主题研究:多数智能家居产品门户洞开,隐患重重

如果你始终关注互联网和计算机安全方面的新闻,那么听到许多智能家居系统设计不周或配置不良,导致安装这些系统的家庭面临着大量严重的安全漏洞时,你应该不会觉得太意外。 这么说恐怕小瞧您,但智能家庭确实与您想像中的完全一样(你会想到智能手机、智能电视、智能汽车等等):家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络,而家庭网络又最终连到互联网,计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统,用户能够远程监视和操控家里的各个系统。 一直以来,研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器(还有其他任何连到互联网的设备)的安全性有所置疑,这也是我始终关注的问题。最新的新闻是,AV-Test.org对7种不同的智能家居套件的安全情况进行了测试,结果发现其中4种都差强人意。 当然这7个套件只是沧海一粟,也许在统计学上来说微不足道,也不是具有代表性的取样量。但无论如何,在此次研究中发现的有漏洞的设备,可以被利用进行内部攻击(在某些情况下还可进行外部攻击),攻击目标是家庭网络及其所连设备,或者是住宅本身及其家里的东西。 国际知名安全评测组织AV-Test分析的七款智能家居套件分别是:iConnect(eSaver)、tapHome(EUROiSTYLE)、Elements(集怡嘉)、iComfort(REV Ritter)、Smart Home(RWE)、QIVICON(德国电信)和XAVAX MAX!(Hama)。AV-Test发现,其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞,这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件,这两款套件能被远程入侵(同时也能被本地入侵)。 每种产品都有一组不同的功能。但总体来说,这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。 广义上来说,攻击者能够操控连接的系统来达到破坏的目的(比如,关闭供暖,使管道在冬季破裂)。 因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。 然而,大多数黑客犯罪分子的目标是金钱。因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是,不安全的设备被入侵后,可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁,从而更轻松地实施盗窃。AV-Test注意到,有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用,否则整个住宅都会停止工作。 AV-Test重点研究了设备之间的通信是否加密,默认情况下套件是否要求主动认证(网络或物理访问密码)以及易受远程攻击的难易程度。 Gigaset、RWE和QIVICON产品的通信都始终加密,因此被AV-Test视为是安全产品。iConnects的通信虽然也加密,但AV-Test表示,此套件的加密很容易被绕过。根据研究中的观察结果,其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。 未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信,骗取代码来操控设备活动,甚至只监视这些设备就能推断出家里有没有人。 未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。 iComfort产品完全不要求认证,这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证,但对本地物理接入不要求认证。tapHome要求内部认证,但据研究显示,这种措施其实毫无作用,因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证(安全通信除外)。 但好消息是:AV-Test认为,如果这些产品制造商花些时间来开发可靠的安全理念,而不是将有缺陷的产品急不可耐地上市销售,那么打造一个安全的智能家居系统完全是可能的。另一个好消息是:AV-Test为您购买智能家居系统提供了挑选标准:请挑选总是要求认证,并且始终加密通信的系统。

如果你始终关注互联网和计算机安全方面的新闻,那么听到许多智能家居系统设计不周或配置不良,导致安装这些系统的家庭面临着大量严重的安全漏洞时,你应该不会觉得太意外。

这么说恐怕小瞧您,但智能家庭确实与您想像中的完全一样(你会想到智能手机、智能电视、智能汽车等等):家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络,而家庭网络又最终连到互联网,计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统,用户能够远程监视和操控家里的各个系统。

一直以来,研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器(还有其他任何连到互联网的设备)的安全性有所置疑,这也是我始终关注的问题。最新的新闻是,AV-Test.org对7种不同的智能家居套件的安全情况进行了测试,结果发现其中4种都差强人意。

当然这7个套件只是沧海一粟,也许在统计学上来说微不足道,也不是具有代表性的取样量。但无论如何,在此次研究中发现的有漏洞的设备,可以被利用进行内部攻击(在某些情况下还可进行外部攻击),攻击目标是家庭网络及其所连设备,或者是住宅本身及其家里的东西。

国际知名安全评测组织AV-Test分析的七款智能家居套件分别是:iConnect(eSaver)、tapHome(EUROiSTYLE)、Elements(集怡嘉)、iComfort(REV Ritter)、Smart Home(RWE)、QIVICON(德国电信)和XAVAX MAX!(Hama)。AV-Test发现,其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞,这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件,这两款套件能被远程入侵(同时也能被本地入侵)。

每种产品都有一组不同的功能。但总体来说,这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。

广义上来说,攻击者能够操控连接的系统来达到破坏的目的(比如,关闭供暖,使管道在冬季破裂)。

因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。

然而,大多数黑客犯罪分子的目标是金钱。因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是,不安全的设备被入侵后,可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁,从而更轻松地实施盗窃。AV-Test注意到,有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用,否则整个住宅都会停止工作。

AV-Test重点研究了设备之间的通信是否加密,默认情况下套件是否要求主动认证(网络或物理访问密码)以及易受远程攻击的难易程度。

Gigaset、RWE和QIVICON产品的通信都始终加密,因此被AV-Test视为是安全产品。iConnects的通信虽然也加密,但AV-Test表示,此套件的加密很容易被绕过。根据研究中的观察结果,其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。

