2.3 物联网安全事件分析

随着物联网的飞速发展，物联网已经能够将物理设备、车辆、建筑物、智能家居、医疗设备及智慧农业等装置与网络连接起来，使这些对象能够收集和交换数据。物联网允许远程终端通过现有的网络基础设施感知和控制事物，可以将物理世界集成到计算机系统，从而提高效率，保障准确性和经济利益。但随着物联网应用的普及，其面临的安全问题也越来越凸显出来，物联网安全事件正处于高发时期。最近几年典型的物联网安全事件如下。

（1）在2014年中国互联网安全大会上，来自国内外的黑客进行各种攻防演示，技术人员在现场演示黑客不用车钥匙，而是用笔记本电脑和智能手表打开奔驰C180轿车的车门，他们先用一个无线电设备将车钥匙中的射频信号截取下来；然后把这个信号输送成实际的数据；最后将分析出来的数据用一些其他设备（如手机或一些能发出同样射频信号的设备）发射出来，这样就可以用这个设备而不用车钥匙把车门打开。此外，国内相关专业团队研究了Tesla Model S型汽车，发现特斯拉汽车应用程序流程存在设计缺陷。攻击者利用这个漏洞可远程控制车辆，实现开锁、鸣笛、闪灯、开启天窗等操作，并且能够在车辆行驶中开启天窗。

（2）2014年5月，美国网络安全公司发布了一份最新的研究报告，指出网络黑客已经能够轻松入侵并操控城市交通信号系统及其他道路系统，涉及范围涵盖纽约、洛杉矶、华盛顿等大城市。黑客能够通过改变交通灯信号、延迟信号改变时间、改变数字限速标记，从而导致交通拥堵甚至车祸。研究者Cesar Cerrudo表示，目前根本没有任何方法能够防止交通控制设备被入侵。

（3）2014年5月，美国McAfee公司的资深信息安全专家巴纳比·杰克模拟了黑客入侵医疗设备的全过程，操控设备按照他的意志行凶，整个过程让现场观摩的医生和设备供应商大为震惊。巴纳比·杰克和团队利用强大的无线电设备成功干扰了一台胰岛素泵的正常工作，再利用高超的计算机技术篡改胰岛素泵原本的工作流程，实现逆向通信。至此，这台胰岛素泵就处于黑客的控制中，黑客可随意加快胰岛素泵的注射频率，短时间内把300个单位的胰岛素注入患者体内，这样患者就会血糖急降，抢救不及时就会死亡。巴纳比·杰克说，只要让他在距离胰岛素泵91m以内的范围就可实现无线干扰，把胰岛素泵玩弄于股掌中，又不被患者本人和医护人员识破。

（4）2014年10月，研究人员发现西班牙所使用的智能电表存在安全漏洞，发现该漏洞的研究人员Javier Vazquez Vidal表示，该漏洞影响范围非常广，西班牙提高国家能源效率的公共事业公司所安装的智能电表就在影响范围内。研究人员将会公布逆向智能电表的过程，包括他们是如何发现这个极其危险的安全问题，以及该漏洞将如何使得入侵者成功进行电费欺诈，甚至关闭电路系统的。该漏洞存在于智能电表中，而智能电表是可编程的，并且同时包含了可能用来远程关闭电源的缺陷代码，影响范围极广。

（5）2015年年初，McAfee的安全研究人员就发现了全球首例物联网攻击事件。在此事件中，黑客通过智能电视、冰箱及无线扬声器发起攻击，10余万台互联网“智能”家电在黑客的操控下构成了一个恶意网络，并在两周时间内向那些毫无防备的受害者发送了约75万封网络钓鱼邮件。因此，物联网节点接入互联网后，互联网的安全问题延伸至感知节点。

（6）2015年7月，两位著名白帽黑客（查理·米勒和克里斯·瓦拉塞克）入侵了一辆Jeep自由光汽车，两位黑客侵入克莱斯勒公司出品的Uconnect车载系统，远程通过软件向该系统发送指令，可以启动车上的各种功能，包括减速、关闭发动机、制动或让制动失灵。而后，克莱斯勒美国公司宣布召回约140万辆存在软件漏洞的汽车。

