3.15的熱度還在慢慢發酵,智能硬件帶來的信息安全隱患似乎也埋在了消費者的心里,難以釋懷。
智東西今天推薦一篇好文來幫你拔掉心里的刺。撰稿者是幻騰智能 CTO吳天際,他用純技術科普給我們,怎樣安全放心地享受智能化的生活帶來的便利。以下是原文。
315晚會剛剛過半,同事們在群里就吵開了。“央視開始黑智能硬件了!”“咱是不是也得發文表個態啊!”最后還是被王總同學約了稿。作為一個從初中起就沒事干,黑這黑那的小孩,看了央視重篇幅的科技恐嚇,的確有話要講。(有趣的是,剛剛得知,恰好晚會中的幾個針對智能硬件的攻擊,還是清華學弟的團隊的成果。)
其實,這次晚會針對網絡安全和智能硬件的建議與忠告,可以說三觀很正,科學嚴謹,是值得所有從業者和消費者重視的,是給雙方同時敲響的警鐘。(這里,和“智能硬件”一詞相比,我更喜歡用“互聯硬件”。“互聯硬件”最為準確的表達了接入到互聯網的硬件,也正是最容易出現安全漏洞的硬件,它并不一定智能,也足以影響你的生活。)
信息技術突飛猛進不過幾十年,而直到今天,互聯硬件才真正開始深入人們的生活。也正因此,雖然信息安全是個從隨信息技術起步之初就從未間斷的話題(事實上,計算機的發明就是為了破解密碼);但信息技術帶來的安全問題,直到今天,才通過互聯硬件的普及,真正影響到百姓生活。
隨著無線通訊技術的發展,原本的單機設備,現在都變成了互聯硬件設備。比如汽車、飛機、家電、手表,全都逐步接入互聯網。原本它在你手中,你就占有了它,毫無異議;而現在,它在你手中,卻連接到互聯網,通過互聯網帶來前所未有的便捷、體驗、與此同時也存在隱患。
其實,人類對這個過程并不陌生。人類放棄騎馬,改乘汽車時,高速增加了交通事故的隱患;人類放棄畜力,改用燃料驅動工廠時,高動力增加了生產事故的隱患;電能進入千家萬戶時,家長就又多了一項要囑咐孩子的事情:不要玩插座;等等。然而,面對危險,人類仍然選擇了進步,而不是停留在馬車、驢拉磨、煤油燈的時代,這是因為人類向往科技進步,它帶來的優勢,足以推動人們努力克服所有的問題,降低危險和隱患。
互聯網以及其衍生的互聯硬件,正是這樣一個展現在人類面前的新興事物,人們享受其帶來的便捷,同時也在不斷解決所有面對的問題隱患。
作為廠商,應該把安全與功能放在同等重要的地位,切不可因為安全是用戶第一眼看不到的,就掉以輕心。廠商不僅自身要有安全專家,也應該與第三方安全組織、白帽組織積極合作,而不是諱莫如深。這些組織是原意通過正規方式幫助廠商解決問題的,而如果問題到了不法分子那里,就不那么簡單了。
作為消費者,應該相信廠商,相信科學。每當看到危言聳聽的事情,問問身邊懂行的朋友,甚至到X乎上面提個問題:“這是真的嗎?”切不要盲目輕信,甚至形成偏見。相信吧,人類從來沒有一次因為負面隱患而放棄了進步的機會,面對互聯網、互聯硬件的革命,這一次也不會!
下面就來解答“這是真的嗎?”問題。
晚會上的演示當然都是真的,但也是有條件的,因此并不用恐慌。下面我就努力分析一下條件。
1.掃二維碼盜銀行卡
這必須依賴于手機本身有嚴重的安全漏洞,對于當今的手機,這樣級別的漏洞修補非常快,不大可能出現。作為用戶,只需要注意:1)手機不越獄、不Root;2)安卓機不裝不知道的應用,不輕易給應用授權;3)保持手機系統的更新。
放心大膽掃二維碼吧,稍有安全意識就不會有問題的。
另外,節目中出現的那個二維碼掃出來是shijon.com,好像是個創業項目。恐怕這是上過315晚會的體量最小的創業企業了吧,算不算一種躺槍?
