盘点物联网安全事件,物联网攻击离我们或许并不遥远
随着科技的发展,物联网已经遍布我们的生活。据统计,2023年物联网设备的数量已超过150亿。未来几年,这个数字将翻一番。然而人们还未能充分享受物联网普及带来便捷,便开始遭受频发的物联网安全攻击。这些攻击遍布全球,就连许多具备高安全防护等级的机构和企业都遭受过严重的攻击并产生了巨大的损失。
国内
近期,国内某知名网络安全公司监测到一款名叫GoldPickaxe的 “人脸劫持”犯罪软件,它可以窃取用户的面部识别等生物特征数据、拦截短信以及代理设备流量。GoldPickaxe木马病毒支持iOS和Android版本,是目前发现的首个iOS木马病毒。不同于传统的窃取资金方式,GoldPickaxe木马病毒并不直接从受害者手机中盗取资金,而是通过收集受害者信息来创建深度伪造视频,并自动访问受害者的银行应用程序,允许黑客未经授权访问受害者银行账户。
2022年,网传蔚来被破解大量数据,包括蔚来内部员工数据22800条、车主用户身份证数据399000条。蔚来官方发布公告称收到外部邮件以泄露数据勒索225万美元(约1500万元人民币)等额比特币。
2022年,微博一则信息显示,某知名智慧家电集团遭遇勒索攻击,工厂多处电脑被植入勒索病毒,导致内网系统连不上,所有文件无法打开。勒索组织要求该集团在7天内将1000万美金打到指定账户。
2019年,重庆某企业遭受了勒索病毒攻击,黑客通过入侵企业内网暴力破解,在内网扩散投放勒索病毒,导致大量重要文件被加密,生产网、办公网全面瘫痪,影响正常运营。
2018年,知名弹幕视频网AcFun发布公告称受到黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等信息。
国外
2023年,CVE-2023-20198漏洞被利用,超过一万台思科设备遭到黑客攻击。运行 Cisco IOS XE 软件的产品包括企业交换机、工业路由器、接入点、无线控制器等。
2021年,视频监控公司Verkada的摄像头遭到黑客入侵,黑客获取了数百个客户的摄像头访问权限,并公开了其中一些摄像头的实时视频。此次事件中被曝光的企业、机构不仅有上海的特斯拉工厂,还覆盖了多国的医院、诊所、公司、监狱、学校等场所。
2020年,俄罗斯快递服务公司PickPoint确认,因遭受网络攻击,在莫斯科的2732个储物格出现了柜门大开的情况,从而使得用户包裹暴露在失窃风险中。
2019年,网络安全公司Imperva的某个CDN客户在当年四月至五月期间受到了大规模DDoS攻击。该攻击针对站点的身份验证组件,由一个僵尸网络领导,该僵尸网络协调了402000个不同的IP,发动了持续13天的DDoS攻击,并达到了29.2万RPS的峰值流量和每秒5亿个数据包的攻击峰值。
……
以上物联网安全事件不胜枚举,甚至随时都在发生。
*相关资料来源于网络
由于物联网终端设备普遍性能及资源有限,且缺乏有效的身份认证,数据多以明文形式传输,安全防护能力非常薄弱,极易成为攻击的对象。缺乏可靠防护的终端设备越来越多,也意味着安全风险越来越大。
著名密码学专家和安全顾问布鲁斯·施耐泽(Bruce Schneier)说:“安全不是一个产品,而是一个过程”。面对日益严峻的物联网安全威胁,我们可以将这句话延伸为:“安全不是一个结果,而是一种状态”。在随时被攻击的威胁下,物联网设备薄弱的防护能力像是不断遭受击打的玻璃,随时都会破碎。
物联网安全涉及到接入安全、身份安全、访问控制、通信安全和数据安全等多方面的安全问题。如何为物联网提供一个不可克隆的身份是解决这些问题的关键。
PUF,即物理不可克隆功能(Physical Unclonable Functions)的缩写,体现了芯片在制造过程中由于工艺细微偏差带来的天然唯一、随机分布、不可克隆、不可篡改的物理特征。每个芯片独有的物理特征也被称为“芯片指纹”,是建立物联网设备硬件信任根,构建不可克隆身份的最佳选择。
帕孚信息科技利用PUF公钥技术,可为设备生成独特公私钥对,为物联网设备建立可信身份提供基础。
使用PUF私钥申请CA证书,可获取设备不可克隆的身份凭据,用于证明其身份。这些身份凭据可用于实现终端设备与物联网云平台之间的身份认证,并提供加密通信和数据完整性验证,以确保通信安全。通过结合CA流程和经过优化的TLS安全协议,使得该方案可在资源受限的IoT设备上运行。
在该方案中,私钥安全是确保身份安全的关键。由于PUF私钥从芯片内部生成,并与设备天然绑定,无需外部注入和存储,攻击者难以通过侵入式/半侵入式攻击、侧信道攻击等手段获取私钥,使得伪造设备身份变得非常困难。