过于泛滥的物联网,第二部分:信息安全会议版

旧金山—依然在重复上演着成词滥调的内容:安全产业未能成功完成保护计算机和网络以及防止无穷量数据在互联网传送的任务。

旧金山—依然在重复上演着成词滥调的内容:安全产业未能成功完成保护计算机和网络以及防止无穷量数据在互联网传送的任务。

对传统和普通计算机设备进行正确的保护毫无疑问是一项巨大的挑战。在过去十年的大多数时间里,安全产业在移动领域同样面临了一系列相似的新挑战。毫不夸张的说,在保护传统计算机和移动设备的”战斗”中,网络攻击者、道德伦理以及恶意软件等起到了推波助澜的作用。


走在旧金山莫斯康展览中心内所举办的安全信息会议的展场,处处感受到的是荒诞且讽刺的现实。这些展台投入了数百万美元,目的旨在将众多的安全产品与服务推销给同样人数众多的安全专家们。与此同时,尽管投入巨额资金来研发这些产品,但包括Billy Rios和David Jacoby在内的安全专家均曾成功”夺取”家庭自动化系统、网络以及消费设备的控制权。前者曾于去年做了一个著名的机场安全黑客入侵展示介绍;而后者正在进行黑客入侵方面的演示。

公平地说,本届展会无论是展出方还是参观者均为企业代表。根本不是以消费者为主题的安全会议。而且,近期各大报刊的头条版面以及接二连三举办的全球安全会议均清楚地表明:无论是家里还是办公室的计算机都存在危险性。除此之外,更广阔的科技产业领域正在以指数级的规模想方设法将越来越多让人想不到的东西连入网络。这就是所谓的”物联网”,且存在不安全性。

因此,安全公司Laconicly创始人Billy Rios利用了一个在Vera智能家庭自动化系统内已存在两年之久的漏洞,随即就能完全访问设备网络以及与其连接的所有计算机,这并不让人感到奇怪。

Rios利用了存在于Vera智能家庭自动化系统内的一个跨站伪造请求漏洞,并迫使它接受一个修改的固件更新。更具体地说,Rios使用了一项网络钓鱼计划,迫使他的(假想)受害人访问带嵌入式恶意广告的恶意网站。

Vera设备的固件更新机制随即被关闭,随后Rios上传了他自己的固件,这里是可运行的Pac-Man(食豆人)拷贝。他的”恶意”固件非常好玩,但重点是他能够上传任何他想上传的程序到设备上,从而控制数百部物联网内的其它设备,例如:智能锁、恒温控制器、灯、警报系统以及车库门等等。

一天后,卡巴斯基实验室的高级安全研究员David Jacoby通过将恶意代码、可利用漏洞和网络钓鱼技术有机结合,成功感染了自己位于瑞典家内与其家庭网络相连接的网络存储设备。他的黑客入侵演示作为更大家庭黑客入侵计划的一部分,曾在卡巴斯基每日新闻博客中有过详细的介绍。

Jacoby完全证明了他的论点:大多数此类产品的供应商对于他所报告的各种安全漏洞毫不关心。他还表示,网络分段是减少这些漏洞的最佳解决方案。但不幸的是,网络分段对于普通用户而言过于复杂。

在Jacoby的演讲结束后大约20分钟,中佛罗里达大学硬件黑客和助理教授Yier Jin向我们展示了Nest广为流行的智能恒温设备中所存在的后门。

Jin在Nest设备内所发现的后门,让他能够在这些设备内安装恶意固件。除此之外,他还发现了可监视Nest设备传送到Nest云服务器的大量数据的方式。他同时还表示说这些都是敏感的数据。只需监视得当,网络攻击者完全能够通过这些数据判断Nest用户是否在家。更为可怕的是,用户对于这些数据被非法收集毫无办法可言。”灾难”还不止于此,Jin的跟访问权限能让他获取在同一网络内其它设备的访问权,从而以Nest设备为跳板,获取纯文本网络登录凭证等等。

总结 — 尽管安全产业对传统计算机投入了数千亿的资金,但如果放任所谓的”(过于泛滥)物联网不管,依然将不可避免地暴露在网络攻击之下。

提示