想象一下這些場景。
智能調控電梯升至高層,突然劇烈晃動,讓你來不及按報警按鈕就失控下墜;新項目是商業(yè)機密,僅少數(shù)人知情,殊不知會議室的每一個智能設備都是競爭對手的同謀;下班回家想放松一下,而智能音箱那頭,大洋彼岸的神秘人正竊聽你的生活……
這些都是黑客攻破了智能樓宇大門后,可能產生的后果。
4月12日,在荷蘭阿姆斯特丹舉行的HITB(Hack in the Box)上,來自騰訊安全平臺部的Blade團隊現(xiàn)場演示了他們是怎么攻破智能樓宇的。HITB是歐洲最具影響力的信息安全會議,也是世界頂級的安全技術交流大會之一,選題篩選素以嚴格著稱,經(jīng)過申報、評選等多個過程,層層篩選出最具實力的白帽黑客登臺,與全球各地的安全大咖現(xiàn)場切磋。
Blade團隊這次探討的智能樓宇攻防問題,就吸引了眾多關注。
(騰訊Blade安全團隊)
智能家居:隱患在身邊
隨著物聯(lián)網(wǎng)的迅猛發(fā)展,我們的日常生活已被各種智能家居設備包圍,而酒店、大樓、商場等場所也逐漸投入智能樓宇的懷抱。對我們來說,通過手機App開空調、關音箱等操作,已不再陌生。但對于黑客來說,這種高度自動化、萬物互聯(lián)的生活,卻處處都是可以攻陷的“后門”。
如果說智能家居中各個設備是各司其職的工作人員,那么通信協(xié)議就是它們的工作章程。只有在遵循協(xié)議的前提下,這些設備才真正變得“智能”,本不相關的各個設備才有了信息交流、協(xié)同工作的能力。這次Blade團隊現(xiàn)場展示了如何攻破智能家居領域中使用最為廣泛的“工作章程”:ZigBee。
迄今為止,使用ZigBee協(xié)議的設備數(shù)量在全球已經(jīng)超過十億。Blade團隊基于大量設備測試,結合常見的攻擊方法針對舊版協(xié)議的安全漏洞進行黑客攻擊,展示了多個國際主流制造商的設備安全測試結果,并演示了如何借助無人機飛上36樓高空,“黑”進遠程控制燈光系統(tǒng),來了一場深夜“燈光秀”。
正如Blade團隊成員在會上所言,我們必須清醒地意識到,在物聯(lián)網(wǎng)上建立起來的智能家居網(wǎng)絡,尤其因為一個“家”字——涉及了我們太多切身的個人隱秘信息??刂茻艄馍袑佟伴_胃菜”,嚴重的還可以竊聽談話、勒索敲詐,甚至入室行兇,對我們家庭隱私和人身財產安全產生巨大威脅。
商業(yè)樓宇:便捷與風險并存
Blade團隊的研究并未就此止步,他們下一個攻擊的目標轉向了更大范圍的物聯(lián)網(wǎng)應用場景:商業(yè)樓宇。由于場景的復雜性,在商業(yè)樓宇領域應用更為廣泛的是KNX協(xié)議,攻擊難度也更高。
與傳統(tǒng)的通過Wi-Fi網(wǎng)絡入侵不同,Blade團隊發(fā)現(xiàn)了一種全新的適用于大部分KNX協(xié)議的攻擊方法。使用自己的測試工具,他們能在不影響原有網(wǎng)絡設備正常使用的情況下,成功攻破網(wǎng)絡防線。Blade團隊還在某個使用KNX協(xié)議的豪華酒店實地演練了一番,驗證了這種方法可以攻擊整個酒店所有房間的照明、空調、窗簾和其他設備。
但KNX的運用場景還遠不止于此。除了豪華酒店之外,它們還常用于大型公共場所,如體育場館、工廠、機場甚至核電站等敏感工業(yè)場景,提供相應的智能服務。
科技的發(fā)展從來都是雙刃劍,我們在享受它帶來的便捷的同時,也必須警惕可能存在的風險。
酒店房間被控制,更多的影響還停留在個人隱私及財產安全層面。但若體育場館、機場、核電站等大型公共場所系統(tǒng)中的安全漏洞被黑客利用,則可能造成巨大經(jīng)濟、社會、乃至政治層面的影響,后果不堪設想。
攻防相長:切實提升安全水平
所幸的是,攻與防向來是你來我往。
