物聯(lián)網(wǎng)時(shí)代 智能家居安全警鐘長鳴

責(zé)任編輯:editor005

作者:鄒錚編譯

2015-06-10 11:43:14

摘自:網(wǎng)界網(wǎng)

但TrapX堅(jiān)信,這種威脅可能存在,例如,有人購買二手Nest溫控器或攻擊者確實(shí)可以物理地訪問設(shè)備。在去年一月份,安全服務(wù)Proofpoint發(fā)布了一份報(bào)告探討了他們發(fā)現(xiàn)的第一個(gè)可行的基于IoT的網(wǎng)絡(luò)攻擊,其中涉及傳統(tǒng)的家庭智能家電。

安全問題籠罩著家庭自動(dòng)化和物聯(lián)網(wǎng)的未來

家庭自動(dòng)化恐怖故事

展望未來,我們所有設(shè)備、小工具和小玩意都會(huì)聯(lián)網(wǎng),并相互通信,我們將進(jìn)入效率和便利的新黃金時(shí)代。但問題是:當(dāng)你的冰箱、溫控器或者家庭安全攝像頭連接到網(wǎng)絡(luò)后,它們會(huì)像電腦一樣容易受到攻擊,發(fā)生故障或中斷。

事實(shí)上,智能家居設(shè)備比傳統(tǒng)計(jì)算設(shè)備(例如電腦、筆記本、手機(jī)或平板電腦)更容易受到攻擊和破壞。因?yàn)榫W(wǎng)絡(luò)安全行業(yè)在最近才開始投入資源到這場戰(zhàn)斗,黑客不免占了上風(fēng)。誰將修復(fù)和更新所有這些設(shè)備?本文中,我們將看看一些最近發(fā)生的真實(shí)的家庭自動(dòng)化恐怖故事。

變得越來越熱

在網(wǎng)絡(luò)中,你會(huì)看到很多關(guān)于連接Wi-Fi的溫控器的危險(xiǎn)證據(jù)。聯(lián)網(wǎng)溫控器背后的想法是,讓你在離開家后調(diào)節(jié)家里的加熱和冷卻。但如果攻擊者入侵,事情將變得異常糟糕。

去年,霍尼韋爾的智能溫控系統(tǒng)成為新聞?lì)^條。這個(gè)故事中,心懷不滿的前夫報(bào)復(fù)其前妻,以及她新同居的男友,遠(yuǎn)程控制著他以前家里的溫控器。“當(dāng)他們周末外出度假時(shí),我將溫度提升到80度,并在他們到家前調(diào)回到40度,我可以想象這會(huì)是非常高額的電費(fèi)。”

不管這樣的做法是否合法,都表明聯(lián)網(wǎng)家庭技術(shù)的潛在風(fēng)險(xiǎn)。

鎖上你的門和溫控器

當(dāng)然,安全行業(yè)也在關(guān)注這些問題。

Nest Labs公司(去年被谷歌收購)有一個(gè)專門的工程團(tuán)隊(duì)專注于對(duì)其溫控系統(tǒng)的安全威脅。該公司在其網(wǎng)站提供了安全策略和常見問題頁面,并鼓勵(lì)安全研究人員挖掘其中的漏洞。

幾個(gè)月前,安全公司TrapX確實(shí)這樣做了,他們發(fā)布了一項(xiàng)研究,其中工程師能夠訪問存儲(chǔ)在Nest溫控器中的數(shù)據(jù)。隨后該溫控器被用作“跳板”來獲取家中其他聯(lián)網(wǎng)設(shè)備的控制權(quán)限。這個(gè)數(shù)據(jù)泄露事故需要物理地訪問Nest溫控器(特別是USB接口),并沒有證據(jù)證明發(fā)生過這樣的攻擊。

