智东西(公众号:zhidxcom)
文 | 吴天际 幻腾智能CTO
3.15的热度还在慢慢发酵,智能硬件带来的信息安全隐患似乎也埋在了消费者的心里,难以释怀。
智东西今天推荐一篇好文来帮你拔掉心里的刺。撰稿者是幻腾智能 CTO吴天际,他用纯技术科普给我们,怎样安全放心地享受智能化的生活带来的便利。以下是原文。
其实,这次晚会针对网络安全和智能硬件的建议与忠告,可以说三观很正,科学严谨,是值得所有从业者和消费者重视的,是给双方同时敲响的警钟。(这里,和“智能硬件”一词相比,我更喜欢用“互联硬件”。“互联硬件”最为准确的表达了接入到互联网的硬件,也正是最容易出现安全漏洞的硬件,它并不一定智能,也足以影响你的生活。)
信息技术突飞猛进不过几十年,而直到今天,互联硬件才真正开始深入人们的生活。也正因此,虽然信息安全是个从随信息技术起步之初就从未间断的话题(事实上,计算机的发明就是为了破解密码);但信息技术带来的安全问题,直到今天,才通过互联硬件的普及,真正影响到百姓生活。
随着无线通讯技术的发展,原本的单机设备,现在都变成了互联硬件设备。比如汽车、飞机、家电、手表,全都逐步接入互联网。原本它在你手中,你就占有了它,毫无异议;而现在,它在你手中,却连接到互联网,通过互联网带来前所未有的便捷、体验、与此同时也存在隐患。
其实,人类对这个过程并不陌生。人类放弃骑马,改乘汽车时,高速增加了交通事故的隐患;人类放弃畜力,改用燃料驱动工厂时,高动力增加了生产事故的隐患;电能进入千家万户时,家长就又多了一项要嘱咐孩子的事情:不要玩插座;等等。然而,面对危险,人类仍然选择了进步,而不是停留在马车、驴拉磨、煤油灯的时代,这是因为人类向往科技进步,它带来的优势,足以推动人们努力克服所有的问题,降低危险和隐患。
互联网以及其衍生的互联硬件,正是这样一个展现在人类面前的新兴事物,人们享受其带来的便捷,同时也在不断解决所有面对的问题隐患。
作为厂商,应该把安全与功能放在同等重要的地位,切不可因为安全是用户第一眼看不到的,就掉以轻心。厂商不仅自身要有安全专家,也应该与第三方安全组织、白帽组织积极合作,而不是讳莫如深。这些组织是原意通过正规方式帮助厂商解决问题的,而如果问题到了不法分子那里,就不那么简单了。
作为消费者,应该相信厂商,相信科学。每当看到危言耸听的事情,问问身边懂行的朋友,甚至到X乎上面提个问题:“这是真的吗?”切不要盲目轻信,甚至形成偏见。相信吧,人类从来没有一次因为负面隐患而放弃了进步的机会,面对互联网、互联硬件的革命,这一次也不会!
下面就来解答“这是真的吗?”问题。
晚会上的演示当然都是真的,但也是有条件的,因此并不用恐慌。下面我就努力分析一下条件。
1.扫二维码盗银行卡
这必须依赖于手机本身有严重的安全漏洞,对于当今的手机,这样级别的漏洞修补非常快,不大可能出现。作为用户,只需要注意:1)手机不越狱、不Root;2)安卓机不装不知道的应用,不轻易给应用授权;3)保持手机系统的更新。
放心大胆扫二维码吧,稍有安全意识就不会有问题的。
另外,节目中出现的那个二维码扫出来是shijon.com,好像是个创业项目。恐怕这是上过315晚会的体量最小的创业企业了吧,算不算一种躺枪?
