據彭博社報道,物聯網的危險性比多數人意識到的更大,黑客可以輕而易舉地入侵幾乎所有家庭的Wi-Fi路由器,這對于早期把燈泡和水龍頭關聯到一起的用戶來說確實是個大問題。
最近,一位華盛頓的網絡安全專家Gene Bransfield開發了一款名為WarKitteh的小裝置。WarKitteh是一個搭載了Spark Core解密芯片、Wi-Fi無線網卡和GPS模塊的貓項圈。Bransfield把這個項圈套在一只名叫Coco的暹羅貓上,然后讓這只貓在鄰居家附近漫游,同時記錄下了周圍可用的Wi-Fi網絡。結果,這個貓項圈尋獲了23個(超過總數的1/3)網絡密碼還在使用過時的WEP(有線加密技術)來加密密碼,而不是采用最先進的WPA(無限上網保護接入)。
Bransfield計劃在拉斯維加斯黑帽子安全大會上展示他的貓項圈裝置。就職于美國中央情報局(CIA)風險投資部門的大會主講人Dan Geer曾經稱,家居路由器有機會被創建成一個由黑客控制的僵尸網絡并造成網絡崩潰。實際上,由于實驗的緣故,路由器僵尸網絡已經被成功創建。
最近在美國拉斯維加斯召開的DEFCON 22黑客大會,主題是挑戰入侵路由器,名為“SOHOpelessly Broken”,“SOHO”代表了小型辦公室和家庭辦公室。據了解,成功展示一個在常用路由器中前所未知的漏洞,可獲得獎金500美元和明年DEFCON的住宿獎勵。在最近幾年的安全會議上,如何攻破路由器的防護已經司空見慣。2011年,巴西的一群黑客攻破450萬個Wi-Fi路由器,偷取了所有用戶的個人信息,并獲取了一些不義之財。
網絡安全專家 Bruce Schneier指出,這些路由器一般采用的是廉價的組件和簡單的編程,只要能正常運行就可以出售。制造商沒有動力去更新固件,使其比它運行的硬件還要陳舊。既然制造商沒有跟進這些設備,當路由器出售時,安裝補丁的唯一辦法只能由用戶自行安裝。
但如今存在于家用和小型辦公室使用的路由器的漏洞已不再是一個大問題。除非有記性不好的用戶把一些信用卡號碼和未加密的密碼保存在文件中,否則竊取一個普通家庭網絡并無用處。對于攻擊路由器而造成網絡崩潰的僵尸網絡,目前還只存在于那些有關國家之間網絡戰爭的科幻小說里。
然而,當家里裝滿了如恒溫器、煙霧探測器、水龍頭、鎖定器和燈泡等關聯設備時,路由器的防御能力不足將會成為一個大問題。黑客們有可能很容易地入侵到家庭網絡的中心,在智能家居設備上為所欲為:打開解鎖——打開水龍頭開關把房子淹了——給正在參加重要會議的用戶發送警報。
Schneier認為,漏洞問題必須解決,這需要向嵌入式系統供應商施壓,讓他們設計出更好的系統。他呼吁路由器固件和第三方安全軟件需要有自動更新的功能。然而這一切付諸實施都需要時間,另外還需要教會大量的終端用戶如何操作。目前,多數用戶只選擇使用最便宜的Wi-Fi集線器,又或者使用由他們的有線電視運營商提供的路由器,這些供應商在保護設備安全上明顯不感興趣。
因此,只有等到路由器制造商被說服去重視安全問題的時候,用戶才有機會去做維護安全的工作。這意味著可以避免智能家居的關聯設備被惡意操作。如果使用智能家居的代價是冒著被黑客入侵后造成房子被淹的危險,那么用戶還不如選擇用手打開水龍頭更加安全。
京公網安備 11010502049343號