不久前,一则关于“家中摄像头突然说话”的新闻持续霸榜微博热搜。
& w z( [( D f) p# g: C
( J# l& \( D% z$ Z" D* _ 据《全球时报》报道,美国一对夫妇的Nest智能家居摄像头突然与他们说话,无论是重启电源还是修改密码都无所功用,最后联系运营商修改了网络ID才得以恢复平静。这并非网络摄像头存在安全隐患的首次信息曝光。据Hackread消息,截至今年九月,研究人员在全球范围内发现了15000个私人网络摄像头存在安全漏洞。为Wizcase工作的白帽黑客Avishai Efrat找到了来自多家制造商的外露设备,包括AXIS网络摄像头、Cisco Linksys网络摄像头、IP Camera Logo服务器、百万像素网络摄像机MOBOTIX、WebCamXP 5和Yawcam。这些摄像头已经被欧洲、美洲和亚洲多个国家的家庭用户和企业安装使用,在某些情况下,黑客可以对摄像头进行管理员访问、获取用户信息和获得位置定位。Wizcase网络安全专家Chase Williams解释说,网络摄像头制造商大量采用先进技术占领市场,但这同时也会导致开放端口缺少认证机制。目前,家居摄像头对公网开放安全导致的安全漏洞已是全世界共同面临的重要挑战:% Y" `: x: V0 b: |) {. X( e* c
常见的摄像头漏洞包括远程命令执行漏洞、任意文件读取漏洞、用户密码重置漏洞、未授权访问漏洞、登录绕过漏洞、存在隐藏后门等漏洞。
" [5 B7 d4 b( L# J% x2 }7 }这些漏洞中的任何一个都能给用户带来极大的安全风险,导致隐私信息泄漏。比如黑客可以通过漏洞直接获取用户密码配置和截图,甚至在不登录的情况下查看监控截图。9 B8 B5 u+ J: ^+ \9 R
9 K7 L b) W& o6 C4 k' U- A1 V4 L一次又一次网络设备安全问题的曝光,需要引起业界的足够重视。以往,每个人既可以主动加入网络,也可以选择切断网络;但在万物互联时代,每一个人都无法与网络无缝分割。未来,在AI等技术的助力下,物联网将具有更加强劲的发展空间,更为宽广的应用领域,这也意味着物联网将会面临更多的网络威胁和攻击。
2 c( p4 }/ h. |# f& X( z4 p目前针对物联网的攻击事件主要有以下特点:1)攻击的影响力越来越大,如发生在2016年的“美国断网”事件、“德国断网”事件,开启了物联网设备被大规模利用攻击网络的先例;2)被攻击的范围越来越宽泛,小到攻击摄像头、心脏起搏器等,大到攻击国家电网、核电站等,这些都成为了黑客攻击的目标;3)攻击的手段越来越智能和多样,如2017年10月发现的大规模僵尸网络IoTroop,该病毒已经可以智能识别设备的类型,并综合利用设备的未修复漏洞和弱口令等安全问题。 此前,较多安全研究人员在评价物联网设备安全问题为“三无”:无安全、无加固和无人值守。今天,还需要加上一条:无意识。所谓无意识,则是设备的制造方、使用方、安装方等均无安全意识,近些年由于安全事件的驱动,大型设备制造商的安全意识提高迅速,但是其他相关方的安全意识还有待提升。此外,当前仍然还有很多无安全产品在市场上泛滥。譬如,去年质检总局通过央视曝出来80%的智能摄像头存在安全缺陷,这些不合格产品中大部分是一些资质不全的小厂商生产的产品。导致物联网存在安全风险的原因较多,概括起来有如下原因: 对于整个物联网产业来说,设备的制造商、集成/安装商、用户、管理机构等,在物联网安全方面所做得工作都有所欠缺,导致目前看到的物联网中的安全问题较多。这些安全问题概括起来主要有:1)弱口令,这也是当前物联网面临的最大安全问题;2)缺乏有效的设备升级机制,当设备发现存在漏洞时,无法做到快速有效的全面升级;3)安全机制的设计上存在各种问题,如此前被诟病最多的物联网设备的密码恢复机制;4)设备由于开发、设计等原因造成的存在安全漏洞。 面对以上问题,传统做安全的研究人员可能认为业界早有针对相关问题的最佳安全实践,比如弱口令问题就使用一机一密的强口令;如果设备不升级那么就让设备自动强行升级;而对密码恢复问题,用户忘记密码,只需设计一个reset键。其实这些做法在之前传统的网络系统里确实是行之有效的实践方法,但是这些做法到了物联网里面,它就可能不再适用了。在实际落地中,大多物联网设备都是布放在海底、高寒/高温、核辐射等环境中,如果这些设备遗忘了密码,如此设计一定是不合理的。
