11月18日,由看雪学院主办的首届“安全开发者峰会”在京召开。峰会聚焦开发与安全,旨在以“防”为基准,安全开发为主旨,引导广大企业和开发者关注移动、智能设备、物联网等领域的安全,提高开发和安全技巧,创造出更安全的产品。腾讯安全联合实验室反病毒实验室安全专家杨经宇出席大会就IoT设备安全发表主题演讲《开启IoT设备的上帝模式》。首度公开了两个危险等级较高的IoT设备漏洞,此漏洞目前已经报送国家信息安全漏洞库(CNNVD),杨经宇指出IoT设备的安全发展必然会符合由一种自然趋势:即攻强守弱——相互焦灼——守强攻弱。
(腾讯安全联合实验室反病毒实验室安全专家杨经宇在现场演讲)
腾讯安全联合实验室旗下玄武实验室负责人于旸(TK教主)、湛泸实验室负责人袁仁广(yuange)、云鼎实验室负责人董志强(killer)、反病毒实验室负责人马劲松也受邀出席本次大会,担任嘉宾。
500亿IoT设备下的新安全隐患
互联网的深度发展,正将IoT设备带入一个飞速发展期。根据Gartner、Pew等机构的数据统计,2017年全球IoT设备的数量已达到284亿,2020年将达到501亿。但值得关注的是,伴随着IoT设备大量涌入智能家居领域,大众的安全也将面临更严峻的挑战。杨经宇指出,IoT设备因为自身与传统PC设备在硬件和软件上的巨大差异,引发了新的安全问题。
前段时间央视就曝光了一起家用摄像头被破解事件,不法分子使用在网上购买的扫描器破解家用摄像头,将摄像头所记录的用户家庭隐私公开贩卖。更令人震惊的是,在国家国家互联网应急中心随后进行的一项全国性监测中发现,随机挑选的两个摄像头品牌就存在十几万个弱口令漏洞,可通过上述扫描器破解。
除此之外,杨经宇在现场以摄像头固件校验漏洞为例,着重介绍了一种伪造固件绕过固件校验算法进行Root设备的方法,该漏洞也被CNNVD收录,并被评级为中危漏洞。
而IoT设备用被破解之后带来的安全隐患也更加多样。杨经宇指出,除了被监听监控之外,IoT设备最大的安全隐患就是在僵尸网络的操控下发起大规模分布式拒绝服务攻击(DDoS),去年半个美国断网事件的始作俑者就是Mirai僵尸网络。杨经宇还以一个DDNS智能硬件的root漏洞为例,介绍了如何将一个原本不具备WiFi功能的IoT设备开启WiFi功能,这可能引发更多意想不到的攻击。
IoT安全发展“守强攻弱”是必然趋势
快速发展的IoT设备潜伏的安全隐患令人恐慌,但在杨经宇看来,IoT设备的安全发展会符合一种自然规律,即从攻强守弱到相互焦灼,最终实现守强攻弱。
事实上,在IoT产业发展的初期,大部分安全隐患的产生都来源于我们对攻击的陌生,而这正是以腾讯安全联合实验室反病毒实验室为代表的安全厂商,开启IoT设备上帝模式(root模式)等还原不法分子破解手法的目的所在,希望“知己知彼”,最终占据攻防主动。
杨经宇在演讲最后也结合腾讯安全联合实验室反病毒实验室的研究,对IoT安全的缓解机制提出建议,即通过固件签名、保护种子、物理手段对固件校验、密码生成、WiFi扫描过程中出现的IoT设备漏洞进行防御。
除此之外,在长期一线的攻防对抗中,腾讯安全联合实验室反病毒实验室研发了多种工具,帮助用户构建更加全面的防御体系。在今年5月中旬爆发的大量IoT设备遭感染的WannaCry勒索病毒事件中,腾讯安全联合实验室反病毒实验室、腾讯电脑管家共同出击,推出了一系列包含漏洞免疫工具、文档守护者工具、文件恢复工具、开机指南、勒索病毒专杀工具等在内的处置措施,帮助用户抵御病毒的侵袭;在家用摄像头隐私被窃事件爆发之后,实验室也迅速响应,开发了腾讯哈勃摄像头安全检测工具,此工具可以扫描内网中是否存在摄像头安全风险,提醒用户及时采取安全措施,消除隐患。
依靠以腾讯安全联合实验室反病毒实验室为代表的安全厂商不断深耕技术,积累攻防经验,可以预见,IoT设备在高速发展的未来也将匹配更加安全的保障。