11月17日,由几维安全和看雪学院联合主办的“2018物联网安全行业论坛”在北京举行。几维安全CEO范俊伟在论坛上表示,由于攻击者可直接购买、拆解物联网终端,一旦获取其代码,分析代码漏洞,就可进行攻击。如果对代码进行加密,即使攻击者拿到代码,也难以分析业务漏洞并实施攻击。
几维安全CEO范俊伟
范俊伟在分享中指出,据Gartner预测,到2020年物联网将链接全球40亿的用户、250亿以上的终端设备,在此过程中将会有2500万的应用App被开发出来,沉淀出超过50万亿GB的数据,同时创造出4万亿美金的收入机会。同时,不同于传统设备和应用场景的差异化安全需求凸显。
范俊伟表示,传统模式下,大多数业务逻辑放在服务器上,其所面临的威胁多是针对服务器的攻击,而在物联网环境下,随着数字资产的产生和业务场景的变化,大量智能终端将出现在人们身边,此时,智能终端受到恶意利用和攻击将给人带来直接的安全威胁,造成信息泄露、经济受损甚至是人身安全,比如对智能汽车、智能家居产品的攻击带来的危害。
“物联网终端的安全和Web(网站)服务器的安全是不一样的。”范俊伟指出,访问Web网页,用户接触不到服务器,难以获知服务器中的业务漏洞。
而物联网终端不同,其软件部分以固件的形式存在,其中的代码等内容是所有漏洞挖掘和软件攻击的基础,由于物联网终端设备直接发到用户手里,黑灰产等攻击者也可以购买设备,然后进行拆解、提取代码、分析业务漏洞,进而实施攻击。
有什么方法能增加攻击者获取并分析代码的难度吗?范俊伟指出,安全永远都是一个对抗攻防的过程,更安全的体系构建和关键点保护能从空间上和时间上延缓攻击、提高攻击者的成本,导致其最终放弃攻击。
传统的保护方法只能增加获取代码的难度,并不能增加分析代码的难度,比如在App上加一层“保护壳”,攻击者一旦破解“保护壳”,将直接获取代码,分析业务漏洞。而如果在开发过程中就加入加密机制,把安全技术下沉到代码层,不干预代码正常的业务逻辑,这样一来,即使攻击者拿到应用或终端,也难以分析业务逻辑和漏洞。
(文/南都个人信息保护研究中心研究员 尤一炜)
1291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
