5月23日的2017中国网络安全年会上,360无线电安全研究院负责人、知名安全专家杨卿应邀出席。在“万物安全”论坛的主题演讲中,杨卿表示无线连接将是未来万物互联世界的基石,连接安全也将是这块基石是否坚固的核心所在,通信协议需要像软件一样快速更迭才能及时响应安全事件。
中国网络安全年会由工业和信息化部指导,国家互联网应急中心(CNCERT)和中国通信学会联合主办,今年已经是第14届。本届会议以“融合促进发展 协作共建安全”为主题,从5月22日-24日在青岛举办。
随着万物互联的IoT时代来临,大量智能设备接入互联网,甚至汽车也变成轮子上的电脑,无线通信安全成为本届大会关注的焦点。由于智能设备需要依赖WiFi、蓝牙、2G-4G移动网络、NFC、Zigbee、LORA、GPS卫星导航等无线电通信技术。一旦某个通信协议出现漏洞,将会引发大量安全问题及安全事故。
杨卿认为,广泛的连接代表了更广泛的攻击面。恶意WiFi热点可能设置钓鱼网站,摄像头、麦克风可能泄露人们隐私,黑客组织可利用僵尸网络发动DDOS攻击等,伪基站更是黑产行业利器,甚至曾一度影响共享单车等依赖移动网络的物联网设备入网。
360无线电安全研究院负责人杨卿在中国网络安全年会演讲
在公共WiFi安全得不到保障时,人们更信任电信运营商的移动网络,然而移动网络并非无懈可击。在会上,杨卿回顾了2016年360无线电安全研究院在DEFCON全球黑客大会发表的LTE安全攻防研究,该研究表明4G移动网络终端可能被这种重定向攻击从4G降纬到2G/3G,以被降维的伪基站等威胁影响。
“需要各运营商全国基站统一配置更新,修复成本很高。”杨卿认为,无线协议被联网设备广泛使用,漏洞修复涉及终端系统、软件应用、硬件模块、协议设计、甚至整个产业利益等多元化因素,修复周期不能像软件漏洞那样以小时或天计算,多数需要长达数年的硬件换代及整个行业的共同推动才行。所以越早发现无线协议漏洞,越能缩短漏洞修复周期。
“要把互联网‘快速迭代’的基因引入通信、物联网领域。”杨卿希望,联网设备逐渐软件化,无线终端(手机、路由器、智能汽车、智能摄像头等)可实现热补丁,智能硬件终端可以通过OTA固件升级快速修复漏洞,在通信协议及系统机制内增加新补丁升级特性对于安全漏洞修复将非常有利。
目前,更快速更安全的5G网络被寄予厚望。杨卿认为,2017年是5G网络通信标准化关键一年,安全会是标准化的重要部分。360已作为互联网安全公司加入3GPP(全球通信标准化组织),将成为5G标准制定中一支以安全防御为核心的新力量。
据悉,360无线电安全研究院包括独角兽安全研究团队、无线攻防团队、无线电硬件实验室等,团队成员多次登上DEFCON、Blackhat等国际顶级安全会议发表技术演讲。
360无线电安全研究院研究员在DEFCON 2016国际会议演讲
