5月27日碁震(KEEN)创始人兼CEO王琦(大牛蛙)在2017中国国际大数据产业博览会的主题IT运维管理社区“中国大数据安全发展峰会”上发表演讲。王琦结合碁震主办的国际黑客大赛 GeekPwn 中积累的经验,指出“大数据的采集来源——终端出现了严重安全漏洞,也是大数据的安全问题。”
IoT 安全如何影响大数据
在极棒过去的比赛(不包含2017极棒年中赛)中,选手提交的所有漏洞都是高危漏洞,能够导致攻击者完全控制目标设备。GeekPwn 实验室安全研究员统计发现,其中独立的漏洞利用占 63%,内存级别的漏洞仅占 29%。漏洞利用的难度不高,但是危害极大。(数据如下图所示)
不同产品的漏洞分布也有差异,某些产品——特别是新品类被报告的漏洞数量则相对较少。
但一些产品往往不需要通过内存破坏漏洞即可进行攻击,这就意味着技术难度更低;同时被报告的漏洞数量少恰恰显示其安全问题忽略了。(下图为存在安全问题的产品类别)
由此,物联网安全目前面临漏洞数量多、危害大两个问题:
而 IoT 终端频频被黑客控制,对于用户而言则意味着大量个人隐私数据的泄露。演讲中王琦例举了 GeekPwn 比赛中“上座率”极高的路由器、家用摄像头、智能门锁以及智能插座进行了解说。
它们被完全控制意味着黑客获得了什么?ITSM
路由器:Wi-Fi 名称、IP 地址、访问的网站、产生的流量、连接的设备、活跃时段.....
家用摄像头:手机号、Wi-Fi 名称、IP 地址、活动感应记录、对讲记录、转动记录......
智能门锁:手机号、Wi-Fi 名称、IP 地址、开门记录、指纹及密码数量.....
智能插座:手机号、Wi-Fi 名称、IP 地址、开关记录、功耗记录、定时开关规则......
当然,如果攻击获取一台路由器的控制权可能掀不起惊涛骇浪,但是随着物联网时代的到来,智能设备已经走入了人们的生活。统计显示全球目前有 84 亿 IoT 设备、26 亿台智能手机、千万级的儿童智能手表以及百万级的家用摄像头......而仅出现在 GeekPwn 上的受漏洞影响的 IoT 设备就到达十亿级别。去年席卷美国的 Mirai 恶意病毒就是利用了百万台路由器和摄像头的安全问题。
大数据安全的盲点
大数据时代已经到来。IBM 研究称“整个人类文明所获得的全部数据中,90% 是过去两年产生的。”聚焦大数据领域的安全研究往往聚焦于云计算平台、网络行为数据防护、内部威胁等,但是很少有从数据源为切入点,如果从“数据产生”阶段就出现了安全问题,最终也会导致难以估量的后果。
王琦提出“为大数据正本护源”,避免终端源头存在漏洞导致的风险。一旦终端沦陷,攻击者可能进行数据污染影响最终的决策;或者对数据进行窃听,盗取核心机密。
王琦直言:“我们现在用到所有的终端都是我们大数据采集来源,我们手机、无人机、路由器全部被黑掉之后回传到云端,大家想象一下可以产生多少东西。”
|