但TrapX堅(jiān)信,這種威脅可能存在,例如,有人購買二手Nest溫控器或攻擊者確實(shí)可以物理地訪問設(shè)備。

攻擊嬰兒監(jiān)視器

這對(duì)于家長來說是個(gè)噩夢。2014年4月,Heather Schreck正在家里睡覺,突然她聽到一個(gè)男人在朝其隔壁房間10個(gè)月的女兒叫喊的聲音。當(dāng)Heather和她丈夫走進(jìn)房間時(shí),他們發(fā)現(xiàn)有人入侵了他們的聯(lián)網(wǎng)嬰兒監(jiān)視器,并朝嬰兒大喊大叫。

其中還有個(gè)特別令人不寒而栗的細(xì)節(jié),該嬰兒監(jiān)視器甚至移動(dòng)了,攝像頭慢慢轉(zhuǎn)向這對(duì)夫婦,多么令人毛骨悚然!隨后,這個(gè)售價(jià)200美元的嬰兒監(jiān)視器的制造商Foscam公司稱,以前還沒有發(fā)生過類似的事件。Foscam建議保持該設(shè)備固件的更新。

易受攻擊的攝像頭

對(duì)家庭安全攝像頭的攻擊是家庭自動(dòng)化中最可怕的事件之一。去年,數(shù)據(jù)安全報(bào)告稱,TRENDnet流媒體IP攝像頭中的安全漏洞允許攻擊者偷窺家庭和辦公室。如果這個(gè)漏洞被公開,這可能引發(fā)廣泛傳播。

在隨后的報(bào)道中,數(shù)百張家庭圖片被貼到網(wǎng)上,突出了這個(gè)令人不安的問題。照片甚至客廳、廚房、家庭辦公室等的視頻都開始出現(xiàn)在網(wǎng)站和論壇,試圖暴露這個(gè)問題以更快出現(xiàn)補(bǔ)救措施。有人甚至創(chuàng)建了一個(gè)互動(dòng)谷歌地圖,貼出每個(gè)有漏洞IP攝像頭的實(shí)際位置,該地圖迅速被關(guān)閉,但這說明智能家居中的攝像頭可能很快被攻擊。

破門而入

在2013年,福布斯作家Kashmir Hil發(fā)表了一篇非??膳碌年P(guān)于入侵虛擬家庭的文章,其中她自己是黑客。在發(fā)現(xiàn)Insteon家庭自動(dòng)化系統(tǒng)中的安全漏洞后,Hill能夠通過簡單的搜索引擎查詢?cè)L問8個(gè)不同的家庭。這種搜索發(fā)現(xiàn)智能家居接入點(diǎn)甚至沒有受到簡單密碼的保護(hù)。

Hill發(fā)現(xiàn)她可以開燈和關(guān)燈,還可以操作家庭自動(dòng)化系統(tǒng),遠(yuǎn)程控制電視機(jī)、照相機(jī)、水泵、風(fēng)扇甚至熱水浴缸。“我能夠通過點(diǎn)擊鏈接,讓這些人的家變成鬼屋、能耗噩夢或者搶劫目標(biāo),”Hill寫道,“打開車庫門可能讓房子遭遇實(shí)際的物理入侵。”Insteon回應(yīng)稱,有問題的產(chǎn)品已經(jīng)停產(chǎn),安全問題隨后已經(jīng)得到解決。

沖廁所問題

所有去過東京的人會(huì)告訴你,在“廁所”這個(gè)具體的家電技術(shù)領(lǐng)域日本領(lǐng)先于其他國家多年。這不是開玩笑,日本人非常重視他們的入廁體驗(yàn)。據(jù)估計(jì),約70%的日本家庭都有所謂的增強(qiáng)型廁所,具有加熱座椅、遠(yuǎn)程控制功能以及坐浴盆功能。而只有約30%的日本家庭有洗碗機(jī)。

那么問題來了:攻擊者是否可能控制你的廁所?安全公司Trustwave表示,答案是肯定的。該公司在多年前發(fā)布了關(guān)于連接藍(lán)牙的Satis廁所的公告。Satis廁所具有Android應(yīng)用程序,讓你坐在馬桶上時(shí),可以觸發(fā)浴盆和干燥選項(xiàng)(+本站微信networkworldweixin),或者播放自定義音樂列表。