* l0 l7 M& T* d: L/ b另外单一物联网管理员往往需要管理成千上万的设备,如果要求这些设备每个密码都是不同的强密码,这对于管理员来说绝无可能。总结来说,整个物联网设备数量巨大、分布十分广泛,而且设备形态多种多样。其实每个不同类型的设备,都应该针对不同的业务场景做不同的安全设计,以达到最佳业务实践。物联网的安全问题与传统网络中的安全问题的解决方法并不能做到完全一致,有些做法甚至会有较大的差别,而不论怎么做,其目的都是要在保证业务运转正常的前提下实现安全,安全必须跟业务进行紧耦合。另外,安全是一个系统工程,要想从技术角度保护用户隐私不被泄漏,应该遵照当前业界的最佳安全实践、各国的法律法规等对整个物联网系统进行纵深防御设计与开发,安全覆盖物联网系统的设计、开发、测试、实施、使用、管理等各个环节,任何一个环节安全的缺失或不足都会导致用户隐私被泄漏。-----招聘好基友的分割线-----
- J5 l' q; t" i ; o) {" |& d! M
% U# y5 R1 K E1 r) L* M& a招聘岗位:
+ N3 Y, F* \: S3 G+ \网络安全编辑(采编岗)
/ S% x- D B# f& D工作内容:
. P; Y* w2 v$ S- w3 `
" g5 f( _+ i; {) v4 k主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等; l3 P! Z, F1 \! }2 z! @
采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;
8 C8 w5 c; U! H% b7 {5 M7 t# R' T针对不同发布渠道,策划不同类型选题;
; Z2 A! {/ J; A3 h% t参与打理宅客频道微信公众号等。 + ?5 d" I4 L8 X5 H
岗位要求:
8 v: _( B; v; F' E- |" Y: C# W对网络安全有兴趣,有相关知识储备或从业经历更佳; 9 A6 r% v( x0 h7 W3 P
科技媒体1-2年从业经验;
4 T( U! }/ G+ S/ b: J有独立采编和撰写原创报道的能力;
9 E# W/ J# W+ B2 t* U; \加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性…… 4 l- M/ N' G& v+ \0 H
你将获得的是: ' g) m; x( A# Z$ ]! J" F. w! q
与国内外网络安全领域顶尖安全大牛聊人生的机会;
( j; F2 u: ~9 F7 M/ v国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);
( `, `" f M) l9 Z- _; H B你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻; ' n4 V b/ X0 }! _
老司机编辑手把手带; : i0 R# ]4 p! V. p/ {# |
以及与你的能力相匹配的薪水。 9 [$ H7 Y4 n) G: L, o
坐标北京,简历投递至:liqin@leiphone.com
( ^* x' Y/ ~( i; x0 {戳蓝字查看更多精彩内容+ D* c9 }3 [7 h5 q% j0 n) D
% ] c. }5 d# j; c
/ x8 H/ g% D4 b
/ U. ~6 d: X& R$ c" _
探索篇
9 o# k2 D& h6 Q) V▼0 S* ]4 l1 [ z' b) G
暗网【上】| 暗网【下】
8 n ?/ L3 A) j' _薅羊毛 | 黑客武器库| 威胁猎人8 c1 z0 o& g: h7 @" N
剁手赚钱 | 0Day攻击 | 暗黑女主播
, A0 G8 T, K0 Y9 c& B/ Y7 r踩雷 |嗑药坐牢重归正途 | 内鬼5 v: N7 ?) ]) ~/ H& |3 z
脑内植入2 |, F, j; O% m, W5 {
# l. Y3 A3 o& F$ C0 M1 O2 m: Z7 u% M) r5 ~8 N
真相篇: {( k# G6 l8 B- e( ~" q9 l% A$ d' r
▼6 F; m: p: y* _' l0 [
拼多多将追回“薅羊毛”订单,包括已充话费和Q币订单
: w. N% c" Q0 n75条笑死人的知乎神回复,用60行代码就爬完了
. H; B2 C8 k" @) F4 ]5 a
; n1 Z3 g" ]3 C不剁手也吃土?可能是挖矿木马掏空你的钱包1 f6 A5 p& ^6 {7 S' J5 X
! @+ B% z: p; q+ x4 O' a! d
游戏黑产:我还在空中跳伞,就被人用拳头远程打死
2 u0 `2 P6 S' \% ~3 D$ |' \
1 }1 E. S9 F* ^+ b; ?4 C都8012年了,英国卫生部门居然还在为“擦屁股”/ l" Q" B7 v: ~! C
5 l4 C- c) h+ v$ t
与病毒名称相似,“捏脸”游戏ZEPETO涉嫌窃听?
