隨著科技的快速發展,各種新的技術和概念不斷出現,持續出現的新技術會不斷推動安全的發展。雖然,每乙個新技術都會衍生出新的安全威脅和隱患,但是,這些新的安全問題也正是安全行業保持活力的源泉。所以,對於安全人員來說,這些新技術的出現既是一種挑戰,也是一種機遇。
近幾年,iot、ipv6和區塊鏈是三個熱度很高的新技術,我也最常聽到三個熱詞。今天,我們就一起來**一下,這幾個新技術都面臨哪些獨特的安全問題。
毫無疑問,iot(internet of things,物聯網)是最近十年來比較火熱的乙個技術。對比於當前的網路環境,iot的網路主要有以下幾個特點:
那麼,這些特點會給安全性帶來哪些新的挑戰呢?關於這個問題,我推薦你玩一玩《看門狗》這款遊戲,它很好地描繪了乙個未來iot城市中會面臨的各類安全問題。那在此之前,我先和你分享一下我對這些新挑戰的思考。
我認為最明顯的問題就是認證更加複雜了。
在使用電腦或者手機連入網路的時候,我們可以手動輸入密碼來完成認證。但是,當我們想要將各類小硬體連入網路的時候,沒有鍵盤和螢幕可以供我們輸入密碼。為了解決這個認證問題,目前小公尺等iot廠商的解決方案是,先讓手機直接控制裝置,配置好wifi密碼後,再讓裝置連入網路。
但是,這其實又引發了乙個新的問題,如何確認是你本人在控制裝置,而不是黑客呢?針對這個問題,現在也有對應的解決方案,那就是在短時間內開放裝置的控制許可權,限制手機在這個時間內完成對裝置的控制。
仔細觀察的話,你會發現這個解決方案有乙個假設前提:黑客沒辦法在短時間內發現並控制裝置。在當前的環境下,這個前提是成立的。但是隨著技術的發展,iot裝置可能充斥在我們身邊的每乙個角落裡,當有乙個裝置被黑客控制了之後,它很可能會時刻監控這周圍的環境,一旦發現其他的裝置開放控制許可權,就會立即黑入。可以說,通過這樣的攻擊方式,任何乙個裝置都有可能被黑客所控制。
因此,如何確保iot中裝置與網路、裝置與裝置之間的通訊是可信的,是未來認證技術需要面臨的主要挑戰之一。
其次,我認為物理攻擊會越來越流行。
物理攻擊實際上是安全領域內的降維打擊。換句話說,當底層的硬體被黑客控制之後,我們就無法保障執行在硬體之上的系統和軟體的安全性了。
iot的發展,事實上正讓物理攻擊變得越來越容易。我總結了一張物理攻擊的發展過程圖,你可以看到,隨著iot越來越小、越來越智慧型,和我們的聯絡越來越緊密,物理攻擊的難度也變得越來越低。在未來,公共區域內的所有裝置甚至都有可以成為黑客的囊中之物。
因此,如何對物理攻擊進行有效的防控,也是未來安全中需要解決的主要挑戰之一。
除了帶來新的安全挑戰,iot能夠造成的安全威脅也變得更加複雜了。
目前來說,黑客利用iot裝置發起的最主要的攻擊還是ddos攻擊,即黑客利用海量的iot裝置向目標伺服器傳送巨大的網路流量,導致伺服器無法響應正常請求。
隨著iot的發展,黑客能夠控制的裝置越來越多,能夠導致的影響也會越來越大。你一定在很多電影中看到過類似的情景,比如,黑客通過操縱汽車控制醫療裝置等方式,導致人員**。
因此,如何保護iot裝置免受黑客的攻擊,同樣會成為未來安全的主要挑戰之一。
因為ipv4的位址空間短缺問題,ipv6是國家重點推進的乙個技術方向。目前三大運營商已經完成了改造,各大網際網路公司也已經接到了相容ipv6的強制要求,我相信國內應該會很快推廣和普及ipv6。
ipv6和ipv4相比最大區別就是ip位址變得非常龐大了。那麼,龐大的ip位址對於安全來說,又意味著什麼呢?
