您現(xiàn)在的位置:首頁 > 法制 > 正文

起底智能樓宇 騰訊Blade安全團隊HITB交出亮眼成績單

時間:2018-04-16 19:05:11    來源:中國網(wǎng)    

想象一下這些場景。

智能調控電梯升至高層,突然劇烈晃動,讓你來不及按報警按鈕就失控下墜;新項目是商業(yè)機密,僅少數(shù)人知情,殊不知會議室的每一個智能設備都是競爭對手的同謀;下班回家想放松一下,而智能音箱那頭,大洋彼岸的神秘人正竊聽你的生活……

這些都是黑客攻破了智能樓宇大門后,可能產生的后果。

4月12日,在荷蘭阿姆斯特丹舉行的HITB(Hack in the Box)上,來自騰訊安全平臺部的Blade團隊現(xiàn)場演示了他們是怎么攻破智能樓宇的。HITB是歐洲最具影響力的信息安全會議,也是世界頂級的安全技術交流大會之一,選題篩選素以嚴格著稱,經(jīng)過申報、評選等多個過程,層層篩選出最具實力的白帽黑客登臺,與全球各地的安全大咖現(xiàn)場切磋。

Blade團隊這次探討的智能樓宇攻防問題,就吸引了眾多關注。

(騰訊Blade安全團隊)

智能家居:隱患在身邊

隨著物聯(lián)網(wǎng)的迅猛發(fā)展,我們的日常生活已被各種智能家居設備包圍,而酒店、大樓、商場等場所也逐漸投入智能樓宇的懷抱。對我們來說,通過手機App開空調、關音箱等操作,已不再陌生。但對于黑客來說,這種高度自動化、萬物互聯(lián)的生活,卻處處都是可以攻陷的“后門”。

如果說智能家居中各個設備是各司其職的工作人員,那么通信協(xié)議就是它們的工作章程。只有在遵循協(xié)議的前提下,這些設備才真正變得“智能”,本不相關的各個設備才有了信息交流、協(xié)同工作的能力。這次Blade團隊現(xiàn)場展示了如何攻破智能家居領域中使用最為廣泛的“工作章程”:ZigBee。

迄今為止,使用ZigBee協(xié)議的設備數(shù)量在全球已經(jīng)超過十億。Blade團隊基于大量設備測試,結合常見的攻擊方法針對舊版協(xié)議的安全漏洞進行黑客攻擊,展示了多個國際主流制造商的設備安全測試結果,并演示了如何借助無人機飛上36樓高空,“黑”進遠程控制燈光系統(tǒng),來了一場深夜“燈光秀”。

正如Blade團隊成員在會上所言,我們必須清醒地意識到,在物聯(lián)網(wǎng)上建立起來的智能家居網(wǎng)絡,尤其因為一個“家”字——涉及了我們太多切身的個人隱秘信息??刂茻艄馍袑佟伴_胃菜”,嚴重的還可以竊聽談話、勒索敲詐,甚至入室行兇,對我們家庭隱私和人身財產安全產生巨大威脅。

商業(yè)樓宇:便捷與風險并存

Blade團隊的研究并未就此止步,他們下一個攻擊的目標轉向了更大范圍的物聯(lián)網(wǎng)應用場景:商業(yè)樓宇。由于場景的復雜性,在商業(yè)樓宇領域應用更為廣泛的是KNX協(xié)議,攻擊難度也更高。

與傳統(tǒng)的通過Wi-Fi網(wǎng)絡入侵不同,Blade團隊發(fā)現(xiàn)了一種全新的適用于大部分KNX協(xié)議的攻擊方法。使用自己的測試工具,他們能在不影響原有網(wǎng)絡設備正常使用的情況下,成功攻破網(wǎng)絡防線。Blade團隊還在某個使用KNX協(xié)議的豪華酒店實地演練了一番,驗證了這種方法可以攻擊整個酒店所有房間的照明、空調、窗簾和其他設備。

但KNX的運用場景還遠不止于此。除了豪華酒店之外,它們還常用于大型公共場所,如體育場館、工廠、機場甚至核電站等敏感工業(yè)場景,提供相應的智能服務。

科技的發(fā)展從來都是雙刃劍,我們在享受它帶來的便捷的同時,也必須警惕可能存在的風險。

酒店房間被控制,更多的影響還停留在個人隱私及財產安全層面。但若體育場館、機場、核電站等大型公共場所系統(tǒng)中的安全漏洞被黑客利用,則可能造成巨大經(jīng)濟、社會、乃至政治層面的影響,后果不堪設想。

攻防相長:切實提升安全水平

所幸的是,攻與防向來是你來我往。

正是因為有了居安思危的前瞻性攻擊研究,才會帶來人們安全意識的提升和安全措施的加強,這也是無數(shù)白帽黑客的初衷。此次Blade團隊在HITB大會上演示如何攻擊智能家居與商業(yè)樓宇的同時,也介紹了新的安全加密機制,以及如何部署安全的ZigBee和KNX網(wǎng)絡。

盡管物聯(lián)網(wǎng)浪潮席卷到我們工作、生活的方方面面,但針對智能家居與商業(yè)樓宇的安全研究卻遠沒達到與其發(fā)展速度和規(guī)模相匹配的水平。此前,各個安全大會中有關智能樓宇安全的議題并不多,有實際攻擊演示的更是少之又少?!拔覀児_了對這兩種使用最廣的通信協(xié)議的系統(tǒng)性安全攻防研究,也是希望能有更多的同行和我們一起,提升智能家居樓宇領域的安全水平,畢竟這可是我們每天都呆在里面的地方,”Blade團隊成員說道。

此前,Blade團隊就已在CanSecWest等多個頂級互聯(lián)網(wǎng)安全峰會上分享議題,還曾成功發(fā)現(xiàn)谷歌人工智能學習系統(tǒng)TensorFlow存在的嚴重安全風險。該風險是 TensorFlow 首個被發(fā)現(xiàn)的自身安全風險,Blade團隊也因此獲得谷歌致謝。

關鍵詞:

相關新聞

凡本網(wǎng)注明“XXX(非中國微山網(wǎng))提供”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和其真實性負責。

特別關注