作者/西门子产品经理 易庆
网络安全并非新的话题,每年有大量的调研机构报道全球网络安全造成的损失,其总数都以百亿甚至千亿美金每年为单位。
而近年来物联网安全又成为安全领域的新话题,2017年美国众议院曾立法(S.1691)要求所有美国政府安装的IoT设备需达到足够的安全等级,并在2019年再次通过法案(S.734)责成美国国家标准局NIST颁布标准及检验措施。物联网安全获得关注,究其原因,一方面是因为对物联网的攻击给黑客带来的收益是可观的,另一方面由于物联网与传统的网络安全相比有诸多特别之处,使得物联网安全在全网中属于较为薄弱的环节。
黑客攻击物联网的收益
第一种是通过操控设备带来的直接收益。比如通过攻入监控系统、门禁系统等带来的收益。第二种是将物联网设备作为薄弱环节攻击,进而攻入整个局域网中监听其他敏感信息带来的收益。
在一个家庭网络或者公司网络中,添加物联网设备很可能使得整个网络的抵抗力下降。第三种是将物联网设备当作DDoS攻击用的Botnet以发起DDoS攻击。
DDoS为同时调用大量的联网设备对目标服务器发起请求,使得服务器无法正常响应而瘫痪。DDoS的收益不来自于物联网设备,而来自于黑客从受攻击服务器处获得的敲诈。
由于物联网设备数量众多,很容易成为DDoS利用的对象,使得DDoS的实施比较容易。还存在一种可能的收益则来自于竞争对手为打击对手而雇佣黑客进行的攻击。不少黑客为了展现自己的能力,也可能会主动选择国际知名品牌的产品进行攻击并暴露于互联网。
物联网安全的特别之处
显而易见的一方面是物联网设备的节点数呈暴增态势,Gantner的预测接入网络的物联网设备在2020年达到200亿台,人均3~4台,数量的增加导致安全问题的暴露面大大增加。
另一方面的原因是物联网设备的价格敏感性。物联网设备并非都是新的物种,大多数是在传统电子设备上增加通讯模块衍生而成,甚至于是在传统的机械产品上增加电子控制及通讯模块衍生而成。
公司为研发新的产品投入的资金、新增加的产品物料成本、服务器租用的长期隐形成本全部叠加于一个原本价格已经特别优化的传统产品之上,消费者已觉昂贵,在此基础上再叠加网络安全的研发成本、为确保安全而使得硬件性能提升的物料成本,产品的性价比及迅速普及的速度都将大大受到影响。
故而绝大多数公司在早期开发物联网产品时进行的网络安全考量非常有限。公司考虑盈利目的,都以先生存、后解决问题的策略进行产品开发。
第三方面,尤其对于家居物联网设备而言,消费者又非常在乎产品的易用性、入网的便利性。网络安全与使用便利性是天平的两端,容易顾此失彼,因此也导致公司为宣传产品的易用、智能而削弱安全考核。
以上都是从大的方面笼而统之地分析物联网行业网络安全现状,第四个方面,落实到具体实践层面,物联网产品的系统复杂度,使得网络安全的实践也比较困难。
一个物联网设备,举智能家居设备为例,涉及到设备及手机应用与云端通讯的安全,局域网络的安全,手机应用本身的安全,硬件及固件的安全等。消费者仅仅购买一个设备,而其实背后关联到一系列的软件及通讯服务。信息周转的链条增长扩大了问题的暴露面,每一个环节需要细心考究才能保障整个系统的安全可靠性。
设备、手机应用与云端通讯的安全可能是较为容易处理的环节。考虑到云端服务器的计算能力较强,与设备及用户之间实现双向认证鉴权、非对称加密进行密钥协商、定期更新密钥等,都是较为容易实现的手段。公司通过购入大型云服务平台的服务,这些功能都有机会快速地集成到产品中。
尽管如此,依然有大量的物联网设备的广域网通讯安全存在隐患,且有的广域网方案为手机与设备通过TCP/TP通道直连,不通过云端,其安全实践更为困难。
2016年发生的著名的Mirai DDoS攻击是有报道的最大的一次DDoS攻击之一,导致互联网基础设施服务商Dyn DNS服务瘫痪,大量的主流网站如Twitter,Netflix等都受到影响。Mirai使用的方法即是在网络中寻找使用出厂默认密码的IoT设备进行利用。
受感染的设备超过10万台联网摄像头、打印机等。拜IoT设备所赐,在那之后的2017全年报道的DDoS攻击同比增加了91%,在黑市对一个公司的网络进行1个小时的攻击价格降到了100美金甚至以下。尽管受DDoS征用的物联网设备功能不受影响,用户也许感受不到损失,但品牌商不可不考虑其风险。
其潜在的隐患是,既然设备可以被征用,被用于其他的网络犯罪也存在可能,且如果被新闻报道该产品被利用于DDoS攻击,品牌声誉将大大受到影响。
