互联网技术高速发展的今天,越来越多的智能物联网设备接入生活、连接家庭:早上起来电动窗帘会自动打开,电饭煲也早已自动煮好早饭,当你离开家上班时扫地机器人便会启动进行家庭大扫除,在你工作时可以通过门口的摄像头查看快递有没有送到,在寒冷的冬夜空调会在你到家前提前设定好温度。这些智能自动化的设备在为我们带来便利的同时,安全威胁也悄然来临。
我们先来看两个安全事件:2018年7月,黑客破解一款叫做Diqee 360的国产智能扫地机器人,这款机器人除了可以扫地还带有摄像头,攻击者实现了利用这款机器人暗中监视使用者。
无独有偶,另一批攻击者利用2017年发现的华为路由器漏洞,组建了一个巨大的僵尸网络,虽然厂家早已发布了设备的补丁,但仍然有大量路由器存在安全风险,由于物联网厂商无法强制用户升级,就导致物联网设备安全隐患长期存在的现实问题。
2015年以来,国内外发生多起智能玩具、智能家居漏洞攻击事件,超过百万的家庭和儿童信息、对话录音、个人行动轨迹等信息被窃取。种种迹象表明,隐私泄露的威胁正在逐渐由互联网服务商向智能物联网设备领域发展。
那么今天我们就来探讨一下如何正确选用家用智能物联网设备,确保个人家庭隐私安全。
一
隐私泄露的背景历史
国内最早曝光的隐私数据泄露事件早在2011年。
一是天涯社区4000万用户资料泄露事件,泄露的数据包括天涯用户的用户名、密码、邮箱三个数据,其中大部分都可以直接登录到天涯社区;
二是CSDN用户数据库泄露事件,600多万个明文的注册邮箱账号和密码遭到泄露,成为中国互联网历史上一次具有深远意义的网络安全事故。
据统计2011年数据泄露事件,累计共影响了1亿用户。但2011年中国网民才5.13亿。当年的数据泄露影响了全国1/5的网民。
二
传统意义的隐私泄露
黑客入侵是隐私泄露的主要方式。国内“互联网+”飞速发展的同时带来了网络服务提供商大量出现和网络安全防护能力参差不齐的矛盾。黑客可以利用漏洞挖掘、算法破解、协议破解、暴力破解、中间人攻击等很多攻击手段对网络造成威胁。
我们可以假设一个场景:攻击者计划入侵A网站,但发现A站防护严密,这时发现B站存在漏洞后,入侵成功并对网站拖库,拿到的数据后一方面可以存储到社工库里,洗库变现;另一方面就可以利用拿到的数据对A网站进行撞库攻击,扩大战果。
拖库:指从数据库中导出数据。在网络攻击中被指网站遭到入侵后,黑客窃取数据库的行为。
撞库:一般用户喜欢在不同网站设置同一个密码,一旦黑客窃取了某个网络安全防护较差的网站数据库,那么就可以用该密码库循环测试其他网站,这种行为就叫“撞库”。
洗库:黑客取得大量的用户数据之后,有价值的用户数据贩卖给黑产。
社工库:黑客将获取的各种数据库关联起来,对任意一个目标进行全方位网络立体行为画像。
另外还有来自内部员工操作不当外泄、恶意员工贩卖用户信息、网络爬虫等方面的威胁。
三
隐私泄露新形态
如果说传统的互联网隐私泄露只是泄露了用户的地址、用户名、密码等个人信息的话,那么来自物联网设备隐私泄露会将使用者完全扒光。
智能物联网设备的通信方式主要采用无线通信,以及大量使用电子标签和无人值守通信,但受制于成本、性能方面的限制,物联网大部分所使用的终端属于弱终端,传输数据仅采用简单加密或明文方式传输,很容易被非法入侵、攻击、劫持、篡改,这就意味着使用者在使用过程中隐私信息很有可能被攻击者获取。例如,攻击者通过获得使用者的身份信息、兴趣爱好等信息,然后将这些信息卖给黑产,这样就会给使用者带来更大的安全风险。
