騰訊安全反病毒實驗室楊經宇:IoT安全發展“守強攻弱”是必然趨勢
2017-11-21 17:08:27 來源:砍柴網 熱度:
11月18日,在首屆“安全開發者峰會”上,騰訊安全聯合實驗室反病毒實驗室安全專家楊經宇出席大會就IoT設備安全發表主題演講《開啟IoT設備的上帝模式》。首度公開了兩個危險等級較高的IoT設備漏洞,此漏洞目前已經報送國家信息安全漏洞庫(CNNVD),楊經宇指出IoT設備的安全發展必然會符合由一種自然趨勢:即攻強守弱——相互焦灼——守強攻弱。
(騰訊安全聯合實驗室反病毒實驗室安全專家楊經宇在現場演講)
騰訊安全聯合實驗室旗下玄武實驗室負責人于旸(TK教主)、湛瀘實驗室負責人袁仁廣(yuange)、云鼎實驗室負責人董志強(killer)、反病毒實驗室負責人馬勁松也受邀出席本次大會,擔任嘉賓。
500億IoT設備下的新安全隱患
互聯網的深度發展,正將IoT設備帶入一個飛速發展期。根據Gartner、Pew等機構的數據統計,2017年全球IoT設備的數量已達到284億,2020年將達到501億。但值得關注的是,伴隨著IoT設備大量涌入智能家居領域,大眾的安全也將面臨更嚴峻的挑戰。楊經宇指出,IoT設備因為自身與傳統PC設備在硬件和軟件上的巨大差異,引發了新的安全問題。
前段時間央視就曝光了一起家用攝像頭被破解事件,不法分子使用在網上購買的掃描器破解家用攝像頭,將攝像頭所記錄的用戶家庭隱私公開販賣。更令人震驚的是,在國家國家互聯網應急中心隨后進行的一項全國性監測中發現,隨機挑選的兩個攝像頭品牌就存在十幾萬個弱口令漏洞,可通過上述掃描器破解。
除此之外,楊經宇在現場以攝像頭固件校驗漏洞為例,著重介紹了一種偽造固件繞過固件校驗算法進行Root設備的方法,該漏洞也被CNNVD收錄,并被評級為中危漏洞。
而IoT設備用被破解之后帶來的安全隱患也更加多樣。楊經宇指出,除了被監聽監控之外,IoT設備最大的安全隱患就是在僵尸網絡的操控下發起大規模分布式拒絕服務攻擊(DDoS),去年半個美國斷網事件的始作俑者就是Mirai僵尸網絡。楊經宇還以一個DDNS智能硬件的root漏洞為例,介紹了如何將一個原本不具備WiFi功能的IoT設備開啟WiFi功能,這可能引發更多意想不到的攻擊。
IoT安全發展“守強攻弱”是必然趨勢
快速發展的IoT設備潛伏的安全隱患令人恐慌,但在楊經宇看來,IoT設備的安全發展會符合一種自然規律,即從攻強守弱到相互焦灼,最終實現守強攻弱。
事實上,在IoT產業發展的初期,大部分安全隱患的產生都來源于我們對攻擊的陌生,而這正是以騰訊安全聯合實驗室反病毒實驗室為代表的安全廠商,開啟IoT設備上帝模式(root模式)等還原不法分子破解手法的目的所在,希望“知己知彼”,最終占據攻防主動。
楊經宇在演講最后也結合騰訊安全聯合實驗室反病毒實驗室的研究,對IoT安全的緩解機制提出建議,即通過固件簽名、保護種子、物理手段對固件校驗、密碼生成、WiFi掃描過程中出現的IoT設備漏洞進行防御。
除此之外,在長期一線的攻防對抗中,騰訊安全聯合實驗室反病毒實驗室研發了多種工具,幫助用戶構建更加全面的防御體系。在今年5月中旬爆發的大量IoT設備遭感染的WannaCry勒索病毒事件中,騰訊安全聯合實驗室反病毒實驗室、騰訊電腦管家共同出擊,推出了一系列包含漏洞免疫工具、文檔守護者工具、文件恢復工具、開機指南、勒索病毒專殺工具等在內的處置措施,幫助用戶抵御病毒的侵襲;在家用攝像頭隱私被竊事件爆發之后,實驗室也迅速響應,開發了騰訊哈勃攝像頭安全檢測工具,此工具可以掃描內網中是否存在攝像頭安全風險,提醒用戶及時采取安全措施,消除隱患。
依靠以騰訊安全聯合實驗室反病毒實驗室為代表的安全廠商不斷深耕技術,積累攻防經驗,可以預見,IoT設備在高速發展的未來也將匹配更加安全的保障。
責任編輯:靳玉鳳
相關推薦
中國三網融合將造就幾家壟斷"航母級"企業?中國加快推進"三網融合"的決定將最先惠及從事光纜、光纖和機頂盒等相關設備制造商,但長遠看來,那些擁有多樣化內容、創新服務以及廣泛傳播渠道的綜合性公司才會是最大受益者."三網融合"并非將電信網、互聯網和廣播電視網進行簡單的物理整合,更為重要的是業務應用的融合.在”三網融合"的情景下,用戶通過一張網絡就可以完成打電話、上網和看電視等需求.中國國務院近日決定擬于2010-2012年重點開展廣電和電信業務雙向進入試點,在2013-2015年全面實現三網融合發展.今後,符合條件的廣播電視企業可以經營增值電信業務和部分基礎電信業務、互聯網業務;符合條件的電信企業可以從事部分廣播電視節目生產制作和傳輸.美國
李飛揚:騰訊控股是“三網融合”強勢股上次提到,中國加快推進“三網融合”,從宏觀層面分析,將有助拉動內地中長期的經濟發展;從微觀層面分析,將率先惠及從事光纜、光纖和機頂盒等相關設備的制造商,而長遠看來,那些擁有多樣化內容、創新服務,以及廣泛傳播渠道的綜合性企業將會是最大得益者。高盛的一份研究報告就估計,未來幾年,電信公司和有線電視公司將增加資本支出以升級網絡,而新的投資將會引入新的服務,這將從整體上增加廣播電視和電信業的收入。該報告又指出,雖然目前“三網融合”仍未對電信公司的股價有任何刺激作用,至于有線電視類股份的強勢,則有點來得過早的感覺。不過,綜合來說,“三網融合”未來將可造就幾家綜合性“航母級”企業,其中兩只是在港上市的中移
傳騰訊借殼介入互聯網電視廣電牌照成稀缺2月28日消息,近日,有消息稱央視國際與騰訊成立合資公司,主要運營互聯網電視業務。據稱,合資公司規模有數億元人民幣,由3-4家股東組成,其中包括中數圖。合資方各家的出資比例目前還未確定。據搜狐IT了解,根據廣電系統一貫的作法,合資公司將由央視國際控股。不過由于廣電系統的復雜性,合資公司是否能夠順利成立并運作還存在許多未知數。廣電牌照成稀缺資源據了解,由于互聯網電視涉及面較廣,從2009年互聯網電視在國內市場興起后,廣電總局即下文嚴管這一新生事物。2010年3月,廣電總局給央視國際、上海廣播電視臺、浙江與杭州廣播電視臺三家廣電系統單位發了互聯網電視牌照。三家單位的互聯網電視播控平臺于2010年下
