2018年10月24日,美国的中美经济和安全审查委员会(USCC)发布了NEWREPORT: CHINA’S INTERNET OF THINGS(中国物联网),该报告共212页,由SOSi特别项目组(SPD)应中美经济与安全审查委员会(USCC)的要求编写。
背景
据USCC官网说明,该报告旨在促进公众更多地了解委员会正在对中美经济关系及其对美国安全的影响进行评估所涉及的问题。该报告主要概述了中国以国家为主导的物联网发展方式,评估了对美国经济,国家安全和美国数据隐私的影响,并为美国政策制定者提出了建议。中国对物联网安全漏洞的研究及其日益增长的军民合作引发了人们对未经授权访问物联网设备和敏感数据的担忧。此外,随着中国物联网公司利用其在生产和成本方面的优势,根据使用条款和中国政府数据访问权限,在中国获得市场份额,中国对美国消费者物联网数据的授权访问量将会增加。(译自官网介绍)
美国国会于2000年10月设立了中美经济和安全审查委员会(USCC),其立法授权是监督、调查并向国会提交关于美国和中华人民共和国之间双边贸易和经济关系对国家安全影响的年度报告,并酌情向国会提出立法和行政行动建议。委员会今年还发布过中国的一带一路倡议:五年后,中国的军事改革与现代化:对美国的启示,中国与欧洲和亚太地区美国盟友及合作伙伴的关系,美国联邦信息和通信技术中的供应链漏洞,中国的农业政策:贸易,投资,安全和创新,中国的先进武器系统,中国的数字游戏领域,超大型国有企业标志着中国经济政策的新方向,美国解决中国市场扭曲的政策选择,中国海外统战工作:背景及对美国的启示,中国与拉丁美洲和加勒比地区的合作,每月中美贸易公报,年度报告等中美贸易相关报告,他们对中国的研究已经非常深入和了解。(引用USCC官网内容,原文为英文,此处为白帽汇安全研究院翻译)
白帽汇安全研究院提取报告中物联网安全部分,整理并翻译如下(查看详细内容请阅读英文原文,同时本文附件可下载)
该项目是在SOSi特别项目组内部进行的,该部门是美国情报界首屈一指的开源和文化情报开发小组。SPD的工作人员由经验丰富的分析人员组成,其使命是支持美国情报界的收集、分析和运营活动,提供最前沿的开源和文化情报,目标是实现国家战略目标。SPD通过严格的质量指导方针进行客观、独立和相关的研究和分析来完成其使命。
未经授权的访问和中国研究物联网安全漏洞
随着数十亿设备被添加并连接到网络,物联网由于其本身体积小、移动性高而容易受到攻击。这些产品,从工业控制到智能手表,都可以通过互联网连接成为攻击面。更糟糕的是,成本因素影响了有效的安全措施,市场对降低成本以及进入物联网市场的要求门槛低意味着目前没有动力建立更安全的物联网设备,这使得很难在许多不同的物联网设备和平台上发布和部署安全更新。
物联网中许多固有的漏洞是未授权访问引起的,并且由于各个领域中连接硬件的使用量急剧增加,未授权访问物联网设备的案例可能会大幅增加。未授权虚拟访问工业控制系统已经导致物理世界的破坏性影响:Stuxnet恶意软件在2010年摧毁了伊朗的核处理设备,2016年俄罗斯网络攻击关闭了乌克兰大量电网。除了工业控制系统,未授权访问医疗保健设备可能会导致患者死亡,智能汽车漏洞可能会导致司机和行人死亡,以及其他可能导致可能产生严重后果的数据和设备滥用的案例。未来未授权访问物联网设备的潜在破坏性潜力似乎无限,因为物联网设备在世界各地都会有更多的部署。
尽管人们对物联网安全漏洞的关注越来越多,但物联网设备和软件中的固有问题显着增加了未经授权访问物联网设备的风险。物联网设备的低门槛和有限的监管标准意味着强烈鼓励公司进入日益增长的物联网市场,但却没有动力确保设备的安全。大量不同的制造商使供应商更难推出产品的安全更新和补丁。最后,物联网设备的广泛使用以及开放互联网上物联网设备的易用性意味着,如果设备遭到入侵,无数用户可能会产生负面影响:每当公开披露物联网设备漏洞时,恶意行为者在几分钟内使用公开可用的工具(例如shodan)就可以编辑出全世界受影响和易受攻击的设备列表。中国制造的物联网设备是未经授权访问的常见目标,这在很大程度上要归因于这些固有的漏洞。