局域网的通讯常常是个薄弱环节,一方面局域网的通讯加密非常依赖于设备本身的计算能力,另一方面局域网的攻击可能(但非一定)需要黑客进入到网络覆盖范围之内,其实践的效率及成本高于远程攻击,故而容易被忽略。局域网的通讯又包括设备自有网络之间的通讯(如Zigbee、ZWave、BLE Mesh及其他各种私有协议等),及设备与设备通过路由器实现的局域网络通讯。
设备自有网络的通讯安全极大地依赖于各通讯协议的定义,设备商为了保障设备与开放协议的兼容性,不便于在其上增加私有的安全保障,这些不同的通讯协议的安全问题,往往是采用同一协议的整个行业的问题,而非单个企业的问题,故不在此细谈。
设备与设备在路由器组成的局域网中的通讯,很容易成为薄弱环节,攻击入家庭的Wi-Fi网络是黑客们的家常便饭,如果设备本身不进行通讯加密处理,则其信息很容易暴露。如果应用场景中不涉及用户隐私信息及安防等应用场景,可酌情考虑其安全等级;而如果应用场景中包含隐私信息或安防等场景,则必须要严格把控。
尽管局域网入侵可能需要黑客近距离监听,而黑市上可以购买到的监听器其实廉价易得,黑客仅需将电池供电的监听设备部署于环境中监听一段时间再取回分析即可。且黑客也可通过恶意软件将监听程序远程部署到本地设备上进行监听,使得远程攻击也成为可能。在过去的报道中即出现过黑客采用设备的mac地址即可破解智能硬件在局域网通讯的例子。
IoT设备一般都配套有相应的手机应用进行配置或控制。手机应用被用户登录之后往往代表了主人的所有权限。故手机应用的安全至关重要,涉及到用户账号的管理,敏感信息在手机本地的存储,手机应用给手机系统授予的权限等方面的问题。
黑客曾宣称过一种使用伪装的第三方APP来窃取智能家居APP控制权限的办法,智能家居APP如果允许用户授予手机系统过多的权限,该伪装的APP即可通过获取该权限来窃权智能家居设备的控制能力。诱导用户在自己的手机上安装该第三方APP,且在第三方APP中留有后门,黑客即有机会通过该APP获取对智能家居APP的控制权限。
物联网设备本身的安全,如安全启动、固件的加密存储、密钥信息及用户信息的加密存储等,也是容易忽略的薄弱环节。黑客通过拆解设备读取固件反向分析,有可能获得设备工作、通讯的逻辑,从而找到攻破正常用户的办法。但固件的加密需要加密芯片的支持,其成本不菲,是否引入需要根据实际需求做出谨慎决策。
在智能硬件设备中明文存储Wi-Fi密码、通讯密钥的事情,也曾有过多起报道。若罪犯拆解受害者家中的设备读取Flash中的信息,可获得设备的通讯密钥。不过在这样的案例中,罪犯若能拆解家中的设备,无疑其已通过物理手段入侵到家中,实际已经不再是网络安全的问题了。产品开发中的安全实践程度需要与产品的应用场合紧密结合作出决策,过度设计也需要被避免。
行业法规
网络安全是极深而专业的课题,且涉及到方方面面,实践起来是个系统工程,上文仅仅是概述而已。前文也提到,企业在决定网络安全方案时需考虑实际应用需求,美国国家标准局提供了一份指导标准(NISTIR 8259),建议企业实践物联网安全的规范流程及最基本的考核方面,对于未建立完善的网络安全实践流程的企业,可参考该流程建立公司规范。
在具体的实践中,何种应用需要达到的何种最低安全标准,目前各个国家都还处在制定标准的早期,但也已有了不少进展。全国信息安全标准化委员会已发布了征询企业意见的《智能家居安全通用技术要求》草案版本,欧洲、韩国也有物联网安全相关的法规颁布。但目前为止,这类法规普遍未针对不同的应用场景进行区分,若所有的设备一律满足同一份标准,可实践性又存在问题。
新加坡政府的做法非常值得借鉴,其公告称将要求企业在智能家居设备上增加网络安全等级的标识(与家电能效等级标识类似),其参考的执行标准为欧洲的TS 103 645。
笔者预计,在近两年内行业标准将越来越成熟,对于企业而言,宜未雨绸缪,尽早部署一定的资源,以防标准普及时措手不及。
IoT产品经理所需的网络安全知识
笔者目前为一名智能家居产品经理。深入思考物联网安全的现状,笔者认为,成为一名优秀的IoT产品经理,需具备如下能力及知识:
1、理解所在行业客户对网络安全的需求及痛点
2、理解在产品使用过程中涉及到的网络安全环节及其技术手段的优劣势
3、深入研究过去披露的业内公司网络安全问题及其应对策略
前两点有助于产品经理准确定义产品在网络安全方面的需求,第三点一方面帮助产品经理印证产品定义,另一方面也有助于对未来潜在暴露的安全问题做好应对措施。由于成本和效益的考量,不存在绝对安全的产品,故做出合理定义,提前计划好应对措施,才是对业务负责的表现。
特别致谢:感谢西门子网络安全专家闫韬博士提供的指导意见!
