反派塞隆成功入侵了智能汽车系统,远程操控其自动驾驶功能,组成了可怖的僵尸车队:数十辆失控的汽车从天而降;成百辆汽车如同僵尸一般疯狂碰撞引起连环爆炸;巨大的冲击波把跑车抛向天空,电影主角身陷火海之中。

不要以为这些精彩剧情,仅仅存在于电影《速度与激情8》里。在现实生活中,智能汽车、智能家居等智能终端,都有可能被黑客入侵。

万物互联的IoT时代,处于大爆发前夜,但各种安全隐患也如影随形。

3月28日,由IFAA(互联网金融身份认证联盟)主办的“IFAA 物联网可信连接研讨会”(以下简称研讨会)在京召开,来自主管部门、学术界、产业界的参会者,就如何打造聚焦物联网时代的安全生态联盟,进行了深入的探讨。

IoT安全黑洞:入侵、劫持、盗窃、勒索

小米的IoT平台联网设备已经超过了1亿台;

BAT已经或者即将发布多款智能音箱产品,天猫精灵已经成为全球第三大智能音箱品牌;

百度刚刚获得了北京市颁发的首张自动驾驶测试牌照;阿里巴巴集团和上汽集团联手出品的首款互联网汽车荣威RX5成为了炙手可热的畅销车;

受益于AI交互技术的成熟,云计算的快速发展,以及产业链软硬件企业的大力推动,IoT有望在2018年迎来大爆发元年,已经成为产学研界的共识。

IoT大爆发的同时,嗅觉灵敏、趁虚而入的黑客们也开始出手了。过去十年至今,智能设备遭遇攻击的案例只增不减。

在研讨会上,浙江大学教授、IFAA科研基金评委徐文渊介绍了语音攻击的案例。

上海交通大学特别研究员、IFAA科研基金获选人孔令和的发言,聚焦于RFID如何通过并行识别技术,提升IoT设备身份识别效率。

而西安交通大学副教授、IFAA科研基金获选人沈超的演讲,则把关注点放在工业互联网领域。

徐文渊和她的研究团队通过上千次试验,利用麦克风收集使用者语音,并将之加载至人耳无法听到的超声波上,然后操控语音助手,可以实现对智能手机、智能手表等智能终端的远程操控。

实验室将这种攻击形式,命名为“海豚攻击”。实验显示,语音助手所存在的漏洞,广泛出现在包括苹果、三星、华为、谷歌、亚马逊等品牌中。

在论坛现场,徐文渊播放了一段视频,极为噪杂的声场环境中,徐文渊和其团队,实现了对苹果iwatch的系统破解。

不止在实验室里,在外部的真实世界,智能设备遭遇黑客成功攻击的案例也普遍存在。

3月18日,Facebook被曝出超过5000万用户信息被滥用。

2015年,浙江公司海康威视的智能摄像头遭到入侵,用户个人隐私被该摄像头在公开网络上现场直播。互联网上,甚至已经出现了破解摄像头的专业软件和教程,一个完整的黑产链条雏形初现。

沈超则对工控网络脆弱的防控体系表达了担忧。

2000年,澳大利亚马卢奇污水处理厂遭遇了非法入侵,在前后三个多月的时间里,总计约100万升未经处理的污水直接经雨水渠排入了公园、河流等自然水系。

2010年7月,震网病毒攻击了伊朗布什尔核电站,这种病毒能够更改离心机中的发动机转速,足以摧毁离心机运转能力且无法修复。措手不及的伊朗政府,不得不在发电站即将启动之前,暂时卸载了其核电站的核燃料。而在此前7年,美国的核电站也曾遭遇攻击。

2015年6月,波兰航空公司的地面操作系统遭遇黑客攻击。

对于工业互联网领域陆续发生的攻击事件,沈超在演讲中表示,工控网络的漏洞,甚至比传统互联网还要严重,“工控网络的“操作系统、技术零件器以及网络节点更新速度很慢,甚至基本不更新,处理能力非常有限,很容易被攻击、控制。航空、电厂、水厂、电网的漏洞都很多,随便搞一搞就能看出来。”

沈超和其团队,在实验室通过窃听、探测信息网络,成功实现了对美国加州一家发电站的简单攻击。

主要专注于智能安防和家居领域的飞天诚信技术总监伍妙君,分享主题聚焦于智能家居行业。伍妙君认为,信息安全有三个核心,“机密性,也就是说数据不泄露;完整性,我的数据不被中间人篡改;可用性,数据实时可用,不会影响中断和服务,对应到智能家居领域,则被细化为:人的认证;安全链路;指令的确认。”但伍妙君同时也特意强调,针对消费者端的智能家居产品,在保证安全之余,用户体验始终是第一位的。

8位来自不同领域的嘉宾,发言既前瞻又务实,初步描绘了IoT身份识别和安全生态构建的草图。尽快构建与IoT时代适配的全方位的安全生态体系,成为了参会人员的共识。

IFAA助力,搭建IoT安全生态联盟

面对汹汹而来的IoT安全事故,与会的产学研人士达成了共识,必须构建一套融合产业链上下游力量的全方位的安全风控体系,合力狙击虎视眈眈的黑客军团。

“与智能手机行业不同,整个IoT领域相当碎片化、多元化。IoT行业有几百家芯片厂商,在这上面可能有成千上万的整机厂商,再往上有几十万上百万的软件开发者”,全球领先的半导体知识产权 (IP) 提供商ARM公司的资深市场经理王骏超说,“IoT的安全体系,需要芯片厂商、安全厂商、智能终端、服务商等,一块来搭建。单独一家企业的力量远远不够。”

在IoT大爆发前夜,亟需类似IFAA这样的联盟组织,集合全产业链上下游企业的力量,共筑适配IoT时代的安全生态联盟。

作为国内主流的身份识别技术行业标准组织,IFAA目前已经汇集了超过160家全产业链不同角色的会员单位,覆盖设备厂商、芯片厂商、算法厂商、安全厂商、标准机构、检测机构等等产业链上下游单位。

通过技术合作与标准制定,IFAA对外输出的“身份识别技术行业解决方案”,充分保障了从芯片层到硬件层、应用层等全链路的协议及传输安全,降低了行业开发及适配的成本,有助于支持硬件及应用厂商的快速发展,目前,已有超过36个品牌、230多款机型使用了IFAA提供的解决方案。

ARM于2016年1月加入了IFAA联盟,王骏超表示,“我们非常关注服务商对底层安全架构的需求,加入IFAA之后,我们能够更深入的了解服务商对IP的需求,我们知道该往哪个方向做,希望能跟产业链一起推广安全架构,分担安全责任。”

作为学术界代表,徐文渊介绍完语音攻击的两个案例后,给IFAA联盟提出了建议,“希望在考虑制订标准时,能把相关问题考虑进去。”

中国电子技术标准化研究院物联网研究中心、物联网标准与应用工业和信息化部重点实验室主任王文峰,强调了构建物联网技术与标准化的重要性。他作为指导部门的代表,点赞了IFAA联盟的活力和价值,并对IFAA联盟提出了建议,“搭建一个活跃的好联盟很不容易。一个好的联盟,第一应该始终坚持初心和使命,第二,应该以联盟成员利益为先,第三,应该构建共赢的利益生态体系。”

据悉,IFAA联盟正在调研成员企业的需求,筹备建立IoT工作组。