2.截取在场观众手机订单信息
我们用手机APP或访问互联网的时候,其实主要有两层加密机制:第一层发生在手机与无线路由器之间的WIFI连接,第二层发生在手机APP或浏览器与服务商服务器之间的HTTPS连接。只有当着两层同时都被攻破时,你的安全才受到威胁。WIFI网络是星状网络,所有通讯都必须经过路由器。凡是采用了WPA2方式连接的WIFI网络,每个终端与路由器之间的连接,都是独立密钥的安全连接。凡是没有密码的开放WIFI网络,或者采用淘汰的WEP方式加密的网络,终端与路由器之间要么不加密,要么采用公共的密钥加密,是不安全的。如何判断?只要看看连接是图标上有没有叹号图标,有叹号的,就是不安全的网络。
HTTPS是通过加密通道访问HTTP的方式。用电脑上网时,经常可以注意到地址栏中的网址是https开头的,这意味着你的电脑与服务器之间的通讯是安全的。反之,如果网址是http开头的(没有s),意味着通讯没有加密,可能被监听甚至篡改。遗憾的是,由于使用HTTPS建网站需要额外的费用和额外的计算量,大部分服务商都仅仅在非常关键的业务(例如登陆、支付过程)中使用了HTTPS,而在普通信息列举、浏览,都是通过HTTP完成的。也就是说,某些时候,是否用HTTPS不是用户可以决定的,甚至是不容易判断的。
例如,微信就是这样。微信关键的登陆和聊天等,都是通过HTTPS(也或许是自己协议?这点没考证)加密传输,而朋友圈无论收发,都是不加密的。记得去年315晚会现场就演示了截获微信朋友圈照片的技术。即使使用了HTTPS,如果你的终端设备被恶意软件植入了恶意的验证证书,仍然是不安全的。去年Lenovo某系列电脑预装广告软件的风波,正式因为那广告软件在电脑中置入了(可能并不是恶意的,但)不该存在的根证书,从而彻底破坏了HTTPS的安全性。下面画个表总结一下,注意这里假设你的设备没有病毒/恶意软件:
3.远程查看监控摄像头
这是清华学弟的团队“长亭科技”的成果。几位团队核心成员,都是当年清华电子系、计算机系的神级人物。目前,长亭是他们提供安全咨询服务的创业公司。
晚会中展示的是一款通过UPnP打洞的方式,手机与摄像头直连查看的摄像头。这种摄像头自己可以作为一个“HTTP服务器”,等待手机连接,唯一验证信息就是用户名和密码。由于摄像头本身硬件所限,验证用户名和密码的方式通常并不加密,也很传统(HTTP基本认证方式,利用头明文传输用户名密码)。这样,黑客仅需有一次在摄像头附近,截获了主人正常使用时的用户名和密码,之后就可以像主人一样,访问摄像头了。这里使用的截获技术,也是类似上面1中所说的。
而黑客的攻击可以更进一步,利用一次截获的密码,通过摄像头HTTP服务的漏洞,在摄像头的嵌入Linux系统上置入一段后门,这样即使之后修改密码,也无济于事。
有些老式摄像头,甚至提供了统一的默认密码和连续编号的序列号。黑客可以直接连续尝试序列号加默认密码的组合,登陆到摄像头。对于新式的云存储摄像头,其数据是保存在云存储服务商的,查看时也是经过了云存储服务商的系统。摄像头本身隐藏在局域网内,不会打洞,自己也不是HTTP服务器,外界不能访问。这时,安全与否,很大程度要看云存储平台本身的安全设置了。我的建议是,一定要选择大品牌、专业的互联网企业的云存储服务。比如,我们合作伙伴i耳目的云存储摄像头,采用的是百度云。只要你信得过百度,那么你就可以相信数据是安全的。
这里要多说一句:JEEP也是大品牌,为什么它的汽车系统的安全那么不堪一击?虽然JEEP在SUV领域是绝对的鼻祖,但在信息安全领域就……呵呵。因此,对于信息安全问题,选择互联网企业相对来说更靠谱。
4.隔墙控制智能家电
从吕总的屏幕看,这是一些通过WIFI连接的智能家电。为了降低对硬件性能的要求,这类设备通常采用UDP通讯,配合基于安全的加密算法的加密机制,通常是安全的。从这个视频的确无法判定具体是何种漏洞,但通常问题出在对于加密机制的设计上,容易产生逻辑漏洞。
常用的加密算法有对称的AES、3DES,非对称的RSA、椭圆曲线等。这些都是公开的、经过无数数学家验证的算法。(在密码学中,越是公开的算法,越是安全的。安全性全部来自数学的证明,而非对算法本身的保密。)然而,并不是用了这些算法就代表着安全。我所了解的大部分密码学产生的安全漏洞,都是因为错误的应用了这些加密算法。因此,基于这些算法的加密机制在逻辑上是否安全,才是更重要的。(下图选自Wikipedia,即使使用AES加密,仍然没有隐藏关键信息(中图))。
作者介绍
6岁连了第一个串联电路
8岁写了第一行Basic代码
12岁写了一个游戏,卖给同学收入5元
13岁写了一个木马,专门在机房上课时整同学,还盗了别人邮箱密码
14岁第一次SQL注入,获得学校网站管理员
16岁用小刀刻了第一块电路板,做了个直流电源,用到大学毕业
17岁修改文曲星(电子词典)内核,破解白金英雄坛说万能密码yobdc和j.lee,编写白金英坛修改器
18岁做了第一块印刷电路板,第一次用单片机
18岁做了第一个AJAX网站前端和后端(当时还没有jQuery?)
19岁写了第一个Firefox浏览器插件(当时还没有Chrome?)
20岁和同学一起做了一个单发射乱序执行的CPU雏形(FPGA验证)
21岁写了第一段AMD GPU汇编(IL)代码(当时还没有OpenCL?)
22岁携独门“选课机”、“迟交作业机”离开清华,未传后人,只留下传说
23岁写了人人网NPC尹福,服务清华9000用户,改变一届清华人交流方式
24岁和伙伴一起完成了第一个产品的完整研发
25岁和伙伴一起完成了第一个自己的消费电子产品研发,并把它变成了商品
……
幻腾智能,作为一家专业的智能家居公司,我们一直极其重视信息安全,这也是我们坚持使用自有通讯协议的原因之一。
