盘点物联网安全事件，物联网攻击离我们或许并不遥远

近期，国内某知名网络安全公司监测到一款名叫GoldPickaxe的 “人脸劫持”犯罪软件，它可以窃取用户的面部识别等生物特征数据、拦截短信以及代理设备流量。GoldPickaxe木马病毒支持iOS和Android版本，是目前发现的首个iOS木马病毒。不同于传统的窃取资金方式，GoldPickaxe木马病毒并不直接从受害者手机中盗取资金，而是通过收集受害者信息来创建深度伪造视频，并自动访问受害者的银行应用程序，允许黑客未经授权访问受害者银行账户。

2022年，网传蔚来被破解大量数据，包括蔚来内部员工数据22800条、车主用户身份证数据399000条。蔚来官方发布公告称收到外部邮件以泄露数据勒索225万美元（约1500万元人民币）等额比特币。

2022年，微博一则信息显示，某知名智慧家电集团遭遇勒索攻击，工厂多处电脑被植入勒索病毒，导致内网系统连不上，所有文件无法打开。勒索组织要求该集团在7天内将1000万美金打到指定账户。

2019年，重庆某企业遭受了勒索病毒攻击，黑客通过入侵企业内网暴力破解，在内网扩散投放勒索病毒，导致大量重要文件被加密，生产网、办公网全面瘫痪，影响正常运营。

2018年，知名弹幕视频网AcFun发布公告称受到黑客攻击，近千万条用户数据外泄，包含用户ID、用户昵称、加密存储的密码等信息。

国外

2023年，CVE-2023-20198漏洞被利用，超过一万台思科设备遭到黑客攻击。运行 Cisco IOS XE 软件的产品包括企业交换机、工业路由器、接入点、无线控制器等。

2021年，视频监控公司Verkada的摄像头遭到黑客入侵，黑客获取了数百个客户的摄像头访问权限，并公开了其中一些摄像头的实时视频。此次事件中被曝光的企业、机构不仅有上海的特斯拉工厂，还覆盖了多国的医院、诊所、公司、监狱、学校等场所。

2020年，俄罗斯快递服务公司PickPoint确认，因遭受网络攻击，在莫斯科的2732个储物格出现了柜门大开的情况，从而使得用户包裹暴露在失窃风险中。

2019年，网络安全公司Imperva的某个CDN客户在当年四月至五月期间受到了大规模DDoS攻击。该攻击针对站点的身份验证组件，由一个僵尸网络领导，该僵尸网络协调了402000个不同的IP，发动了持续13天的DDoS攻击，并达到了29.2万RPS的峰值流量和每秒5亿个数据包的攻击峰值。

……

以上物联网安全事件不胜枚举，甚至随时都在发生。

*相关资料来源于网络

由于物联网终端设备普遍性能及资源有限，且缺乏有效的身份认证，数据多以明文形式传输，安全防护能力非常薄弱，极易成为攻击的对象。缺乏可靠防护的终端设备越来越多，也意味着安全风险越来越大。

著名密码学专家和安全顾问布鲁斯·施耐泽（Bruce Schneier）说：“安全不是一个产品，而是一个过程”。面对日益严峻的物联网安全威胁，我们可以将这句话延伸为：“安全不是一个结果，而是一种状态”。在随时被攻击的威胁下，物联网设备薄弱的防护能力像是不断遭受击打的玻璃，随时都会破碎。

物联网安全涉及到接入安全、身份安全、访问控制、通信安全和数据安全等多方面的安全问题。如何为物联网提供一个不可克隆的身份是解决这些问题的关键。

PUF，即物理不可克隆功能（Physical Unclonable Functions）的缩写，体现了芯片在制造过程中由于工艺细微偏差带来的天然唯一、随机分布、不可克隆、不可篡改的物理特征。每个芯片独有的物理特征也被称为“芯片指纹”，是建立物联网设备硬件信任根，构建不可克隆身份的最佳选择。

帕孚信息科技利用PUF公钥技术，可为设备生成独特公私钥对，为物联网设备建立可信身份提供基础。 

使用PUF私钥申请CA证书，可获取设备不可克隆的身份凭据，用于证明其身份。这些身份凭据可用于实现终端设备与物联网云平台之间的身份认证，并提供加密通信和数据完整性验证，以确保通信安全。通过结合CA流程和经过优化的TLS安全协议，使得该方案可在资源受限的IoT设备上运行。

在该方案中，私钥安全是确保身份安全的关键。由于PUF私钥从芯片内部生成，并与设备天然绑定，无需外部注入和存储，攻击者难以通过侵入式/半侵入式攻击、侧信道攻击等手段获取私钥，使得伪造设备身份变得非常困难。