（7）据《金融时报》报道，2015年12月23日，乌克兰伊万诺-弗兰科夫斯克地区超过一半区域断电几小时，大量用户受到影响。黑客以Black Energy病毒为攻击工具，通过远程控制电力控制系统节点下达断电指令，并通过对系统数据擦除覆盖、关机等系列操作阻碍系统恢复。

（8）2016年6月，网站安全供应商Sucuri公司发现一起针对其客户的DDoS攻击，传输速度峰值达到400Gbps，这起攻击是由约25513个独立网络摄像头组成的物联网僵尸网络所发起的。

（9）2016年9月，法国托管和云计算提供商OVH公司的技术总监在其Twitter上称他们遭受了一起由145607个网络视频监控设备发起的传输速度峰值最高达800Gbps的DDoS攻击，预计该僵尸网络有能力发动传输速度峰值超过1.5Tbps的DDoS攻击。

（10）2016年9月，专门从事曝光网络犯罪的网站Krebson Security遭受了传输速度峰值达620Gbps的DDoS攻击，最终连CDN服务商Akamai也无防护之计可施，只能选择将Krebs网站下线，据调查此次攻击可能是由众多物联网智能终端组成的Mirai僵尸网络所造成的。

（11）2016年10月，美国域名服务器管理服务供应商Dyn公司服务器遭遇DDoS攻击，导致美国东海岸地区大面积断网。本次攻击共分三波次发起，攻击设备来自全球上千万个IP地址，其中有数百万恶意攻击源头来自网络摄像头、数字录像机等物联网智能终端，据统计本次攻击总流量超过1Tbps，而攻击者仅是通过猜测默认密码的方式即获取了这些设备的控制权。

（12）2017年2月，美国一个大学校园遭到DDoS攻击，大批学生表示网速非常慢。经校方人员调查后发现，发起DDoS攻击的正是校园内外5000多台物联网设备构成的僵尸网络。在这些受感染物联网设备中，大多是校园内的自动售货机。

（13）2017年3月，互联网填充智能玩具CloudPets（泰迪熊）暴露了200多万条儿童与父母的录音，以及超过80万个账户的电子邮件地址和密码。

（14）2017年4月26日，新型物联网僵尸网络Persirai一举攻陷了12万台IP摄像机。僵尸网络Persirai利用恶意软件ELF_PERSIRAI.A不断进行传播感染，一个月内多家原始设备制造商（OEM）的1000多种型号网络摄像头产品受到此恶意网络感染。

（15）2017年6月，数百万德国网民遭遇一系列的网络中断，究其原因是一次失败的消费路由器劫持。德国电信（Deutsche Telekom）的2000万用户中90万用户受到本次网络中断影响，德国电信发布的声明中表明本轮攻击主要是为了进一步扩大感染。

（16）2017年9月，Kromtech安全中心发现SVR Tracking超过50万的记录直接暴露在互联网上，SVR Tracking是提供车辆跟踪找回服务的一家美国公司，旨在提供服务帮助客户监控车辆以防被拖走或被盗。为了持续实时更新车辆位置，该公司会在车辆的隐蔽位置安装追踪设备，只是未经授权的司机不太容易注意到追踪设备。

一系列的物联网攻击事件反映出物联网攻击有以下特点。

（1）攻击重点转向应用层。

（2）“突发性攻击”的复杂性、频率及持续时间增加。

（3）反射放大攻击增多，攻击的影响面更广泛。

（4）僵尸网络攻击呈高发态势，且同源跨平台恶意软件及其变种反复发作，难以遏制。

美国国土安全部2016年11月发布的《保障物联网安全的战略原则》中明确指出，“保障物联网安全已演变为国土安全问题”，表明美国将在未来要对物联网安全技术进行深度的创新和发展。