物聯(lián)網(wǎng):物聯(lián)網(wǎng)大隱患并非黑客 而是設(shè)備制造商
http://www.0374v.cn導(dǎo)讀:
連用戶都不在意的隱私還有誰(shuí)在意?
我們都不得不承認(rèn)互聯(lián)網(wǎng)上已經(jīng)難有黑客翻不過(guò)來(lái)的墻,但越來(lái)越多的物聯(lián)網(wǎng)設(shè)備讓入侵變得異常地簡(jiǎn)單。
技術(shù)宅Craig Heffner表示物聯(lián)網(wǎng)大的隱患不在黑客,而在各種設(shè)備的制造商。
Tactical Network Solutions的研究員Craig Heffner在聯(lián)邦貿(mào)易委員會(huì)(FTC)的物聯(lián)網(wǎng)工坊上,回憶起一次他花了幾美刀就看到了數(shù)百個(gè)用戶的隱私信息。
當(dāng)時(shí)某硬件廠商給用戶提供了配套的云服務(wù),卻忘了買下作為數(shù)據(jù)服務(wù)器的4個(gè)域名之一。于是Heffner用了9美刀拿下。
Heffner的這個(gè)做法并不違法,但制造商的一個(gè)疏漏卻讓用戶的隱私被輕松瓦解掉了。
連用戶都不在意的隱私還有誰(shuí)在意?
我們都不得不承認(rèn)互聯(lián)網(wǎng)上已經(jīng)難有黑客翻不過(guò)來(lái)的墻,但越來(lái)越多的物聯(lián)網(wǎng)設(shè)備讓入侵變得異常地簡(jiǎn)單。
Heffner表示,“這是因?yàn)楝F(xiàn)在的用戶沒(méi)有真正開(kāi)始關(guān)注設(shè)備的信息安全,所以硬件廠商們也沒(méi)有動(dòng)力去優(yōu)化這件事。廠商們更喜歡把資源放到耀眼的功能上。”
安全還真不是小事
今年11月的時(shí)候,F(xiàn)TC強(qiáng)制推行了一個(gè)關(guān)于設(shè)備信息安全的政策:但凡無(wú)法確保產(chǎn)品信息安全的公司,其安全業(yè)務(wù)會(huì)強(qiáng)制外包給FTC。
美國(guó)國(guó)家科學(xué)基金會(huì)的前VP Dick Cheney曾經(jīng)公開(kāi)表示過(guò)他對(duì)恐怖分子入侵心臟起搏器的擔(dān)憂。于是過(guò)了幾年,馬薩諸塞大學(xué)的Kevin Fu帶著一個(gè)小分隊(duì)證明了這種入侵的可行性。
通常病人攜帶的心臟起搏器是通過(guò)一個(gè)封閉的數(shù)據(jù)系統(tǒng)和醫(yī)院端通信的。但Fu的研究小分隊(duì)不僅成功地從封閉系統(tǒng)上爬下了病人的醫(yī)療數(shù)據(jù),而且還可以惡意地引導(dǎo)起搏器的工作頻率。
目前Fu已經(jīng)拿到國(guó)家科學(xué)基金會(huì)45萬(wàn)美刀的資助,正在研發(fā)一個(gè)不可破解的起搏器。
黑客教程
說(shuō)回Craig Heffner,現(xiàn)在他每個(gè)月都會(huì)舉辦一期跟物聯(lián)網(wǎng)有關(guān)的黑客教程。具體做什么呢?Heffner的大部分學(xué)員來(lái)自消費(fèi)電子和安全公司。然后每期的教程Heffner就會(huì)先教他們?nèi)绾稳肭致酚善骱透鞣N家電。然后教程的后半段則是對(duì)抗和修復(fù)這些漏洞。
Heffner表示他之所以開(kāi)這個(gè)教程不是為了傳播這種對(duì)漏洞的利用,而是讓行業(yè)內(nèi)的人們?nèi)チ私庾约旱漠a(chǎn)品,如何把信息安全做得更好。
上一條:工業(yè)節(jié)能:工信部公布《關(guān)于加強(qiáng)工業(yè)節(jié)能監(jiān)察工作的意見(jiàn)》