物联网设备受到攻击损失的仅是信息吗？

路由器高危漏洞致德国百万用户断网、黑客入侵15万台打印机、智能泰迪熊玩具泄露200多万条亲子聊天记录……与物联网设备漏洞相关的黑客攻击一再发生，使得国外对物联网设备的安全风险有所警觉。美国联邦调查局曾警告家长，互联网玩具有泄露隐私的风险，黑客可以通过攻击互联网玩具来获得孩子的姓名、地点等个人信息。

针对物联网设备攻击的危害远不止于数据失窃那么简单。安全研究人员演示了如何将勒索软件安装到家庭的智能恒温器上。他们甚至可以将温度调高到95摄氏度，拒绝调回到正常温度，除非受害者同意支付用比特币支付的赎金。他们还能对联网的车库门、车辆甚至家电发动类似的攻击。随着无人驾驶日益普及，黑客可以控制车辆，换广播电台、开启雨刷器、逼停车辆乃至引发交通事故。更令人担心的是，黑客有可能攻击植入人体且具有无线功能的医疗器械，借以危害人体健康。

国际权威咨询公司高德纳预测，2020年全球物联网设备数量将高达260亿件，解决物联网设备的安全防护问题已是刻不容缓。来源：央广

随着物联网技术的快速发展，也带来了一些专业威胁和安全风险。以下是物联网应用技术的一些专业威胁：

隐私和数据泄露：物联网设备会收集大量的数据，这些数据可能包含用户的个人信息和隐私，如果这些数据被未经授权的人员访问和使用，可能会对用户的隐私造成泄露和侵害。

安全漏洞：物联网设备通常是由嵌入式系统构成的，这些系统的安全性通常较低，容易受到攻击和入侵，从而被黑客用来进行恶意活动。

不安全的通信协议：物联网设备之间的通信通常采用无线网络，但很多无线协议在设计时没有考虑安全性，容易被黑客攻击。

缺乏标准化：由于物联网技术的快速发展，缺乏标准化和统一的安全机制，导致不同的设备之间存在兼容性和安全性问题。

物理攻击：物联网设备通常被安装在不同的环境中，容易受到物理攻击，如设备被窃取、损坏或篡改等。

综上所述，物联网应用技术的专业威胁较多，需要采取相应的安全措施来保护用户的隐私和安全。

中科院云计算中心分布式存储联合实验室特讯： 近期，工信部网络安全管理局通报，暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患报告不及时， 再次为国家数据安全敲响警钟，国资云建设刻不容缓、势在必行。

近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线：

11月24日

阿里云在阿帕奇（Apache）开放基金会下的开源日志组件Log4j2内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

12月9日

中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j2150-rc1版本被发现仍存在漏洞绕过。

12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2150-rc2版本修复漏洞。

12月10日

阿里云在官网公告披露，安全团队发现Apache Log4j2150-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月22日

工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中，日志组件是应用程序中不可缺少的部分。而其中Apache（阿帕奇）的开源项目log4j是一个功能强大的日志组件，被广泛应用。

由于Apache Log4j存在递归解析功能，未取得身份认证的用户，可以从远程发送数据请求输入数据日志，轻松触发漏洞，最终在目标上执行任意代码。即 攻击者只要提交一段代码，就可以进入对方服务器，而且可以获得最高权限，控制对方服务器。通俗说，黑客通过这个普遍存在的漏洞，可以在服务器上做任何事。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。利用这个漏洞，攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分，IT 通信（互联网）、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及，全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、百度，网易、新浪以及特斯拉等全球大厂，悉数中招，众多媒体将这个漏洞形容成“史诗级”“核d级”漏洞，可以说相当贴切。

据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中，作为我国云计算服务的头部供应商的阿里云，11月24日发现计算机史上最大的漏洞，是先向国外的Apache基金会报告，而未及时向主管部门报送漏洞信息。工信部得知情况，已经是12月9日，中间已经过了15天。这十五天，中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞，在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台，更加应以谨慎的心态承担起保障网络安全的责任。

