脆弱防线黑客来袭 智能家居不设防？

admin

脆弱防线黑客来袭 智能家居不设防？
午夜时分，年轻的夫妇睡梦正酣，突然，一阵刺耳的声音将他们惊醒。
    夫妇俩冲进隔壁房间，那里是异声的来源，也是他们刚满10个月孩子的睡房。此时，婴儿床上方的摄像头正左右摇摆窥探四周，婴儿监护器里则不断传出“小家伙快醒醒”的尖声叫嚷，以及对年轻父母的咒骂。
    这不是恐怖电影里的场景。2013年8月和2014年4月，美国已有两对夫妇先后经历了这样的惊魂时刻。在黑客控制下，平时让父母通过手机远程照看婴儿的智能设备，已经变成了他们的噩梦之源。
    而这一切，还只是开始。
    类似于婴儿监护器这样的智能家居设备，如今正在快速普及，给人们的生活带来更多便利，但也给了黑客们可乘之机。他们可以窥探你的私生活，给你的生活制造些“惊喜”，甚至在某个未知的时刻，神不知鬼不觉地打开你家的电子门。
    “一个更大的威胁已经被带到我们面前。”中国计算机学会安全专业委员会主任严明说，木马和病毒曾让无数的电脑和手机成为充斥“肉鸡”与“僵尸”的网络，而现在，同样的风险正向智能家居设备蔓延。
    画饼与盗铃
    智能家居产业到底有多大规模，一直没有定论，但智能设备全部接入网络的风险，却是真实存在且日益加剧的。
    最让人警惕的一个案例，是2013年的心脏起搏器入侵事件。
    当时，著名白帽黑客巴纳比·杰克宣布，将在2013年7月的黑客大会上展示一项惊人的“绝技”：在9米之外入侵植入式心脏起搏器，然后发出命令，让它释放出电压高达830伏，足以让人瞬间致命的电流。
    杰克声称发现了多家厂商的心脏起搏器存在安全漏洞，通过向服务器上传恶意软件，能使心脏起搏器和心脏除颤器感染电脑病毒。
    大会开幕之前，杰克在美国旧金山离奇死亡，案件至今没有调查结果。尽管如此，杰克的想法，已经让一些安全业界人士意识到，设备联网的安全风险可能比预料的更加严重。
    然而，2014年1月智能家居在拉斯维加斯消费电子展上大出风头后，业界对安全问题的担忧被选择性忽视了。谷歌32亿美元巨资收购智能家居设备制造商Nest的消息，更是刺激了从业者的神经。
    在那之后，几乎很少有智能家居行业人士愿意谈及安全问题，更多被提及的，是“千亿产值”、“广阔前景”、“巨大商机”、“美好未来”等词汇。

2014年6月的一项智能设备创客大赛中，当《财经国家周刊》记者问及一家公司的参赛选手安全问题时，他显然有些茫然，思考过后，他回答道，“产品安全我们肯定会保证，当前我们希望先把量做起来。”
    “这其中的逻辑不难理解。”在深圳从事智能插座技术研发的刘闯说，“智能家居是一个正在快速膨胀的行业，如果你告诉你的用户，它可能存在被别人控制的风险，谁还愿意买你的产品？”
    脆弱的防线
    刘闯是智能家居安全阵营的坚定支持者，他认为智能家居要真正走入寻常百姓家，产品就必须过安全关。
    当然，最开始刘闯关注的安全，只是质量安全，比如电路和元器件质量是否过关。让他开始关注起网络安全的原因，是他从一些渠道获知，某大牌厂商的智能插座，已经被黑客“攻陷”，只等销量过万，就准备玩一次“大停电”。
    刘闯的公司规模和产品销量还不足以引起黑客的兴趣，但他觉得，如果自己的产品主打安全牌，将是进入智能插座市场的核心竞争力。
    公司的另一位创始人姜波却不太赞同刘闯的观点。在他看来，术业有专攻，网络安全的事情，应该交给专业的人来做，比如专门的网络安全公司。
    但这种想法在安全业界看来却有点不太现实。不仅在国内，即使是全球，也还没有安全公司专门针对智能家居设计安全攻防方案。
    “不是大家不想做”，安天实验室首席技术架构师肖新光说，“道理和工业控制系统一样，产品形态和技术标准的多样性，导致智能家居很难做通用的安全攻防方案。攻防层面的安全一定程度上依赖开发过程，通用方案并不能包治百病。”
    而且，即使有安全公司“不辞劳苦”做出了一套方案，就现在的智能家居产业环境来看，有意识、有能力、有资金采用的智能家居设备厂商，也是寥寥可数。
    刘闯认为，这就导致现在所有的智能家居产品，所依赖的网络安全防护措施，只剩下无线网络技术本身自带的加密技术。
矛与盾
    无线传输协议加密技术的安全性如何？资深黑客“老Y”评价说：“在民用领域和高手眼里，它就是一层纸！”
    然而，智能家居要实现智能化，就必须利用互联网络实现智能学习、分析、控制和反馈，否则，智能将无从谈起。
    老Y讲到，无线传输技术的加密手段有几个不同的层级，除了以往人们在路由器上见得比较多的WPE、WPA、WPA2之外，还有AES加密等被一些人称为高级加密的系统。
     但这些加密手段中，大多数都已经能被黑客快速攻陷，即使是少数高级加密系统，黑客也可以通过字典和撞库等手段猜，很多用户的密码设置极其简单，不是“1234”和“AABB”，就是自己的出生年月，很容易被破解。
    “不要期望存在绝对的安全”，老Y说，“坚不可摧的盾，反而可能被利用，成为无坚不摧的矛。”
    极路由技术副总裁康晓宁举过一个例子，曾经有厂商推出过智能灯泡，可通过网络进行开关，但它的通信密钥是写死的，看似铁板一块，实际上只要黑客破解得到地址，不需要入侵进入局域网，就可以随意地远程控制它；而且因为写死了，所以除非用户换一个灯泡，否则根本没有办法阻止黑客的再次行动。
    在智能家居大潮之下，矛与盾的两面性会永远存在。面对这些问题，没必要因噎废食，但如果要尽情享受智能化科技给人类带来的便利，国家在行政和法律规范上跟进、厂商从技术和意识上的未雨绸缪，都已迫在眉睫。




来源：网络转载

---