设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 969|回复: 0

脆弱防线黑客来袭 智能家居不设防?

[复制链接]

 成长值: 50440

发表于 2014-7-9 17:16 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
脆弱防线黑客来袭 智能家居不设防?
午夜时分,年轻的夫妇睡梦正酣,突然,一阵刺耳的声音将他们惊醒。
    夫妇俩冲进隔壁房间,那里是异声的来源,也是他们刚满10个月孩子的睡房。此时,婴儿床上方的摄像头正左右摇摆窥探四周,婴儿监护器里则不断传出“小家伙快醒醒”的尖声叫嚷,以及对年轻父母的咒骂。
    这不是恐怖电影里的场景。2013年8月和2014年4月,美国已有两对夫妇先后经历了这样的惊魂时刻。在黑客控制下,平时让父母通过手机远程照看婴儿的智能设备,已经变成了他们的噩梦之源。
    而这一切,还只是开始。
    类似于婴儿监护器这样的智能家居设备,如今正在快速普及,给人们的生活带来更多便利,但也给了黑客们可乘之机。他们可以窥探你的私生活,给你的生活制造些“惊喜”,甚至在某个未知的时刻,神不知鬼不觉地打开你家的电子门。
    “一个更大的威胁已经被带到我们面前。”中国计算机学会安全专业委员会主任严明说,木马和病毒曾让无数的电脑和手机成为充斥“肉鸡”与“僵尸”的网络,而现在,同样的风险正向智能家居设备蔓延。
    画饼与盗铃
    智能家居产业到底有多大规模,一直没有定论,但智能设备全部接入网络的风险,却是真实存在且日益加剧的。
    最让人警惕的一个案例,是2013年的心脏起搏器入侵事件。
    当时,著名白帽黑客巴纳比·杰克宣布,将在2013年7月的黑客大会上展示一项惊人的“绝技”:在9米之外入侵植入式心脏起搏器,然后发出命令,让它释放出电压高达830伏,足以让人瞬间致命的电流。
    杰克声称发现了多家厂商的心脏起搏器存在安全漏洞,通过向服务器上传恶意软件,能使心脏起搏器和心脏除颤器感染电脑病毒。
    大会开幕之前,杰克在美国旧金山离奇死亡,案件至今没有调查结果。尽管如此,杰克的想法,已经让一些安全业界人士意识到,设备联网的安全风险可能比预料的更加严重。
    然而,2014年1月智能家居在拉斯维加斯消费电子展上大出风头后,业界对安全问题的担忧被选择性忽视了。谷歌32亿美元巨资收购智能家居设备制造商Nest的消息,更是刺激了从业者的神经。
    在那之后,几乎很少有智能家居行业人士愿意谈及安全问题,更多被提及的,是“千亿产值”、“广阔前景”、“巨大商机”、“美好未来”等词汇。

2014年6月的一项智能设备创客大赛中,当《财经国家周刊》记者问及一家公司的参赛选手安全问题时,他显然有些茫然,思考过后,他回答道,“产品安全我们肯定会保证,当前我们希望先把量做起来。”
    “这其中的逻辑不难理解。”在深圳从事智能插座技术研发的刘闯说,“智能家居是一个正在快速膨胀的行业,如果你告诉你的用户,它可能存在被别人控制的风险,谁还愿意买你的产品?”
    脆弱的防线
    刘闯是智能家居安全阵营的坚定支持者,他认为智能家居要真正走入寻常百姓家,产品就必须过安全关。
    当然,最开始刘闯关注的安全,只是质量安全,比如电路和元器件质量是否过关。让他开始关注起网络安全的原因,是他从一些渠道获知,某大牌厂商的智能插座,已经被黑客“攻陷”,只等销量过万,就准备玩一次“大停电”。
    刘闯的公司规模和产品销量还不足以引起黑客的兴趣,但他觉得,如果自己的产品主打安全牌,将是进入智能插座市场的核心竞争力。
    公司的另一位创始人姜波却不太赞同刘闯的观点。在他看来,术业有专攻,网络安全的事情,应该交给专业的人来做,比如专门的网络安全公司。
    但这种想法在安全业界看来却有点不太现实。不仅在国内,即使是全球,也还没有安全公司专门针对智能家居设计安全攻防方案。
    “不是大家不想做”,安天实验室首席技术架构师肖新光说,“道理和工业控制系统一样,产品形态和技术标准的多样性,导致智能家居很难做通用的安全攻防方案。攻防层面的安全一定程度上依赖开发过程,通用方案并不能包治百病。”
    而且,即使有安全公司“不辞劳苦”做出了一套方案,就现在的智能家居产业环境来看,有意识、有能力、有资金采用的智能家居设备厂商,也是寥寥可数。
    刘闯认为,这就导致现在所有的智能家居产品,所依赖的网络安全防护措施,只剩下无线网络技术本身自带的加密技术。
矛与盾
    无线传输协议加密技术的安全性如何?资深黑客“老Y”评价说:“在民用领域和高手眼里,它就是一层纸!”
    然而,智能家居要实现智能化,就必须利用互联网络实现智能学习、分析、控制和反馈,否则,智能将无从谈起。
    老Y讲到,无线传输技术的加密手段有几个不同的层级,除了以往人们在路由器上见得比较多的WPE、WPA、WPA2之外,还有AES加密等被一些人称为高级加密的系统。
     但这些加密手段中,大多数都已经能被黑客快速攻陷,即使是少数高级加密系统,黑客也可以通过字典和撞库等手段猜,很多用户的密码设置极其简单,不是“1234”和“AABB”,就是自己的出生年月,很容易被破解。
    “不要期望存在绝对的安全”,老Y说,“坚不可摧的盾,反而可能被利用,成为无坚不摧的矛。”
    极路由技术副总裁康晓宁举过一个例子,曾经有厂商推出过智能灯泡,可通过网络进行开关,但它的通信密钥是写死的,看似铁板一块,实际上只要黑客破解得到地址,不需要入侵进入局域网,就可以随意地远程控制它;而且因为写死了,所以除非用户换一个灯泡,否则根本没有办法阻止黑客的再次行动。
    在智能家居大潮之下,矛与盾的两面性会永远存在。面对这些问题,没必要因噎废食,但如果要尽情享受智能化科技给人类带来的便利,国家在行政和法律规范上跟进、厂商从技术和意识上的未雨绸缪,都已迫在眉睫。




来源:网络转载
随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表