂商、互联网厂商、工业厂商、新锐企业等提供的多种平台;“用”包括消费驱动、产业驱动、政策驱动催生的多种应用;“监管与服务”包括行业监管、联盟协会、标准规范、测试认证、咨询宣传等。
一方面,在多方参与的产业格局中,合作伙伴多,产业链条长,利益主体复杂,涉及用户、设备制造商、网络运营商、服务提供者等多个利益方,安全责任界限较难划分。例如,2016年Mirai“僵尸网络”导致的美国断网事件,其问题根源在于终端存在安全漏洞,由此产生的安全问题进一步波及网络和应用服务,而终端却归用户所有。那么,问题来了,针对这起安全事故,终端生产厂家、终端用户、网络提供者、应用提供者,谁是主要负责人?谁又该承担安全管理责任?或许,上述链条中的所有参与方均应承担起应负的责任,共同抗敌,才能筑起防护之墙。
另一方面,在多方参与的产业格局中,较难统筹规划顶层设计。面对多方参与的产业格局,要想从顶层设计出发,统筹规划设计一套完美的、涵盖产业链多主体、解决全部安全问题、满足各方需要的安全机制,难于上青天。所以要想从根本上解决物联网安全问题,必须统筹产业多方,共同构建物联网生态安全。