未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信,骗取代码来操控设备活动,甚至只监视这些设备就能推断出家里有没有人。

未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。

iComfort产品完全不要求认证,这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证,但对本地物理接入不要求认证。tapHome要求内部认证,但据研究显示,这种措施其实毫无作用,因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证(安全通信除外)。

但好消息是:AV-Test认为,如果这些产品制造商花些时间来开发可靠的安全理念,而不是将有缺陷的产品急不可耐地上市销售,那么打造一个安全的智能家居系统完全是可能的。另一个好消息是:AV-Test为您购买智能家居系统提供了挑选标准:请挑选总是要求认证,并且始终加密通信的系统。

一周要闻:POS终端安全堪忧

新的研究表明,销售点终端机的安全性不佳,易受日益复杂威胁的攻击;本月第二个星期二是补丁日,所有常用软件供应商都将在这天提供安全补丁;美国热门的短网址服务商Bitly承认受到不明攻击,用户数据外泄。 POS机 销售端(简称POS机)只是收银机的另一种叫法。当然,我们在此没打算讨论旧式的那种”叮叮”作响的收银机。我们要谈的是能够存储并传输付款信息的联网电子销售终端。目前,几乎所有零售场所或餐厅都安装有POS系统,支持客户直接刷借记卡或信用卡。但遗憾的是,最新的报告发现,众多用户常用于付费的POS系统正受到大量日趋复杂的攻击。更糟糕的是,其中多数POS系统在安全防御方面差强人意。 实际上出人意料的还不止于此,想想吧,在一台有漏洞的POS机上处理过一笔交易后,交易中涉及的任何信用卡或借记卡的全部相关付款信息都可能会泄露。 Bitly本周受到攻击导致数据外泄,该公司敦促用户更改密码。POS机系统安全堪忧。在周二补丁日,微软发布了多个补丁。 最近,网络监测公司Arbor Networks发布的一份报告中,列出了至少五个专用于攻击POS系统不同恶意软件。此外,Verizon发布的《数据泄露调查报告》指出,2013年发生的不同POS机入侵事件达198起。另外还有大家知道的,近期Target、美国精品百货店内曼•马库斯(Neiman Marcus)、美国最大的工艺品连锁店Michael’s及其他零售商频频受到的攻击全部属于POS攻击,都导致了大量消费者数据外泄。 对此,你能做些什么呢?你可能会毁了所有信用卡和借记卡,在这次波及整个”互联网”的风波过去之前只用现金付费。但这是非常极端的做法。您应该采取的行动是关注相关新闻,一旦知道光顾过的公司发生数据外泄事件,即刻采取相应行动。您需要检查信用卡或借记卡余额,确保没有可疑交易,也可以联系银行取消所有可能资料外泄的卡,并换用新卡。 Bitly被攻击 美国受欢迎的短网址服务商Bitly上周晚些时候受到攻击,导致数据外泄。如果你持有或之前有过Bitly帐户,应该考虑帐户密码很可能外泄。该公司认为用户的帐户并没有危险,但尽管如此,公司仍敦促客户更改密码。Bitly还宣布说,为了防范日后再发生此类数据泄露事件,公司将实施双重认证。 我也同样希望持有Bitly帐户的用户赶紧更改密码。如果碰巧对其他帐户也用了同一密码,则这些帐户的密码也须一并更改。这就是为什么我一直告诫说不要多个帐户使用同一密码。 最后要指出的是,Bitly支持用户通过Facebook和Twitter帐户链接到Bitly帐户。这种做法存在一定问题 - 入侵了Bitly帐户的攻击者很可能会入侵相应的社交帐户。对此Bitly非常明智地将所有相关连接设定无效。如果要重新连接帐户,用户得重新对这些连接进行认证。但麻烦的是,用户还须更改曾通过Bitly链接的所有社交帐户的密码。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。 周二补丁日 简要地说,本周就是周二补丁日,Adobe和微软都为自己用途广泛的产品发布了补丁,同时发布补丁的还有Google Chrome。微软发布了8个安全公告,其中有两个的安全等级属于”高危”,这8个补丁修复了Internet Explorer网络浏览器中的13个安全漏洞,同时还修复了其他微软软件中的多个漏洞。Adobe修复了Reader、Acrobat和Flash Player中的一些严重漏洞。Google则修复了Chrome浏览器中3个高安全等级的漏洞(Google为发现并报告这些漏洞的研究人员支付了4500美元)。 就我们讨论的这个话题,用户几乎不可能对其专业细节穷根究底,所以在此我们不妨提一下,Linux内核中有5年历史的漏洞已发布补丁,另外部分日本横河电机的工业基础设施设备也有若干补丁发布。 另请确保微软和Adobe软件以及Chrome浏览器全部升级到最新版本。此外,还应检查日本横河系统和Linux发行版,确定是否未更新。

提示