1.窃取隐私数据。一旦设备遭到破坏,网络攻击者就可以窃取存储在物联网设备上的数据,其中可能包含个人信息、密码等信息。更危险的是,黑客还会使用物联网设备来收集数据。比如把带有麦克风和摄像头的家用监控变成监听设备,收集其中的音视频信息。把这类设备当作嗅探网络结构的工具,绘制网络架构图,从而找到同一网络内其他攻击目标,进行更大规模的攻击。
2.伪装可信数据。许多物联网设备从各种传感器中收集数据。然后,它们会将收集到的数据传输到云计算系统进行分析,并将其传输到各种服务商中。如果物联网设备被黑客攻陷,那么该设备产生的数据将无法被信任。此外,许多物联网设备缺乏强大的身份验证机制。从这些设备收集数据的云计算系统无法信任它们是否从真实设备中接收数据。
3.劫持关键凭证。黑客已经能够从几乎所有智能设备中提取Wi-Fi密码或嗅探其他敏感数据,包括智能电灯、门锁、门铃、视频监视器。一旦黑客入侵了这些物联网设备,就可以将其用作网络攻击和提取网络数据的入口。
4.利用设备漏洞。市场上很多智能家居设备急于抢占市场导致存在一定设计漏洞,例如使用明文密码或不需要用户身份验证的登录界面,以及弱加密或明文发送敏感信息的通信协议,这种设计漏洞会导致设备极易遭受攻击。
四
物联网安全防范
大多数互联网用户都懂得保护隐私数据,但面对攻击手段日新月异,显然防护能力是远远跟不上的。只有通过了解各种新型的数据泄露风险,提高安全防范意识,才能有效防止个人隐私泄露。
现在很多家庭都会安装采用云服务的智能设备,消费者无法得知所连接的设备内部设计是否安全。但能做的是启用适当级别的安全性设置,比如删除默认密码,设置更强的密码组合。
1.采购大厂设备。在选择智能物联网设备时采购大型厂商的产品,切勿贪图便宜购买廉价货,因为大型厂商设备安全性较高,即使设备发现漏洞也会及时修补。
2.及时升级补丁。网络环境是整个物联网正常运行的基础,作为普通用户应及时对设备进行固件或软件补丁升级,应对不断更新变化的网络攻击手段,确保自己的网络环境安全可靠。
3.强化身份认证。用户在使用智能物联网设备连接网络设置时不能图一时方便采用较弱的密码,建议使用较强的秘密组合加强身份认证,防御黑客冒充、非法访问、嗅探等攻击。
4.避免开源产品。由于很多物联网产品考虑成本原因采用开源协议源代码构建软件系统,这类软件系统由于源代码的开源性,导致攻击者很容易找出代码漏洞,很多安全事件也表明对这类产品的攻击往往多于闭源产品。
5.定期更新密码。多数物联网设备都是连接到一个中心控制设备,为了防止物联网设备被僵尸网络攻陷,建议定期对该中心设备管理密码进行更新。
6.关注网络流量。可以借助路由器流量管理功能,查看物联网设备网络数据流量,提早发现可疑数据包,及时阻断网络攻击。
更多的安全事件表明针对物联网设备攻击形态正在呈上升趋势。全球各地使用的物联网设备已经高达数十亿台,预计2020年全球物联网设备将达到200-250亿台。庞大的物联网设备记录了海量的隐私数据。
不幸的是,现存的这些物联网设备中,大多数都存在安全问题,这使得它们成为黑客和僵尸网络的主要攻击目标。
因此,我们在享受智能物联设备带来便利的同时,一定要提高网络安全防范意识,了解网络安全相关知识,学习网络防范相关技巧,把个人隐私数据防护好。