2.截取在場觀眾手機訂單信息
我們用手機APP或訪問互聯網的時候,其實主要有兩層加密機制:第一層發生在手機與無線路由器之間的WIFI連接,第二層發生在手機APP或瀏覽器與服務商服務器之間的HTTPS連接。只有當著兩層同時都被攻破時,你的安全才受到威脅。WIFI網絡是星狀網絡,所有通訊都必須經過路由器。凡是采用了WPA2方式連接的WIFI網絡,每個終端與路由器之間的連接,都是獨立密鑰的安全連接。凡是沒有密碼的開放WIFI網絡,或者采用淘汰的WEP方式加密的網絡,終端與路由器之間要么不加密,要么采用公共的密鑰加密,是不安全的。如何判斷?只要看看連接是圖標上有沒有嘆號圖標,有嘆號的,就是不安全的網絡。
HTTPS是通過加密通道訪問HTTP的方式。用電腦上網時,經常可以注意到地址欄中的網址是https開頭的,這意味著你的電腦與服務器之間的通訊是安全的。反之,如果網址是http開頭的(沒有s),意味著通訊沒有加密,可能被監聽甚至篡改。遺憾的是,由于使用HTTPS建網站需要額外的費用和額外的計算量,大部分服務商都僅僅在非常關鍵的業務(例如登陸、支付過程)中使用了HTTPS,而在普通信息列舉、瀏覽,都是通過HTTP完成的。也就是說,某些時候,是否用HTTPS不是用戶可以決定的,甚至是不容易判斷的。
例如,微信就是這樣。微信關鍵的登陸和聊天等,都是通過HTTPS(也或許是自己協議?這點沒考證)加密傳輸,而朋友圈無論收發,都是不加密的。記得去年315晚會現場就演示了截獲微信朋友圈照片的技術。即使使用了HTTPS,如果你的終端設備被惡意軟件植入了惡意的驗證證書,仍然是不安全的。去年Lenovo某系列電腦預裝廣告軟件的風波,正式因為那廣告軟件在電腦中置入了(可能并不是惡意的,但)不該存在的根證書,從而徹底破壞了HTTPS的安全性。下面畫個表總結一下,注意這里假設你的設備沒有病毒/惡意軟件:
接下來的問題是,黑客如何控制路由器?簡短來說,最簡單的方式,是黑客本身就擁有這個路由器,即這個網絡本身就是黑客自己建立、運營的。其次,也可以通過嘗試口令登陸到路由器,然后重新更新路由器固件程序,從而控制路由器。事實上,很多快捷酒店賓館的WIFI路由器管理密碼都是默認的。我本人就曾多次登陸到慢成蝸牛的賓館路由器上,幫他們做一些優化設置……
3.遠程查看監控攝像頭
這是清華學弟的團隊“長亭科技”的成果。幾位團隊核心成員,都是當年清華電子系、計算機系的神級人物。目前,長亭是他們提供安全咨詢服務的創業公司。
晚會中展示的是一款通過UPnP打洞的方式,手機與攝像頭直連查看的攝像頭。這種攝像頭自己可以作為一個“HTTP服務器”,等待手機連接,唯一驗證信息就是用戶名和密碼。由于攝像頭本身硬件所限,驗證用戶名和密碼的方式通常并不加密,也很傳統(HTTP基本認證方式,利用頭明文傳輸用戶名密碼)。這樣,黑客僅需有一次在攝像頭附近,截獲了主人正常使用時的用戶名和密碼,之后就可以像主人一樣,訪問攝像頭了。這里使用的截獲技術,也是類似上面1中所說的。
而黑客的攻擊可以更進一步,利用一次截獲的密碼,通過攝像頭HTTP服務的漏洞,在攝像頭的嵌入Linux系統上置入一段后門,這樣即使之后修改密碼,也無濟于事。
有些老式攝像頭,甚至提供了統一的默認密碼和連續編號的序列號。黑客可以直接連續嘗試序列號加默認密碼的組合,登陸到攝像頭。對于新式的云存儲攝像頭,其數據是保存在云存儲服務商的,查看時也是經過了云存儲服務商的系統。攝像頭本身隱藏在局域網內,不會打洞,自己也不是HTTP服務器,外界不能訪問。這時,安全與否,很大程度要看云存儲平臺本身的安全設置了。我的建議是,一定要選擇大品牌、專業的互聯網企業的云存儲服務。比如,我們合作伙伴i耳目的云存儲攝像頭,采用的是百度云。只要你信得過百度,那么你就可以相信數據是安全的。
