一家互聯(lián)網(wǎng)安全廠商單純通過(guò)內(nèi)部Wi-Fi連接令電網(wǎng)體系癱瘓,而這也為物聯(lián)網(wǎng)安全敲響了警鐘����。
一家互聯(lián)網(wǎng)安全廠商單純通過(guò)內(nèi)部Wi-Fi連接令電網(wǎng)體系癱瘓���,而這也為物聯(lián)網(wǎng)安全敲響了警鐘。
隨著物聯(lián)網(wǎng)技術(shù)在2025年的全面普及——根據(jù)麥肯錫給出的預(yù)測(cè)數(shù)字��,其聯(lián)網(wǎng)設(shè)備總量將達(dá)到上千億臺(tái)——我們認(rèn)為為其打造對(duì)應(yīng)的安全保障機(jī)制已經(jīng)成為刻不容緩的重要任務(wù)�����。而在這方面��,我們首先需要回答一個(gè)問(wèn)題:未來(lái)的物聯(lián)網(wǎng)攻擊會(huì)以何種形式出現(xiàn)?又將采取哪種實(shí)現(xiàn)方式?
面對(duì)這一問(wèn)題��,安全廠商給出了自己的回應(yīng)����。
“家居環(huán)境中的安全威脅”
作為專(zhuān)門(mén)負(fù)責(zé)滲透測(cè)試、取證����、安全代碼審查的安全廠商,One World Labs在今年4月于舊金山召開(kāi)的RSA大會(huì)上作出了主題演講����,并分享了由其設(shè)計(jì)的解決方案。
One World Labs構(gòu)建的場(chǎng)景是入侵運(yùn)行有Android系統(tǒng)的智能廚房體系��,從而獲得訪問(wèn)用戶整套家居環(huán)境設(shè)備的能力�,其中包括聯(lián)網(wǎng)溫控器、車(chē)庫(kù)門(mén)開(kāi)啟裝置�����、相關(guān)車(chē)輛以及——也是最令人擔(dān)憂的——主人工作地位。在其示例場(chǎng)景中�����,安全專(zhuān)家們的最終目的是突破并網(wǎng)水電站�。
電網(wǎng)
從理論上講,黑客們完全可以借此回溯至電網(wǎng)供給設(shè)施并實(shí)施攻擊�����。
演講主持人Chris Roberts將其稱為:“從烤箱到發(fā)電站的攻擊����,或者是‘家居環(huán)境下的安全威脅’。”
烤箱
Roberts認(rèn)為���,安全攻擊的開(kāi)始點(diǎn)可以是由Android系統(tǒng)控制的陳舊軟件方案�����。
早期Android軟件��,例如4.0.3版本���,“很容易受到多種形式的攻擊��,”Roberts在他的演講當(dāng)中提到���。只要用戶通過(guò)公共熱點(diǎn)接入網(wǎng)絡(luò)���,黑客就能夠?qū)τ脩魧?shí)施攻擊��,而后對(duì)烤箱進(jìn)行root并向其中安裝應(yīng)用���。
攻擊目標(biāo)
Roberts設(shè)想中的攻擊目標(biāo)是一位已經(jīng)擁有15年工作經(jīng)驗(yàn)的電廠工程師。這位工程師喜愛(ài)咖啡�,而且經(jīng)常會(huì)到發(fā)電廠附近的一家咖啡店休息。就在這里����,他會(huì)通過(guò)公共Wi-Fi網(wǎng)絡(luò)接入自家物聯(lián)網(wǎng)烤箱,并在登錄之后加以管理�。
Roberts指出,在這種情況下���,他可以通過(guò)社交媒體網(wǎng)絡(luò)��、專(zhuān)業(yè)論壇以及其它種種載體進(jìn)行惡意代碼傳播�,而個(gè)人文章中的在線照片上傳所配合的地理定位機(jī)制會(huì)幫助他發(fā)現(xiàn)受害者家中的烤箱位置。
咖啡
黑客團(tuán)隊(duì)很清楚�����,特定咖啡廳這類(lèi)目標(biāo)已經(jīng)成為社交網(wǎng)絡(luò)地理映射機(jī)制中的組成部分�。
即使使用不同的在線密碼,黑客也完全可以通過(guò)互聯(lián)網(wǎng)找到相關(guān)密碼內(nèi)容����。IRC通道正是實(shí)現(xiàn)上述侵入活動(dòng)的理想選項(xiàng)。
行動(dòng)開(kāi)始
一旦該小組瞄準(zhǔn)了自己的獵物��,接下來(lái)要做的就是滲透到受害者的家居環(huán)境當(dāng)中���。
實(shí)現(xiàn)這部分目標(biāo)的關(guān)鍵在于�,目標(biāo)烤箱必須接入家居內(nèi)的Wi-Fi環(huán)境中��。Roberts的團(tuán)隊(duì)能夠使用一款應(yīng)用廣泛的網(wǎng)絡(luò)工具來(lái)識(shí)別哪些設(shè)備處于特定網(wǎng)絡(luò)當(dāng)中�。
Roberts對(duì)于這類(lèi)工具還作出了詳盡說(shuō)明,例如墻內(nèi)電源插座所使用的模擬器種類(lèi)���。
該團(tuán)隊(duì)檢測(cè)出了目標(biāo)家居環(huán)境中的一個(gè)恒溫器����、多個(gè)家居自動(dòng)化開(kāi)關(guān)和一臺(tái)PC設(shè)備,其中甚至包含有電廠方面的密碼以及備份U盤(pán)內(nèi)容�,Roberts指出。
攻擊指向
這位電廠工程師的NAS網(wǎng)絡(luò)驅(qū)動(dòng)器當(dāng)中裝滿業(yè)務(wù)備份數(shù)據(jù)——而且在此次模擬攻擊中����,其FTP處于開(kāi)啟狀態(tài),這意味著犯罪者能夠“提取所有內(nèi)容”����。
聯(lián)網(wǎng)恒溫器的GUI用于訪問(wèn)生態(tài)智能網(wǎng)格服務(wù)器——攻擊方則以此為突破口���,攻擊了該發(fā)電廠網(wǎng)絡(luò)體系中的30座水壩以及約15000英里長(zhǎng)的供電線路���。
而這一切都是通過(guò)一臺(tái)家用烤箱實(shí)現(xiàn)的。Roberts并沒(méi)有具體透露他們針對(duì)烤箱所采取的具體侵入措施��。
物聯(lián)網(wǎng)安全從哪里入手���?
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)�。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無(wú)意����。如您是字體廠商���、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們��,本站核實(shí)后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟(jì)賠償�����!敬請(qǐng)諒解��!
粵公網(wǎng)安備 44030402000264號(hào)