国资云建设 安全自主可控为上

互联网时代，国家安全自然延伸到了网络。各个国家，都在想办法堵自己漏洞，找别人家的漏洞，甚至是隐藏的后门。同样的漏洞，那就是看谁率先掌握。国外的开源软件层出不穷的漏洞，隐没难寻的后门，应用于国家重要机构或事关 社会 民生的部门，其潜在危害难以估量。我们除了想方设法被动收集修复漏洞，还要大力发展和利用自主安全可控的技术，才能在互联网领域寻求战略平衡，保障国家安全。

所以说，阿里云的这次行动足以为戒，忽视国家各项数据安全法律法规，国家安全责任意识淡漠，将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商，如何让国家机构、央企国企放心将数据业务托管？

风险就在那里，警告从未缺席。国资云以安全自主可控、平稳可靠运行为上，才能确保国家安全，尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利，更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外，是互联网竞争环境的使然，也是数据安全责任的担当，更是时代赋予的使命。

“国资云”建设 大势所趋

经过深入研究分析，北京交通大学信息管理理论与技术国际研究中心（ICIR）认为， “国资云”建设是大势所趋，原因主要有以下三方面：

一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产，应纳入国资监管和统一管理，保护国有数据资产安全是建设国资云的核心目的；

二是“国资云”建设是保障国家重要数据安全的需要。近期，《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施，将数据安全提升到前所未有的高度，而国有企业的许多数据事关国家关键信息基础设施安全；

三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、 *** 作系统、存储、数据库、中间件等国产信创产品比重，并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用，从基础到应用全方位推进信创工程步伐。

因此，“国资云”建设的重要意义在业界已达成高度共识。

国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础，是我们党执政兴国的重要支柱和依靠力量，国有企业不仅具有鲜明的政治属性，也具有强烈的经济属性和物质属性，坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此，国有企业更需要资产不断保值增值，规模不断发展壮大，盈利水平不断提高，这就要求国有企业必需使用最先进的生产工具，创造出最先进的生产力，保持在国际国内市场中的竞争力。

而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外，在Paas、Saas层面的技术创新速度非常快，产品迭代周期不断缩短，不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。

在激烈的市场竞争中，企业选择了什么类型、什么厂商的云服务，在一定程度上意味着企业使用了什么工具和武器，在很大程度上决定了企业的生产效率、管理效率和市场效率，也就决定了企业的竞争力。

国资云赋能云上安全，打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云 *** 作系统，首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例，将有助于充分激活国企强劲的竞争力、影响力、带动力。

2021年11月， 国资云平台中科云（东莞） 科技 有限公司正式成立，由中科院、东莞市政府等多方投资的上市企业国云 科技 控股，国资背景加持，官方认可，国内顶尖 科技 机构技术背书，使用国内首个自主产权、安全可控的G-Cloud云 *** 作系统，建设“国资云”， 赋能千行百业数字化转型升级，最大化优化国有资本布局，提高国有资本运营效能、产业互联和商业创新！

中科云凝聚服务政企信息化、数字化建设的核心团队， 联合产学研用各方力量，融合大数据、云计算、物联网等新一代信息技术，在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务，助力国资国企规模和实力的持续增长，实现高质量发展。