這里要多說一句:JEEP也是大品牌,為什么它的汽車系統的安全那么不堪一擊?雖然JEEP在SUV領域是絕對的鼻祖,但在信息安全領域就……呵呵。因此,對于信息安全問題,選擇互聯網企業相對來說更靠譜。
4.隔墻控制智能家電
從呂總的屏幕看,這是一些通過WIFI連接的智能家電。為了降低對硬件性能的要求,這類設備通常采用UDP通訊,配合基于安全的加密算法的加密機制,通常是安全的。從這個視頻的確無法判定具體是何種漏洞,但通常問題出在對于加密機制的設計上,容易產生邏輯漏洞。
常用的加密算法有對稱的AES、3DES,非對稱的RSA、橢圓曲線等。這些都是公開的、經過無數數學家驗證的算法。(在密碼學中,越是公開的算法,越是安全的。安全性全部來自數學的證明,而非對算法本身的保密。)然而,并不是用了這些算法就代表著安全。我所了解的大部分密碼學產生的安全漏洞,都是因為錯誤的應用了這些加密算法。因此,基于這些算法的加密機制在邏輯上是否安全,才是更重要的。(下圖選自Wikipedia,即使使用AES加密,仍然沒有隱藏關鍵信息(中圖))。
當然,晚會中的攻擊,前提是黑客已經接入了你家的WIFI網絡,進入了你的內網。這就要求他1)在你家附近,2)破了你的WIFI密碼。如果不在內網,那么攻擊就變得難上加難了。因此,只要留意1)你家附近有沒有住著猥瑣技術宅,2)你的WIFI是WPA2加密的并且不輕易告訴別人,3)自己杜絕并拒絕你的朋友使用WIFI密碼共享工具/萬能鑰匙,那么你就是安全的啦。
作者介紹
吳天際,幻騰智能 CTO,80末,生于北京一個充滿理科氣息的家庭,自幼踏上了技術宅的不歸之路。
6歲連了第一個串聯電路
8歲寫了第一行Basic代碼
12歲寫了一個游戲,賣給同學收入5元
13歲寫了一個木馬,專門在機房上課時整同學,還盜了別人郵箱密碼
14歲第一次SQL注入,獲得學校網站管理員
16歲用小刀刻了第一塊電路板,做了個直流電源,用到大學畢業
17歲修改文曲星(電子詞典)內核,破解白金英雄壇說萬能密碼yobdc和j.lee,編寫白金英壇修改器
18歲做了第一塊印刷電路板,第一次用單片機
18歲做了第一個AJAX網站前端和后端(當時還沒有jQuery?)
19歲寫了第一個Firefox瀏覽器插件(當時還沒有Chrome?)
20歲和同學一起做了一個單發射亂序執行的CPU雛形(FPGA驗證)
21歲寫了第一段AMD GPU匯編(IL)代碼(當時還沒有OpenCL?)
22歲攜獨門“選課機”、“遲交作業機”離開清華,未傳后人,只留下傳說
23歲寫了人人網NPC尹福,服務清華9000用戶,改變一屆清華人交流方式
24歲和伙伴一起完成了第一個產品的完整研發
25歲和伙伴一起完成了第一個自己的消費電子產品研發,并把它變成了商品
……
幻騰智能,作為一家專業的智能家居公司,我們一直極其重視信息安全,這也是我們堅持使用自有通訊協議的原因之一。
推薦閱讀
大到國家戰略小到民用便利,北斗導航正變得越來越重要。北斗芯片進軍智能穿戴市場的勢頭也日益顯現。中科微、中電華大、和星芯通、武漢夢芯等眾多廠商都推出了基于可穿>>>詳細閱讀
地址:http://www.xglongwei.com/n/qita/1243.html
1/2 1
網友點評
精彩導讀
科技快報
品牌展示