摧毀一座智慧城市有多容易?

責(zé)任編輯：editor004 作者：nana |來(lái)源：企業(yè)網(wǎng)D1Net 2015-08-18 21:11:59 本文摘自：安全牛

智慧城市什么時(shí)候會(huì)變得不那么智慧?全球范圍內(nèi)各大城市爭(zhēng)相采用能使諸如交通控制和街道照明之類服務(wù)自動(dòng)化的技術(shù)，但其中大部分城市卻在保護(hù)這些設(shè)施或服務(wù)不受網(wǎng)絡(luò)攻擊上欠缺良多。

摧毀一座智慧城市有多容易?

以上言論出自曾攻入許多城市基礎(chǔ)設(shè)施的安全研究員之口。從先進(jìn)交通管理系統(tǒng)到電網(wǎng)，無(wú)一不被他們扒開面紗一探究竟，試圖找出漏洞和弱點(diǎn)。

其中一位研究員名為愷撒·塞魯多，來(lái)自位于西雅圖的安全咨詢公司IOActive實(shí)驗(yàn)室。受《虎膽龍威4》里黑客隨心所欲切換紅綠燈的啟發(fā)，塞魯多決定嘗試看看自己能不能對(duì)世界上在用的智能交通控制系統(tǒng)做出同樣的事。他發(fā)現(xiàn)這些設(shè)備根本沒用任何加密或身份驗(yàn)證措施，可以直接控制空中飛過(guò)的無(wú)人機(jī)向傳感器饋送虛假數(shù)據(jù)。

塞魯多對(duì)自己的發(fā)現(xiàn)大為觸動(dòng)，與其他人一起發(fā)起了一場(chǎng)“保衛(wèi)智慧城市”的行動(dòng)，打算將政府、安全公司和科技公司聯(lián)合起來(lái)，共同對(duì)抗針對(duì)智慧城市的網(wǎng)絡(luò)攻擊。

“我們的主旨是生成資源，讓城市能夠在整合技術(shù)的同時(shí)保證所用技術(shù)本身是安全的，且是按照安全規(guī)程部署的。”他說(shuō)，“我從我的研究中看到的，是大多數(shù)城市的政府部門在評(píng)估技術(shù)時(shí)，往往只注重功能性，而不考慮安全性。”

一場(chǎng)針對(duì)城市的網(wǎng)絡(luò)攻擊能帶來(lái)多大的破壞呢?與有統(tǒng)一的領(lǐng)導(dǎo)和策略的公司不同，城市分屬于零散的公共和私有組織，使得防御網(wǎng)絡(luò)攻擊要困難上許多。

黑客可以鎖定多個(gè)層級(jí)，從攻入官員郵箱賬號(hào)到染指下水道井蓋下的電纜，到瞄準(zhǔn)你的家。

紐約西點(diǎn)軍校的美國(guó)陸軍網(wǎng)絡(luò)研究所主任格雷格·康迪說(shuō)：“復(fù)雜度簡(jiǎn)直超乎想象。”他的研究表明，在應(yīng)對(duì)可能的攻擊上，各個(gè)城市之間差別很大。

他說(shuō)道，大約100萬(wàn)人口的中型城市是“甜區(qū)”，更小的城市資源不足，更大的城市則又太過(guò)復(fù)雜難控制。

塞魯多認(rèn)為，最壞的情況，是黑客切斷了電網(wǎng)。盡管不是出于惡意，他指出了2003年影響了美國(guó)東北部的那次大停電作為例子。那次停電導(dǎo)致1千萬(wàn)人無(wú)電可用，由此引發(fā)的火災(zāi)和事故令10人喪生，而這一切，僅僅是因?yàn)橐粋€(gè)軟件漏洞。

另一種方式，是通過(guò)操縱智能電表令城市的某個(gè)地區(qū)斷電。塞魯多設(shè)想了一個(gè)場(chǎng)景：黑客控制了智能電網(wǎng)，以此作為要挾，要求市政支付贖金才肯恢復(fù)供電。

供水系統(tǒng)也是目標(biāo)之一。去年，一個(gè)中國(guó)黑客團(tuán)伙就因入侵美國(guó)某市的水控系統(tǒng)而被抓。幸運(yùn)的是，這個(gè)系統(tǒng)并非真正的控制系統(tǒng)，而只是用來(lái)引誘黑客的‘蜜罐’。但此事也清楚表明黑客們真是相當(dāng)積極地尋找此類系統(tǒng)的漏洞和弱點(diǎn)。

我們?cè)撛鯓恿钪腔鄢鞘懈踩?康迪說(shuō)，我們需要的是一個(gè)針對(duì)網(wǎng)絡(luò)安全的全盤計(jì)劃。他認(rèn)為，城市在網(wǎng)絡(luò)防御方面應(yīng)該向大型公司取經(jīng)，市政領(lǐng)導(dǎo)應(yīng)當(dāng)委任一位首席信息安全官并賦予他適當(dāng)?shù)穆殭?quán)。拉斯維加斯黑帽大會(huì)上，康迪及其同事湯姆·克洛斯和戴維·雷蒙德向奮戰(zhàn)在信息安全領(lǐng)域的其他人簡(jiǎn)短報(bào)告了智慧城市面臨的安全挑戰(zhàn)。

另一個(gè)問(wèn)題是，向城市出售技術(shù)的很多公司都是軟件產(chǎn)業(yè)的新面孔。盡管著名軟件公司擁有恰當(dāng)?shù)陌踩珯C(jī)制，一些最新聯(lián)網(wǎng)設(shè)備制造商卻不愿讓塞魯多和其他人測(cè)試他們的產(chǎn)品。

塞魯多說(shuō)：“他們生產(chǎn)的設(shè)備不安全，因?yàn)樗麄兙蜎]有這方面的知識(shí)儲(chǔ)備。”

塞魯多認(rèn)為，城市需要對(duì)網(wǎng)絡(luò)攻擊響應(yīng)進(jìn)行規(guī)劃，就像對(duì)地震或是其他自然災(zāi)害制訂預(yù)案那樣。

他還認(rèn)為市民也應(yīng)該更多地參與進(jìn)來(lái)：安全研究員可以指出弱點(diǎn)，但市民有責(zé)任了解威脅狀況并要求官方采取行動(dòng)。“群眾應(yīng)該開始向政府和公司投訴，這樣他們才會(huì)開始著手處理。如果每個(gè)人都沉默，情況就不會(huì)好轉(zhuǎn)。”

目前為止，塞魯多有自信研究員們是搶在壞分子前頭的?？档蟿t不那么確定這一點(diǎn)。

“如果你能在低端找到個(gè)體做出有大影響的事，更大更具能量的組織又能做到何種程度呢?”

原文地址：http://www.aqniu.com/neo-points/9636.html

關(guān)鍵字：IOActive 城市基礎(chǔ)設(shè)施