9月29日-30日,2015中国互联网安全大会(ISC2015)召开,以“数据篡改和物联网安全——万物相连之下的安全生态”为主题的分论坛气氛最为活跃,北京华永兴安科学技术有限公司创始人王英键就在现场讲述了他的“开黑”经历。比如,如何在自家看隔壁老王家的电视、如何定时让老王门铃自动响起、如何遥控开启老王的车门等,这些“黑”技术不知道现场观众get到了多少。
图:王英键在“数据篡改和物联网安全安全”分论坛发表演讲
其实,王英键是从黑客的角度展示了物联网安全的重要性。
“好用的智能设备不一定安全”,王英键从对一台智能路由器的挑剔说起。在王英键看来,路由器是一个家庭的网关,重要性不言而喻。但从黑客的角度来看,若要发动攻击,也是通过路由器接入局域网,在此过程中,王英键发现这些设备存在着不少缺陷。
王英键提到,80%的IOT设备存在隐私泄露或者滥用风险、80%的设备允许使用弱密码、70%的IOT设备通讯录没有加密、60%的IOT设备web界面存在漏洞、60%IOT设备下载软件更新时没有使用加密。
那么利用这些安全隐患,就能轻而易举的给隔壁老王制造恶作剧。
通过王英键现场播放的视频不难想象,如果隔壁老王家的信号很强,那么你就可以收到老王家的信号。通过侵入网络,以手机控制设备就能接受电视信号,然后通过设备转发控制电视,在家就能看到隔壁老王家的电视!除此之外,利用同样的方式可以控制老王家的空调、幕布升降、打开车门什么的都不是事儿。
如果你技术过硬、如果你足够调皮,还可以控制隔壁门铃的频率。通过设置一个固定码,就能让隔壁门铃不断响起,隔壁也会不断的开门,如此循环,光是想想就觉得很酸爽。
在物联网中,王英键演示的这些“黑”技术看起来很搞笑,但实际上物联网中普遍存在的弱口令、后门、漏洞等,一旦被不轨之人加以利用,小到个人生活、个人隐私安全,大到海量的大数据安全,甚至是人身安全都面临严峻威胁,不容小觑。
对此,王英键建议IOT设备开发者尽量做到安全编码开发规范生产、设备固件签名、强大完善的固件签名、强大完善的复合身份认证机制、源代码审计等。王英键也提示用户,尽量将所有密码都修改为强密码、不同的IOT设备分隔开不同的网络区域、及时更新固件设备或安全补丁等。