+ ]# ~9 \# @( w; i: C6 k7 t扎心!Tumblr推AI鉴黄计划夺老司机“珍爱”
7 h% q- ]9 c: U9 E9 c+ p5 g, m我报了个税,隐私就被扒光了?
& V" I8 h* X' O: w7 B黑客骗局:Ins网红落难记" q# \+ H' k% {9 u" q: \% k: }
0 W9 a& P% K3 G, O% ]
! ?, ^$ _+ x8 R
2 ~5 E+ c4 O* M人物篇
6 f( Z3 V+ u7 T▼& ?, T; r8 K% l; l) ^5 \
! P6 q) Z$ e+ v. l( O0 b专访:“蹲坑神器”与它背后男人们不得不说的故事
. \ U5 C" ^, P3 G, P% Z磨刀人王伟:我前期砸了两个亿做这套方案: n/ {/ d2 ?- j
白帽汇的赵武摘掉了他的“帽子”|专访. ?" l: g7 I+ m; B3 A+ V6 T7 Z
数字联盟刘晶晶:四年只做一个产品
5 E: l0 S9 p: A; W) e9 H长亭科技陈宇森:我打破的四个质疑
0 e* g0 p5 c0 B- C0 S薛锋:我眼中的威胁情报三年之变
6 [0 m" m; T4 x* K% g c& V3 |“无锁不开”女黑客——skye4 J9 E7 f, P3 j; b5 i
Y# G, ?( V0 g' U知道创宇赵伟:怼死“空气币”
5 n" r# P4 N, p- C+ \4 o李均:我眼中的黑客精神8 K0 t6 K; @2 @3 j! a5 z; A4 S
- Z/ J0 N* p- B; H* y8 k风宁:自由追风者: K$ p, `, }, U8 @) X" {' a# L
4 @8 ]! V0 S3 P. _* z- K2 x$ `更多精彩正在整理中……* `. F& I; P" n4 H
| [tr][/tr][tr][/tr][tr][/tr][tr][/tr]
--- 3 E% @" v. w% M) Y, s4 u+ w- A
“喜欢就赶紧关注我们” 5 ^2 D/ h$ a. m/ k1 x) d! I
宅客『Letshome』
4 Q1 D" E2 J7 Q p2 K' a雷锋网旗下业界报道公众号。 . S5 \7 l' }0 Q( p
专注先锋科技领域,讲述黑客背后的故事。
8 @; n& l8 f: B" j" x" o长按下图二维码并识别关注 0 Q; h! o9 d( E7 U9 a! M
 2 }: s5 S+ y/ b+ ^2 n
, ^" b) c) L( J ? \, t' a# D
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569902404&ver=1885&signature=UV-tUFRY-K-76OiAE-vhxmCSU52IfXwmNX335lRK5xDB6eH07iBUvF3CvBrNyIfEhvkjNSinWoY6As34znOt7O4PtuFXvo5DWmPeWjaRKPpyRbYgk-CoKipAYmN7D3rR&new=1
+ f2 R& `! S* c g, K4 y7 @免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-1 12:51:41
