黑客大片看得不少,在电影中经常可以看到的这样的情节:黑客掏出笔记本,敲键盘输入一堆指令,屏幕上显示出一个破解进度滚动条,之后就成功地达成目标。举个形象的例子,《碟中谍5》中高智商计算机高手班吉·邓恩就通过控制飞机上的程序打开了机门,让阿汤哥顺利潜入飞机,完成任务。
控制飞机?是不是酷炫吊炸天?正如你所知,电影多建立在天马行空的剧本创作与蒙太奇剪辑手法中,如果将电影中的情景复制到生活中,未必能成真。但是由黑客大赛GeekPwn与央视315晚会合作拍摄的“黑客大片”却给大众提了个醒:原来“电影也是源于生活的艺术表现”,无人机被黑、汽车被远程操控、利用摄像头偷窥隐私……片中曝光的智能生活风险,都可能真实地发生在身边,在此之前,大众可能一无所知,甚至无动于衷。
为了让大众更加清晰地认知智能生活安全隐患的危害性,同时掌握几个防黑客必杀技,我们特别邀请了央视315晚会短片中的黑客,他们也是智能生活专家,教你几招“防黑”秘笈。
智能生活真的隐形炸弹四面埋伏吗?
央视315晚会上展现的可能会被黑客攻击的无人机、POS机、智能汽车、智能路由器、智能摄像头、智能烤箱,其实都已经走进了我们的日常生活。虽然影片营造了智能生活安全“十面埋伏“的危机感,但该片的技术支持方KEEN 公司CEO王琦则告诉大家不必过于恐慌,片子选取了去年黑客大赛GeekPwn上的比赛项目,主办方已经将漏洞负责任地披露给相关厂商。在真实生活中,智能生活的安全隐患尚未完全凸显。但我们必须意识到,智能小漏洞,生活大风险。
智能汽车已沦陷,下一个无人机攻击会指向哪里?
2015年,美国知名白帽黑客Charlie Miller与其同伴开启了智能汽车安全的元年,引发大众对智能汽车安全的思考。而KEEN公司智能安全专家宋宇昊在央视315短片中对无人机的控制,也让大众不自觉将两者联系起来思考:智能汽车为什么会被控制?无人机已沦陷,下一个攻击会指向哪里?
宋宇昊认为,从技术与理论上来说,装备有车联网的汽车完全可能成为攻击目标。现在不少新车型中的车载AVN设备的功能已经非常丰富,一方面可以与CAN总线通讯,控制车门车窗空调等部件,另一方面这些AVN系统通过TBOX与云端通讯并与手机端App交互。因此攻击者完全可以通过网络通讯、USB、蓝牙等入口,类似攻击手机一样入侵AVN系统,并进一步进入CAN总线,从而控制汽车。 不过目前见到的报道主要是安全研究者的技术研究,并没有实际针对用户环境的攻击。
而对于无人机是否会成为未来战争各国的必备武器,宋宇昊表示,如果他是攻击者,从攻击成本考虑,会倾向于使用电磁干扰阻碍它的通讯,而不是去劫持它。当然这只是玩笑!
同样,其他智能设备漏洞的危害也不容小觑。关于片中没有拍摄到的智能硬件,比如以智能手表为代表的智能穿戴,宋宇昊表示智能手表可能会存在和智能手机一样的泄露隐私的问题。比如智能手表上的天气应用可能会请求位置信息,就算手表本身没有GPS功能,智能手表上的App可以通过连接手机请求手机上的位置信息。手表中的恶意应用可以做到和手机App一样收集用户的隐私信息。
那么,智能设备不断更新迭代,未来是否会越来越安全?宋宇昊认为,就如同已经经历过的PC时代、手机时代一样,新产品刚问世的时候是不安全的:一方面厂商还对这新产品新功能的实现焦头烂额,无暇顾及安全;另一方面新产品还没经过市场的充分检验,安全问题还没在使用过程中暴露出来。但随着产品的普及,产品所承载的资产(厂商信誉、用户隐私、用户资金等)越来越高昂,以及像GeekPwn这样的黑客大赛的努力,厂商开始越来越重视安全,并提升产品的安全性。当然,这还需要所有安全研究人员、智能设备厂商和政府的共同努力!
如何防范或减少防不胜防的黑客攻击?
在遇到未知领域的危机时大众往往会问怎样才能够预防信息的泄漏?事实上,站在智能安全专家的角度给出的答案是:无法完全预防,但能减小泄漏可能!
针对Wi-Fi引发的信息泄漏,KEEN公司智能安全专家吕礼胜提醒:普通用户需要提高安全意识,加强对Wi-Fi风险的认识并提高警惕性——
(1)、切忌随意连接未知来源的Wi-Fi网络;
(2)、在公共Wi-Fi上不要 进行网购和网银等重要操作,避免个人信息的泄露;进行银行转账或购物时,使用手机运行商的移动数据网络连接比公共Wi-Fi更安全;
(3)、不要随意访问未知资源,比如别人发来的未知网址或二维码等;
(4)、手机安全软件提示病毒时,切忌铤而走险;
对家用Wi-Fi,可以通过恰当地配置家用路由器来提高安全性——
(1)、对Wi-Fi启用尽可能安全的加密方式,如WPA2;
(2)、设置Wi-Fi密码时,位数至少8位,建议16位以上,尽量复杂,应当至少包括大写字母、小写字母、数字、特殊符号者四种中的三种;
(3)、定期修改Wi-Fi密码;
(4)、建议不要使用第三方的Wi-Fi共享之类的手机软件。这类软件往往会将您家里的Wi-Fi密码发送到其他使用这种软件手机上,导致信息泄露。如果有朋友来做客想用你家的Wi-Fi,请确认他/她手机里没有类似的破解软件;
(5)、很多家用路由器管理界面的缺省用户名密码都是admin,要记得把这个帐号和密码修改掉。
(6)、如果您具备一定的网络知识,还可以进一步启用家用Wi-Fi路由器上的高级安全功能,如Mac地址绑定,关闭SSID广播等。
(7)、选择知名有品质保障的路由器,以及及时更新固件。
针对手机APP的隐私保护,智能安全专家宋宇昊提醒,要从两个角度考虑这个问题:
从保护App不受攻击的角度:不在公共Wi-Fi中使用;及时更新手机操作系统和App;不点击来源不明的URL链接,不扫描来源不明的二维码;使用正规可信的输入法。
从限制App自身不耍流氓的角度:不安装来源不明的App;对于Android,安装App时留意提示的所需权限,如果App申请了与它无关的敏感权限,不要安装;对于Android,使用整合有访问控制的手机系统或者额外安装带有访问控制功能的安全软件;对于Android,当App使用过程中提示需要权限时,谨慎考虑,仅在确认需要该权限时赋予权限。
