就像硬幣的兩面,物聯網智能家居和黑客攻擊正在經歷一場此消彼長的漫長博弈。
有這樣一個真實的場景,一名消費者走進一家咖啡館,連接店內WiFi收發郵件、登錄網銀,結果店內的無線路由器已經被黑客挾持,消費者的郵箱和網銀密碼被獲取,完全暴露在黑客面前。
全球黑客大賽GeekPwn創始人、上海白帽黑客團隊碁震Keen公司CEO王琦對《第一財經日報》記者說,國內互聯網廠商在產品上存在各種系統漏洞,讓資金和隱私存在風險,黑客大賽的目的不是一味去發現各種漏洞,而是幫助廠商完善自身產品的安全性。
路由器漏洞下的風險
19日下午,一名白帽黑客向本報記者演示了通過路由器獲取用戶網上銀行密碼的全過程。咖啡館內WiFi路由器因為自身漏洞被黑客通過DNS解析而劫持,消費者從搜索網站進入網銀時,實際上跳轉登錄的是由黑客做的假銀行鏡像網站,但其域名和頁面與真銀行網站一模一樣。消費者在輸入網名、賬號密碼時,實際上是直接明文發給了黑客。
在這個過程中,消費者在操作上并沒有犯任何錯,咖啡館并不知道自己的路由器已被黑客劫持,主要責任被指向了路由器廠商,產品本身的安全漏洞讓黑客輕易攻破。王琦說,他們的團隊曾列出市面上常見的路由器產品,作為黑客比賽的題目,結果無一例外均被選手攻破。
眼下,從智能門鈴到智能空調,智能電器正在占領消費者的客廳和臥室,這些設備無非是通過WiFi(或藍牙)聯網,家里的無線路由器相當于各種智能電器的總網關,一旦因漏洞被黑客劫持,就等于這些設備均已在黑客的控制中。
黑客攻擊WiFi或無線路由器的能力有多強?一名白帽黑客大咖向《第一財經日報》記者講了一個親歷的故事。他之前去新加坡參加一個黑客大會,在黑客云集的會場內,他只是打開了手機的WiFi功能,并未連接任何一個WiFi,但他突然發現手機自動連接他在上海的辦公室WiFi。他趕緊關機,回到酒店后把自己所有密碼改了一遍。
“用戶能做的是盡量使用復雜密碼,將不同領域的密碼分開設置,如果一定要連公共場所的WiFi,不要登錄網銀,甚至連郵件也別收發,就用3G或4G網絡。”王琦對此建議。
攻防戰
在微軟安全響應部門(SRC)工作了7年后,技術出身的王琦創業開辦了黑客大賽GeekPwn,他的初衷是希望通過選手的模擬攻擊,找出漏洞,幫助廠商提高互聯網產品的安全性。“微軟Windows的安全性已經很強了,但還是不斷有各種補丁推出,國內這些創業公司生產的軟硬件設備,安全漏洞可想而知。”他說。
舉例來說,現在支付用的POS機越來越智能,以前能連接PC,現在可以連接手機,但有黑客就能利用POS機的漏洞進行重放攻擊,即重放前一個消費者的刷卡動作,等于刷自己的卡花別人的錢。金錢和隱私,永遠是用戶最敏感的那根神經。
好在,微軟安全響應部門所做的事情正在得到越來越多廠商的重視。像阿里的“神盾局”、攜程、京東等,都在做信息安全防范工作。但后臺系統漏洞被第三方監控機構識別,用戶密碼被集體泄露等事件仍不絕于耳。
一位信息安全人士對《第一財經日報》記者說,互聯網公司之間的口水戰很常見,公關層面的對決只是明面上的交鋒,暗地里雇用黑客攻擊對手的后果會更嚴重,比如一些O2O項目,黑客可以用一分鐘下一個美甲的訂單,或者同時叫到1000輛專車,“抓住漏洞控制了系統,想做什么攻擊都很容易了”。目前,已發生過因黑客攻擊讓上市公司市值瞬間蒸發將近一半的案例。
像GeekPwn、Pwn2Own、DefConCTF這些黑客大賽的價值越來越體現出社會普適性,在GeekPwn舉辦的前兩年,曾有選手利用黑客技術控制了特斯拉汽車、無人機等設備,令現場嘩然。但這些是小眾領域,而公共WiFi、移動支付、O2O、智能家居等是應用范圍更廣的領域,參賽選手努力找出這些領域中存在的漏洞,并利用黑客技術設法控制它。去年10月份舉辦的第二屆GeekPwn大賽,有選手憑借攻破https加密拿走了一筆42萬元獎金。
讓大賽主辦方感到可惜的是,去年由于簽證問題,很多國際上非常牛的白帽黑客(比如一位韓國軍方培養的年輕黑客)報名后沒能來到上海參賽。今年的比賽增加了一場5月澳門賽。今年會圍繞智能手機、智能交通、智能穿戴、智能家居等領域進行黑客攻破。
王琦對本報記者說,本來一開始是想辦一個極端高大上的黑客比賽,推崇技術難度,但國內的安全現狀觸目驚心,有些廠商的安全漏洞很低級,太容易被利用了,國內的信息安全環境有待提升。
京公網安備 11010502049343號