中国制造的物联网设备已经成为未授权访问的共同目标,这部分归因于不安全的设备配置导致了秘密的数据收集和用于僵尸网络的设备的征用。杭州雄迈信息技术有限公司2016年受Mirai僵尸网络影响大规模召回其摄像头,浙江大华科技股份有限公司和杭州海康威视数技术股份有限公司的设备也遭到了破坏。 虽然海康威视为其设备发布了一个补丁,但大华和海康威视物联网设备极差的安全性吸引着信息安全界持续关注。2017年,深圳市丽欧(Neo)电子有限公司生产的全球超过175,000台物联网摄像机由于设备访问协议中的基本漏洞,而可远程访问和查看。同年,物联网设备制造商深圳市得伯乐(DblTek)科技有限公司被发现故意留下后门,在其VoIP产品中实现远程访问,表面上是为了调试目的,该公司并没有修正。2016年,信息安全研究人员发现上海广升信息技术股份有限公司(ADUPS)制作的固件更新软件实际上是秘密地从这些设备中窃取私人数据并将其返回给公司的服务器。中国ADUPS的固件更新软件目前正在全球7亿多个低端手机和物联网设备上使用,包括美国的设备。然而,截至2017年,尽管这种恶意行为在国际媒体上广泛宣传,该公司仍继续部署固件更新软件,仍可用于从事未经授权的数据收集。
上述例子说明,中国的物联网设备与其他供应商一样容易受到未授权访问的影响,而且实际上可能更容易受到攻击。无论如何,鉴于上述的脆弱的中国物联网设备的广泛使用,安全漏洞的影响和未授权访问对于中国物联网设备的威胁可能大于其他国家的设备。
中国的物联网安全研究在过去的五年中爆炸式增长,中国国家知识基础设施(CNKI)数据库显示,2017年大约有1,229篇关于物联网安全的文章发表,而2009年只发布了9篇此类文章。虽然中国物联网安全研究的整体内容极为多样化,但一些重要研究趋势突出表明可能导致未授权访问。中国积极研究物联网漏洞,既出于安全目的,几乎肯定也是为了收集情报,对网络攻击进行网络侦察,并增强其国内监控能力。各种各样的研究不仅被资助到用于发现各种物联网设备漏洞的算法技术,而且还创建了高度可变的网络攻击测试平台,以准确地模拟这些蠕虫如何在各种环境中传播。中国物联网安全研究列出了对可能导致未经授权访问的开发方法的熟悉,并且已经利用机器学习和算法技术来加快研究和开发可能影响多种类型物联网设备的可适应恶意代码的步伐。虽然这种研究肯定可以用于无害的目的,例如改进物联网设备的独立分析,但它在攻击性环境中特别有用。这些漏洞可用于开发包含恶意代码的“多态”蠕虫,当它们在网络中传播时,可以在不同的设备之间跳转。
中国的物联网安全研究实体也是更广泛、日益融合的军民研究生态系统的一部分,这为中国情报和军事机构在物联网漏洞研究中的突破增加了机会。许多专门为开展物联网研究而建立的机构与国防机构建立了明确的合作伙伴关系,或者从致力于国家安全目标的项目中获得政府资助。尽管与中国在物联网领域的“军民结合”(CMI)计划高度一致,但根据物联网发展特别项目行动计划,这些组织可以利用其民间研究组织的身份,以中国军事机构不太可能的方式进行广泛的国际伙伴关系和合作。因此,中国的研究机构能够将外国研究和创新的利益直接带入中国的军事研究,开发和收购(RD&A)的生态系统。
下面列出了几个关键的物联网相关的研究实体,包括一些进行安全研究的实体。
北京市物联网信息安全技术重点实验室
西北大学 - 爱迪德物联网信息安全联合实验室
常州市刘国钧高等职业技术学校(物联网)
云南民族大学物联网应用技术省重点实验室
江南大学物联网工程学院
南京邮电大学物联网学院
厦门理工大学物联网应用技术省重点实验室
物联网产品的广泛采用,加上中国对漏洞利用的研究,增加了未经授权访问美国物联网设备及其连接网络的威胁。为了应对中国对物联网漏洞的潜在利用并保护美国设备免受国家和非国家威胁,该报告提出以下应对政策:
•以行业支持的网络安全计划的形式,鼓励采用物联网产品的最佳安全标准;
•增加对物联网安全研究的资金和支持,特别是在可以为物联网安全带来相应更大收益的领域;
•记录为中国军方和安全部门提供物联网安全研究的中国实体;
•彻底检查和监督中国对美国物联网产业投资的监管流程,以便更好地解决中国将军事和民用物联网研究生态系统结合起来所带来的独特安全问题。
