隨著國內互聯網基礎設施的成熟,越來越多的基于互聯網的應用設想也日趨完善。2014年更是4G移動終端的普及元年,借此東風,各種依托于移動互聯網的應用如雨后春筍般涌現,智慧物業已經開始進入市場培育期。一時間市場涌現出數以千計的產品,在帶給用戶方便的同時,也引發了相應的安全問題。本文嘗試針對智能家居、智能安防系統安全問題做一定深度的探討。
如果沒有公眾網絡,就沒有黑客。借助公眾網絡,黑客才有機會訪問到遠程的設備,即使他們的肉眼看不到這些設備。所有的黑客都以遠程入侵未經授權的設備為成功標志,早期的黑客的動機相當單純----只是為了簡單地證明自己的技術能力,“你看,我成功地入侵了某系統,我技術厲害吧?”這些黑客做的無非是遠程篡改網頁、惡意刪除數據等等近似于“惡作劇”的行為,這些行為所造成的惡果遠遠低于當今黑客。而最近幾年,黑客的行為動機早已和利益密切掛鉤----竊取遠程用戶數據、竊取用戶銀行密碼、身份證號等等各種個人隱私數據,并依靠出賣或者使用這些數據來獲得不當的經濟利益。時至今日,在各種媒體上看到的黑客入侵導致巨額經濟損失的案例數不勝數,在這些案例中,黑客所攻陷的設備都是以電腦、手機為主。智能家居、安防系統作為互聯網終端的新接入者,同樣面臨安全方面的問題,甚至有可能會比傳統的設備更嚴重。
在現階段的市場上,比較普及的接入互聯網的設備有這幾大類
l 互聯網攝像頭、智能開關
l 智能家居控制中心
l 智能路由器
互聯網攝像頭、智能開關的網絡安全提示
由于市場上的確存在很大的遠程攝像頭需求,此類產品在3-4年前就已經開始率先進入家居安防領域。小區的公眾區域需要監控,家里的公共區域也需要監控,業主對于這些攝像頭的遠程訪問需求都成為了互聯網攝像頭的“剛需”。順應市場需要,各個攝像頭方案商都給攝像頭加入了很多貼心的功能:手機遠程訪問、高清本地錄制、遠程視頻錄制、移動偵測、入侵報警、入侵拍照。如果不考慮安全因素,目前的攝像頭的功能已經是相當地強大。
但是事情往往有兩面:便捷的背面可能就是危險。首先,遠程攝像頭都是通過設置一個密碼來校驗用戶的遠程訪問權限,由于各種原因,不少用戶選用了極為簡單的密碼,或者干脆就用廠商出廠時的默認密碼,殊不知黑客最愛的就是這類密碼,往往可以通過簡單的嗅探器窮舉攻擊(也叫字典攻擊)來獲取到他們想要的東西。對于這種情況,有一種臨時的防范方法:更改攝像頭傳輸數據的TCP端口、并盡量使用復雜的密碼。
其次,市面上眾多的攝像頭中,有相當大的部分是由小廠商生產的,我們不妨惡意地揣測:如同山寨手機,這些攝像頭在出廠前,很可能被內置了一些不明目的的惡意程序,這些程序主動將用戶所設定的密碼上傳到某處的服務器。如果真有這種內嵌的惡意程序,那前面所提到的臨時防范手段將會變得形同虛設。
當然,有矛就有盾,終極的解決方案也會存在,只要做到以下幾點,就算攝像頭內有惡意程序也不會給黑客任何可乘之機。
l 使用一個安全的“智能家居控制中心”作為攝像頭轉發設備
l 攝像頭自身不連接互聯網,只與智能家居控制中心在家庭局域網中連接
l 智能家居控制中心用攝像頭所設置好的遠程訪問賬號與攝像頭保持連接,并使用更強大的鑒權機制提供遠程訪問
從網絡安全的角度出發,智能開關和網絡攝像頭的本質是一樣的,只有采取同樣的應對措施,不難保證其安全性。
智能家居控制中心的網絡安全提示
可以簡單地認為,這個設備是家里所有智能設備的中心控制器,有了這個設備,其它的智能家居終端如:冰箱、洗衣機、窗簾、電燈、攝像頭、地暖、空調、智能插座都無需直接暴露在互聯網下。這種架構最大的好處就是:在家居的所有智能終端與互聯網之間搭建一個物理防火墻,讓智能終端的系統漏洞、預留后門都不再成為黑客攻擊的入口。其原理異常簡單----無法直接訪問到的設備是無法被攻擊的。
使用智能家居控制中心的另外一個好處也顯而易見:只需要關注一個設備的網絡安全,即這個控制中心,無需去逐個檢查分布在家里的所有不同類型的設備的安全性。
作為整個家庭的智能家居的防火墻、總接口,智能家居控制中心身上所背負的安全責任不可謂不大,如何讓它盡可能地安全并不是一件簡單的事情,可以說,這個設備的安全性是眾多經驗豐富的網絡安全工程師的心血凝聚。深圳寶路在嵌入式設備上研發多年,并投入了大量的人力物力在嵌入式設備的安全性研究上,所幸這些投入都已經初見成效,寶路的拳頭產品BR3810、BR3807這兩款設備在作為智能門禁對講機的同時承擔起智能家居控制中心的重擔。
盡管智能家居控制中心可以提供一個可信賴的物理防火墻,但是與傳統的網絡服務器相比,它所能承載的東西還是太少----畢竟,它只是一個運算、存儲能力都無法和服務器相匹敵的嵌入式設備。
京公網安備 11010502049343號