我認為對於黑客來說,最大的影響就是網路掃瞄不再可能。
我們知道,找到攻擊目標是黑客發起攻擊的第一步。因此,很多黑客會通過掃瞄網路來發現目標。目前,效能最優的掃瞄工具是m
asscan,它能夠在5分鐘內掃遍全部ipv4的位址空間。
而ipv6的位址空間是ipv4的2^96倍,黑客想要利用現有的掃瞄工具快速遍歷ipv6的位址空間,顯然是不可能的。因此,黑客就只能通過其他方式去精準定位目標了。
除了對黑客有影響以外,龐大的ip位址對公司安全來說,也同樣是一種負擔。
ip位址變多就意味著黑客手中的ip資源變多了,同時,ipv6的高變化頻率還會讓同乙個裝置的ip經常性的發生變化。因此,使用了ipv6之後,我們就很難利用黑名單對ip進行標記和處罰了。
另外,仍然有待觀察的一點是,ipv6的復用性是否會比ipv4更低。
ipv4由於位址匱乏,有很高的復用性(乙個學校可能都在共用乙個ip位址),這讓我們很難根據ip去定位到乙個具體的位置或者人。
而ipv6的位址空間是足夠的(每一粒沙子都能分配到乙個ip位址),因此,ip復用就不再是乙個剛需了。所以,如果ipv6的復用性遠低於ipv4的話,就能讓ip的定位變得更準確。那麼對於安全工作來說,想要找到黑客也會更加容易。
最後,我們再來聊一聊近兩年興起的區塊鏈。目前,區塊鏈最成功的應用形式,就是以位元幣為代表的各類虛擬貨幣。那麼,位元幣和區塊鏈的安全性如何呢?它們又面臨什麼樣的安全威脅呢?下面,我們一起來看。
我們都知道,區塊鏈的思想是去中心化,即將資料和算力分散到每乙個小的計算節點中,最終,以少數服從多數的形式來完成資料的計算和儲存。這實際上是一種對完整性的保障。這麼說你可能還不理解,我舉個例子。
但是在位元幣中,因為不存在中心機構,每個使用者的餘額由所有人共同保管,因此沒有任何乙個節點可以實現篡改。
但如果你仔細想想的話,就會發現這種近乎完美的完整性保障,是通過犧牲機密性來完成的。也就是說,在支付寶中,你無法知道其他使用者的餘額,但是在位元幣中,每一筆交易和每乙個使用者的餘額都是公開的資訊,因此位元幣不提供任何針對機密性的保護措施(比如,你可以在blockchain看到所有的位元幣資訊)。
儘管位元幣本身的完整性無可挑剔,但仍然無法阻止由於使用者個人金鑰丟失而導致的資產損失。這就好比你安裝了乙個特別結實的門,但只要鑰匙丟了,門的存在就毫無意義了。事實上,目前大部分的位元幣安全事件,都是黑客成功盜取了使用者或者公司系統的位元幣金鑰之後,再去盜取對應賬號的餘額。
另外,位元幣是目前黑客們主要使用的貨幣之一。其原因在於,它是匿名的(注意:匿名不是機密性,匿名是指你無法通過位元幣的賬號,關聯到某個具體的人)。這也就保證了,即使**知道了黑客的賬戶,也沒辦法抓到黑客。而且,由於位元幣的去中心化,**也沒辦法封停黑客的賬戶,追回被盜的位元幣。
所以,位元幣這樣一種去中心化且匿名的貨幣體系,既不保險,也不利於**的管控,因此國內對於以區塊鏈為基礎的電子貨幣落地,始終不認可。
今天,我們主要對 iot、ipv6和區塊鏈這三個熱門技術及其安全性進行了盤點。這些新的技術都具備其獨特的應用場景,也都帶有獨特的安全問題。這些問題既可能是這些技術本身所存在的一些缺陷,也可能是對已有的安全防禦工作產生的威脅。
三 《區塊鏈 安全技術指南》雜記
一 應用與智慧型合約層的安全控制 1 web與移動客戶端應用安全 2 智慧型合約的安全 1 智慧型合約簡介 2 znhy安全編碼的最佳實踐 3 znhy的幾個安全漏洞 3 znhy中的身份管理和控制 二 激勵層的安全機制 1 激勵的產生和分析 1 激勵機制的價值 2 激勵層安全分析 通證激勵模式的安...
1 2 區塊鏈技術棧
區塊鏈本身只是一種資料的記錄格式,就像我們平常使用的excel word文件一樣,按照一定的格式將我們的數 據儲存在電腦上。與傳統的記錄格式不同的是,區塊鏈是將產生的資料按照一定的時間間隔,分成乙個個的資料塊記錄,然後再根據資料塊的先後關係串聯起來,也 就是所謂的區塊鏈了。按照這種規則,沿著時間線不...
區塊鏈基礎知識 6 區塊鏈分叉
位元幣採用p2p網路架構,網路中每乙個節點彼此平等,共同提供網路服務。p2p網路的工作機制,包括節點分類 節點發現 節點連線和廣播等,客戶端會維護乙個列表,裡面列出了一些 長期穩定執行 的節點,這樣的節點稱為 種子節點 新的客戶端可以通過種子節點來快速發現網路中的其它節點。區塊鏈分叉 原因 a b兩...