正是因為有了居安思危的前瞻性攻擊研究,才會帶來人們安全意識的提升和安全措施的加強,這也是無數(shù)白帽黑客的初衷。此次Blade團隊在HITB大會上演示如何攻擊智能家居與商業(yè)樓宇的同時,也介紹了新的安全加密機制,以及如何部署安全的ZigBee和KNX網(wǎng)絡。
盡管物聯(lián)網(wǎng)浪潮席卷到我們工作、生活的方方面面,但針對智能家居與商業(yè)樓宇的安全研究卻遠沒達到與其發(fā)展速度和規(guī)模相匹配的水平。此前,各個安全大會中有關智能樓宇安全的議題并不多,有實際攻擊演示的更是少之又少?!拔覀児_了對這兩種使用最廣的通信協(xié)議的系統(tǒng)性安全攻防研究,也是希望能有更多的同行和我們一起,提升智能家居樓宇領域的安全水平,畢竟這可是我們每天都呆在里面的地方,”Blade團隊成員說道。
此前,Blade團隊就已在CanSecWest等多個頂級互聯(lián)網(wǎng)安全峰會上分享議題,還曾成功發(fā)現(xiàn)谷歌人工智能學習系統(tǒng)TensorFlow存在的嚴重安全風險。該風險是 TensorFlow 首個被發(fā)現(xiàn)的自身安全風險,Blade團隊也因此獲得谷歌致謝。
關鍵詞:
凡本網(wǎng)注明“XXX(非中國微山網(wǎng))提供”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和其真實性負責。
大眾網(wǎng)·海報新聞記者張穩(wěn)呂樂田陽孫震泰安報道時值深秋,泰安市邱家店鎮(zhèn)姚家坡村迎來了一年中最忙碌的時節(jié)——作為全國最大的“秋褲村”,每
2022-10-29 18:34
在中國,每12秒有1人發(fā)生卒中,每21秒有1人死于卒中,腦血管病已成為中國居民第一位的死亡原因,早期預防顯得尤為重要。每年10月29日是“世界
2022-10-29 18:39
10月28日上午,全國首個航運企業(yè)集成化審批服務平臺在青島自貿片區(qū)啟動。該平臺運用數(shù)據(jù)中臺、AI人工智能、電子簽名等技術,將涉及水路運輸、
2022-10-29 18:37
海報評論員朱延魯10月28日,山東公布了2022年前三季度全省經(jīng)濟運行數(shù)據(jù)。根據(jù)地區(qū)生產總值統(tǒng)一核算結果,前三季度,全省生產總值為64409億元,
2022-10-29 18:31
作為正規(guī)醫(yī)院,南昌豐益肛腸醫(yī)院在改善就醫(yī)環(huán)境、降低就醫(yī)費用、優(yōu)化就醫(yī)流程方面下功夫;實行的無假日醫(yī)院制度,為上班族看病提供便利;通過
2022-10-29 17:53
10月28日,山東發(fā)布了前三季度的全省經(jīng)濟運行情況。前三季度全省生產總值64409億元,同比增長4 0%。跑贏3 0%的全國大盤,經(jīng)濟大省山東交出了一
2022-10-29 15:41
大眾網(wǎng)·海報新聞記者解強民通訊員姜雁群濟南報道10月28日,濟南軌道交通3號線二期設備工程開工活動在稻香站舉行,標志著濟南軌道交通3號線二
2022-10-29 15:32
大眾網(wǎng)·海報新聞記者梁雯濟南報道11月9日至10日,2022全國中小企業(yè)數(shù)字化轉型大會將于山東國際會展中心舉行。本次大會主題為“創(chuàng)新引領發(fā)展數(shù)
2022-10-29 15:36
大眾網(wǎng)·海報新聞記者孫杰濟南報道10月28日,由中國聯(lián)合國協(xié)會主辦、外交部國際司支持、山東大學承辦的第十八屆中國模擬聯(lián)合國大會開幕。此次
2022-10-29 15:42
測評每天護膚一小步變美就更進一步啦,因為對于好肌膚,我們不管是化妝還是素顏都會顯得好看,今天想和大家分享一下本人親自測評護膚品--鄭
2022-10-29 14:12