就像硬币的两面,物联网智能家居和黑客攻击正在经历一场此消彼长的漫长博弈。
有这样一个真实的场景,一名消费者走进一家咖啡馆,连接店内WiFi收发邮件、登录网银,结果店内的无线路由器已经被黑客挟持,消费者的邮箱和网银密码被获取,完全暴露在黑客面前。
全球黑客大赛GeekPwn创始人、上海白帽黑客团队碁震Keen公司CEO王琦对《第一财经日报》记者说,国内互联网厂商在产品上存在各种系统漏洞,让资金和隐私存在风险,黑客大赛的目的不是一味去发现各种漏洞,而是帮助厂商完善自身产品的安全性。
路由器漏洞下的风险
19日下午,一名白帽黑客向本报记者演示了通过路由器获取用户网上银行密码的全过程。咖啡馆内WiFi路由器因为自身漏洞被黑客通过DNS解析而劫持,消费者从搜索网站进入网银时,实际上跳转登录的是由黑客做的假银行镜像网站,但其域名和页面与真银行网站一模一样。消费者在输入网名、账号密码时,实际上是直接明文发给了黑客。
在这个过程中,消费者在操作上并没有犯任何错,咖啡馆并不知道自己的路由器已被黑客劫持,主要责任被指向了路由器厂商,产品本身的安全漏洞让黑客轻易攻破。王琦说,他们的团队曾列出市面上常见的路由器产品,作为黑客比赛的题目,结果无一例外均被选手攻破。
眼下,从智能门铃到智能空调,智能电器正在占领消费者的客厅和卧室,这些设备无非是通过WiFi(或蓝牙)联网,家里的无线路由器相当于各种智能电器的总网关,一旦因漏洞被黑客劫持,就等于这些设备均已在黑客的控制中。
黑客攻击WiFi或无线路由器的能力有多强?一名白帽黑客大咖向《第一财经日报》记者讲了一个亲历的故事。他之前去新加坡参加一个黑客大会,在黑客云集的会场内,他只是打开了手机的WiFi功能,并未连接任何一个WiFi,但他突然发现手机自动连接他在上海的办公室WiFi。他赶紧关机,回到酒店后把自己所有密码改了一遍。
“用户能做的是尽量使用复杂密码,将不同领域的密码分开设置,如果一定要连公共场所的WiFi,不要登录网银,甚至连邮件也别收发,就用3G或4G网络。”王琦对此建议。
攻防战
在微软安全响应部门(SRC)工作了7年后,技术出身的王琦创业开办了黑客大赛GeekPwn,他的初衷是希望通过选手的模拟攻击,找出漏洞,帮助厂商提高互联网产品的安全性。“微软Windows的安全性已经很强了,但还是不断有各种补丁推出,国内这些创业公司生产的软硬件设备,安全漏洞可想而知。”他说。
举例来说,现在支付用的POS机越来越智能,以前能连接PC,现在可以连接手机,但有黑客就能利用POS机的漏洞进行重放攻击,即重放前一个消费者的刷卡动作,等于刷自己的卡花别人的钱。金钱和隐私,永远是用户最敏感的那根神经。
好在,微软安全响应部门所做的事情正在得到越来越多厂商的重视。像阿里的“神盾局”、携程、京东等,都在做信息安全防范工作。但后台系统漏洞被第三方监控机构识别,用户密码被集体泄露等事件仍不绝于耳。
一位信息安全人士对《第一财经日报》记者说,互联网公司之间的口水战很常见,公关层面的对决只是明面上的交锋,暗地里雇用黑客攻击对手的后果会更严重,比如一些O2O项目,黑客可以用一分钟下一个美甲的订单,或者同时叫到1000辆专车,“抓住漏洞控制了系统,想做什么攻击都很容易了”。目前,已发生过因黑客攻击让上市公司市值瞬间蒸发将近一半的案例。
像GeekPwn、Pwn2Own、DefConCTF这些黑客大赛的价值越来越体现出社会普适性,在GeekPwn举办的前两年,曾有选手利用黑客技术控制了特斯拉汽车、无人机等设备,令现场哗然。但这些是小众领域,而公共WiFi、移动支付、O2O、智能家居等是应用范围更广的领域,参赛选手努力找出这些领域中存在的漏洞,并利用黑客技术设法控制它。去年10月份举办的第二届GeekPwn大赛,有选手凭借攻破https加密拿走了一笔42万元奖金。
让大赛主办方感到可惜的是,去年由于签证问题,很多国际上非常牛的白帽黑客(比如一位韩国军方培养的年轻黑客)报名后没能来到上海参赛。今年的比赛增加了一场5月澳门赛。今年会围绕智能手机、智能交通、智能穿戴、智能家居等领域进行黑客攻破。
王琦对本报记者说,本来一开始是想办一个极端高大上的黑客比赛,推崇技术难度,但国内的安全现状触目惊心,有些厂商的安全漏洞很低级,太容易被利用了,国内的信息安全环境有待提升。
本文转自d1net(转载)