就像硬币的两面一样,物联网智能家居和黑客攻击正在经历一场长期的潮起潮落。 有这样一个真实的场景。
消费者走进一家咖啡馆,连接店内 WiFi 收发电子邮件,并登录网上银行。结果,店内的无线路由器被黑客劫持,消费者的邮箱和网银密码均被盗取。暴露给黑客。 GeekPwn全球黑客大赛创始人、上海白帽黑客团队Qizhen Keen首席执行官王琪告诉《第一财经日报》记者,国内互联网厂商的产品存在各种系统漏洞,资金和隐私面临风险。
黑客大赛的目的并不是盲目地发现各种漏洞,而是帮助厂商提高自家产品的安全性。 路由器漏洞带来的风险 19日下午,白帽黑客向本报记者演示了通过路由器获取用户网银密码的全过程。咖啡馆内的WiFi路由器由于自身存在漏洞,被黑客通过DNS解析方式劫持。
当消费者从搜索网站进入网上银行时,实际上被重定向到黑客创建的假银行镜像网站,但其域名和页面与真实银行网站不同。一模一样。当消费者输入自己的网名、账户密码时,实际上是直接以明文形式发送给黑客的。 在这个过程中,消费者并没有出现任何操作失误。
咖啡馆并不知道其路由器已被黑客劫持。主要责任归咎于路由器制造商。产品本身的安全漏洞让黑客可以轻松攻破。
王琪说,他们的团队曾经将市场上常见的路由器产品作为黑客比赛的题目,但无一例外都被参赛者攻破了。 眼下,从智能门铃到智能空调,智能家电正在占领消费者的客厅和卧室。这些设备只不过是通过 WiFi(或蓝牙)联网。
家里的无线路由器相当于各种智能家电的总网关。一旦因漏洞被黑客劫持,就意味着这些设备已经处于黑客的控制之下。
黑客攻击WiFi或无线路由器的能力有多强?一位白帽黑客向《第一财经日报》记者讲述了一个个人故事。他此前曾前往新加坡参加黑客会议。在黑客聚集的场地,他只是打开了手机的WiFi功能,并没有连接任何WiFi。
然而,他突然发现自己的手机自动连接上了上海办公室的WiFi。回到酒店后,他迅速关掉了手机,并更改了所有密码。
“用户可以尝试使用复杂的密码,并针对不同区域分别设置密码。如果你必须在公共场所连接WiFi,就不要登录网上银行,甚至不要收发电子邮件,就使用3G或4G网络。”王琪这样建议。 攻防战 在微软安全响应部门(SRC)工作了7年后,有技术出身的王奇开始自己创业,创办了黑客大赛GeekPwn。
他的初衷是通过玩家的模拟攻击来发现漏洞,帮助厂商提高互联网产品的安全性。 “微软Windows的安全性已经很强了,但各种补丁还在不断发布,可想而知,这些国内初创公司生产的软硬件设备都存在安全漏洞。”他说。 例如,用于支付的POS机越来越智能化。
以前可以连接PC,现在可以连接手机。但黑客可以利用POS机的漏洞进行重放攻击,即重放之前消费者的信息。刷卡的动作就相当于刷自己的卡花别人的钱。金钱和隐私始终是用户最敏感的神经。
幸运的是,微软安全响应部门所做的事情正在得到越来越多厂商的关注。阿里巴巴的“神盾局”、携程、京东等都在做信息安全防范工作。但后端系统漏洞被第三方监控机构发现、用户密码集体泄露等事件仍然屡见不鲜。 一位信息安全人士告诉《第一财经日报》记者,互联网公司之间的口水战非常普遍。
公关决斗只是公开对抗。雇佣黑客暗中攻击对手的后果会更严重,比如一些O2O公司。项目中,黑客可以在一分钟内下一个美甲订单,或者同时呼叫1000辆专车。 “抓住了漏洞,控制了系统,就可以轻而易举地为所欲为。
”目前,已经出现过因黑客攻击导致上市公司近一半市值瞬间消失的案例。 GeekPwn、Pwn2Own、DefConCTF等黑客竞赛的价值日益体现社会普遍性。
在GeekPwn的前两年,一些参赛者利用黑客技术控制了特斯拉汽车、无人机和其他设备。 ,引起现场一片哗然。但这些都是小众领域,而公共WiFi、移动支付、O2O、智能家居等才是应用范围更广的领域。参赛者努力寻找这些领域的漏洞,并利用黑客技术试图控制它。
去年10月举办的第二届GeekPwn大赛中,一名选手通过破解https加密获得了42万元奖金。 令大赛主办方感到遗憾的是,去年由于签证问题,很多国际知名白帽黑客(比如韩国军方培养的年轻黑客)报名后未能来到上海参赛。今年的比赛增设了5月份的澳门站比赛。
今年我们将重点关注智能手机、智能交通、智能可穿戴设备、智能家居等领域的黑客攻击。 王琪告诉记者,他本来想举办一场尊重技术难度、水平极高的黑客大赛。
然而,当前中国的安全形势却令人震惊。一些制造商存在非常低级别的安全漏洞,很容易被利用。
国内信息安全环境有待改善。