过去一年中，全球各地的物联网恶意攻击事件大幅增加，其中就包括了两次非常有名的DDoS攻击：一次发生在通过Akamai托管的“Krebs on Security”博客网站上，另一次则发生在为众多社交网站的关键互联网基础设施提供支持的Dyn DNS服务器上。
在这两个案例中，攻击者利用物联网设备（如IP监控摄像头、DVR以及其他与目标无关的消费类设备）创建了能够破坏目标（不相关）服务的僵尸网络。在DNS事件中，许多常用的互联网服务都遭到了破坏，包括Netflix、Spotify、Twitter、Tumblr等等。
可以看出，黑客在众多攻击事件中使用的套路是：将恶意代码写入通常位于网络附近或边缘位置的设备的非易失性存储中，令该设备被劫持成为恶意僵尸网络的一部分。而物联网边缘网络和设备之所以被黑客盯上，其原因就在于通常情况下，在企业认识到加密安全保护是新设计中稳健周全的基础支柱要素之前，大多数物联网设备都已经被部署完毕，这就让它们非常轻易地成为了黑客攻击入侵的目标。
更加聪明的深度防御
一般的物联网管理者，往往在软件安全方面投入了大量安全监管精力，但是却很容易忽略硬件选项。然而如果不同时考虑硬件和软件的话，则无法实现“自动防御故障”安全保护。
针对物联网领域的安全隐患，美光科技提出的策略是：设计具有相应的恶意软件抵御能力的设备，并使之具有适当级别的保护冗余，以防未来暴露出一些意想不到的安全漏洞。这也就是说，最好的深度防御其实是硬件和软件的强强联合。
美光科技认为，存储正是打通软件和硬件安全方案的关键点，因此其安全防御的思路，就是通过软件和硬件结合的存储级别的安全防护，来解决当前困扰物联网行业的安全难题。

近日，外媒报道称，物联网安全公司Armis在蓝牙协议中发现了8个漏洞，这些漏洞将影响53亿设备——从Android、iOS、Windows以及Linux系统设备、到使用短距离无线通信技术的物联网设备，无一幸免。

蓝牙耳机、键盘、智能家居设备，Bluetooth技术产品为大家生活提供了便利，让办公家居环境摆脱多种电缆缠绕的困扰。突如其来的安全隐患让蓝牙使用者不得不捏起一把汗。

Armis的安全研究人员通过发现的Android信息泄露漏洞、Android蓝牙网络封装协议服务中的远程执行代码漏洞等8个安全漏洞，设计了一个名为“BlueBorne”的攻击场景，攻击者完全可以控制用户的蓝牙设备。在“BlueBorne”攻击形式下，黑客甚至可以建立一个“中间人”(MITM)连接，在无需与受害者进行任何交互的情况下，轻松获取设备关键数据和网络的访问权。

(图：外媒报道，蓝牙协议被曝存严重的安全漏洞)

更令人担忧的情况是，BlueBorne攻击可能会像今年5月爆发的WannaCry蠕虫勒索病毒一样迅速蔓延，对全球大型公司和组织造成难以估量的损害。

Armis实验室研究团队防护方法

他们成功构建了一个僵尸网络，并使用BlueBorne攻击顺利安装了勒索软件。从理论上讲，BlueBorne可以服务于任何恶意目的，例如网络间谍、数据窃取、勒索攻击，甚至利用物联网设备创建大型僵尸网络。

那么，蓝牙安全漏洞会给用户带来什么样的“灾难”呢？

以Android平台为例，在用户开启蓝牙功能并且没有打补丁的情况下，黑客就可以远程发起攻击，并不断尝试直至攻击成功，因为Android的蓝牙服务崩溃后，系统会自动重启该服务，用户感知不到。

黑客攻击成功后，能够获取非常高的权限，譬如：可控制摄像头、拍照、截屏、启动应用、唤醒手机;读取通信录、照片、文档;可控制手机键盘;可模拟用户点击;对用户网络相关服务有完整控制权限，可监控用户网络流量、可发起MITM攻击。

黑客可以利用该漏洞，在被攻击手机上下载恶意应用，然后模拟用户确认，进行安装。

腾讯手机管家安全专家杨启波建议

用户在不使用手机等设备时先暂时“关闭”蓝牙设置，可以有效抵御攻击风险;同时，Android、iOS等系统设备的用户，及时更新安全补丁，可以极大地防范漏洞风险。

如今，手机已成为现代人的第二器官，其安全性也越来越重要。各位小伙伴们在使用手机及其配件时一定要注意安全，谨防个人信息泄露！

---