从中国数据访问看美国公民的授权访问和隐私风险
虽然经过授权的数据访问、收集和处理是物联网变革潜力中不可或缺的部分,但中国政府有唯一授权可以访问美国消费者的物联网数据。消费者在冗长的条款和条件文件中同意的授权访问,允许公司和政府收集大量数据,这些数据可转化为实质性的经济和战略优势。
企业级数据访问使中国实体能够以更大的规模访问美国物联网数据。这可以通过各种途径发生。中国公司可以购买美国物联网公司以及他们通过产品积累的数据,或者更简单地说,中国公司可以通过第三方供应商或数据经纪人购买美国数据。在中国,美国物联网公司与中国同行之间的合资协议可能导致美国和中国合作伙伴之间共享收集的用户数据。企业级数据访问可能比前两个渠道更加不透明,特别是在通过保密协议或公司法律法规防止向终端用户或公众披露的情况下。
虽然这种做法在全世界都很普遍,但中国对美国的隐私构成了严重威胁,因为中国的政府和监视机构有权以超出公认的国际标准的方式访问这些数据。中国公司可以通过以下四种主要方式访问美国物联网数据:
1.在用户层面,中国实体可以访问美国数据,只要美国消费者通过同意使用条款授权数据收集和传输的方式销售和使用中国的物联网产品。
2.通过设备制造和设计过程进行设备级访问,为外部实体提供了大规模收集更多信息的机会。
3.在公司层面,中国公司可以购买美国物联网公司及其通过产品积累的数据,或通过第三方供应商或数据经纪人购买美国数据。
4.最后,中国政府数据专用权可能会将美国的物联网数据暴露给中国政府收集。中国获取美国物联网数据对美国国家安全和经济竞争力构成了问题。从短期来看,中国政府和企业获取美国数据将成为中国情报目标行动的巨大机遇。
从长远来看,这样的未授权访问将为中国的人工智能(AI)开发工作提供一个重要优势,最终在另一个有望塑造未来经济的领域中,形成巨大的中国经济优势。美国现有的数据保护似乎不足以保护美国数据免受‘有害但经过授权’的数据访问。美国法律和监管机构的拼凑性质遗留了一些漏洞,这些漏洞可能会帮助中国大量访问美国物联网数据,鉴于中国获取大数据的动机,这是一个特别危险的现象。为了解决这些漏洞,SOSI建议美国政府实施以下应对政策:
•制定物联网产品的分级披露制度,使其涵盖授权物联网数据收集的多个方面;
•根据现有的数据最小化原则,特别是对于信息经销商,强制要求数据授权期限和取消数据识别;
•将美国现有的数据法规和其他法规编入统一的、全面的联邦数据隐私法中;
•要求外国物联网产品披露与外国实体的关系,这些实体可能会对美国数据构成重大风险,但获得授权;
•企业级将美国数据传输给外国实体需要提交给CFIUS批准;
•加快通过适用于国内外物联网公司的统一联邦数据隐私法规。
结论
美国可以通过健全的政策在许多领域打击或削弱来自中国的挑战。全面评估中国在主要国际标准组织中的参与情况,找出需要美国多参与的领域。更详尽地研究欧洲数据隐私保护的有效性,可能有助于确定哪种数据保护模式在关闭美国公民的物联网数据大门方面最有效。其中一些对策只需要美国采取行动,而不依赖于中国的合作。然而,在物联网发展的其他领域,美国保护自身利益和公民利益的能力将受到限制。例如,中国一党制政权更有权要求中国物联网公司收集的所有数据,包括美国消费者的数据。尽管美国政府理论上可以阻止美国公司将其持有的数据转交给中国企业,但是一旦中国政府掌握这些信息,就无法阻止中国政府获取这些信息。这一现实需要对这些挑战有一个清晰的认识,需要华盛顿的资源,美国私营部门的创新能力,以及与美国海外盟友之间努力加强协调。参与国际标准组织、早该实施的数据隐私立法以及物联网安全行业最佳方案将受益于此类协调,并有助于减轻来自中国政府的挑战。
本文由白帽汇整理并翻译,参考链接:
https://www.uscc.gov/sites/default/files/Research/SOSi_China%27s%20Internet%20of%20Things.pdf
声明:本文来自NOSEC,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。