物聯網:物聯網大隱患并非黑客 而是設備制造商
http://yucd.cn導讀:
連用戶都不在意的隱私還有誰在意?
我們都不得不承認互聯網上已經難有黑客翻不過來的墻,但越來越多的物聯網設備讓入侵變得異常地簡單。
技術宅Craig Heffner表示物聯網大的隱患不在黑客,而在各種設備的制造商。
Tactical Network Solutions的研究員Craig Heffner在聯邦貿易委員會(FTC)的物聯網工坊上,回憶起一次他花了幾美刀就看到了數百個用戶的隱私信息。
當時某硬件廠商給用戶提供了配套的云服務,卻忘了買下作為數據服務器的4個域名之一。于是Heffner用了9美刀拿下。
Heffner的這個做法并不違法,但制造商的一個疏漏卻讓用戶的隱私被輕松瓦解掉了。
連用戶都不在意的隱私還有誰在意?
我們都不得不承認互聯網上已經難有黑客翻不過來的墻,但越來越多的物聯網設備讓入侵變得異常地簡單。
Heffner表示,“這是因為現在的用戶沒有真正開始關注設備的信息安全,所以硬件廠商們也沒有動力去優化這件事。廠商們更喜歡把資源放到耀眼的功能上。”
安全還真不是小事
今年11月的時候,FTC強制推行了一個關于設備信息安全的政策:但凡無法確保產品信息安全的公司,其安全業務會強制外包給FTC。
美國國家科學基金會的前VP Dick Cheney曾經公開表示過他對恐怖分子入侵心臟起搏器的擔憂。于是過了幾年,馬薩諸塞大學的Kevin Fu帶著一個小分隊證明了這種入侵的可行性。
通常病人攜帶的心臟起搏器是通過一個封閉的數據系統和醫院端通信的。但Fu的研究小分隊不僅成功地從封閉系統上爬下了病人的醫療數據,而且還可以惡意地引導起搏器的工作頻率。
目前Fu已經拿到國家科學基金會45萬美刀的資助,正在研發一個不可破解的起搏器。
黑客教程
說回Craig Heffner,現在他每個月都會舉辦一期跟物聯網有關的黑客教程。具體做什么呢?Heffner的大部分學員來自消費電子和安全公司。然后每期的教程Heffner就會先教他們如何入侵路由器和各種家電。然后教程的后半段則是對抗和修復這些漏洞。
Heffner表示他之所以開這個教程不是為了傳播這種對漏洞的利用,而是讓行業內的人們去了解自己的產品,如何把信息安全做得更好。
上一條:工業節能:工信部公布《關于加強工業節能監察工作的意見》