Trustwave的公告顯示:“攻擊者可以直接下載My Satis應(yīng)用程序,并用它來反復(fù)沖洗馬桶,提高水使用量,從而增加水費(fèi)。攻擊者還可以反復(fù)打開關(guān)閉蓋子,激活坐盆或風(fēng)干功能,給用戶造成不適或痛苦。是的,這將令人頭疼。”

攻擊者瞄準(zhǔn)冰箱

“僵尸網(wǎng)絡(luò)”的術(shù)語通常被用來指這樣的攻擊,即無辜的計(jì)算機(jī)被劫持用于發(fā)送垃圾郵件或發(fā)動(dòng)拒絕服務(wù)攻擊。傳統(tǒng)上,攻擊者會(huì)瞄準(zhǔn)有針對(duì)性的電腦、筆記本或平板電腦,但隨著物聯(lián)網(wǎng)的發(fā)展,攻擊者的目標(biāo)將會(huì)轉(zhuǎn)移。

在去年一月份,安全服務(wù)Proofpoint發(fā)布了一份報(bào)告探討了他們發(fā)現(xiàn)的第一個(gè)可行的基于IoT的網(wǎng)絡(luò)攻擊,其中涉及傳統(tǒng)的家庭智能家電。該攻擊活動(dòng)利用了超過10萬臺(tái)日常消費(fèi)電器的計(jì)算能力,包括聯(lián)網(wǎng)家庭影院系統(tǒng)、電視、家庭網(wǎng)絡(luò)路由器以及智能冰箱。該攻擊涉及大量惡意電子郵件―瞄準(zhǔn)全世界的企業(yè)和個(gè)人。在報(bào)告中,Proofpoint警告稱,這種僵尸網(wǎng)絡(luò)可能更加流行,因?yàn)镮oT設(shè)備通常沒有受到很好的保護(hù),并比電腦更容易感染。

壞燈泡帶來的嚴(yán)重后果

家庭自動(dòng)化恐怖故事并不總是涉及惡意黑客或者偷窺。有時(shí)候,可怕的事情可能只是意外。例如一個(gè)燒壞的燈泡。

幾年前,計(jì)算機(jī)科學(xué)教授Raul Rojas在其兩層樓的房子配備了非常先進(jìn)的自動(dòng)化系統(tǒng)。Rojas專門從事機(jī)器人技術(shù)和人工智能研究,所以他的智能家庭有機(jī)器人在家里巡邏、吸塵甚至修剪草坪。所有Rojas的家電都是聯(lián)網(wǎng),燈、電視、灶具、微波爐和中央空調(diào)系統(tǒng)都可以遠(yuǎn)程控制。

這一切都非常好,直到有一天,Rojas回到家發(fā)現(xiàn)整個(gè)房子基本被凍結(jié)了。在經(jīng)過一番調(diào)查后,Rojas發(fā)現(xiàn)一個(gè)燒壞的燈具不斷發(fā)送數(shù)據(jù)包到網(wǎng)絡(luò)的中心樞紐,請(qǐng)求修復(fù)。這也是一種拒絕服務(wù)攻擊,這說明智能家居可能自己玩完自己。

未來恐怖故事

可以肯定的是,未來還會(huì)發(fā)生更多可怕的故事。物聯(lián)網(wǎng)還處于起步階段,智能家居才剛剛開始。對(duì)于我們大多數(shù)人來說,只有計(jì)算機(jī)和手機(jī)聯(lián)網(wǎng)了。當(dāng)一切事物都連接到互聯(lián)網(wǎng)時(shí),例如我們的汽車、家電甚至衣服,前景可能變得非??膳?。

轉(zhuǎn)自網(wǎng)界網(wǎng):http://security.cnw.com.cn/security-things/htm2015/20150608_320463_2.shtml

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)