“多则生危”:我们是如何从物联网中找出漏洞的
一年前,我们的同事David Jacoby(GReAT团队的安全研究专家)成功黑客入侵了自己家中的各种设备,同时还有很多有趣的发现。许多卡巴斯基实验室员工深受David试验的鼓舞,纷纷跃跃欲试,在自己家中展开相同的试验。
33 文章
一年前,我们的同事David Jacoby(GReAT团队的安全研究专家)成功黑客入侵了自己家中的各种设备,同时还有很多有趣的发现。许多卡巴斯基实验室员工深受David试验的鼓舞,纷纷跃跃欲试,在自己家中展开相同的试验。
每当看到那些生产普通电子产品的非垂直整合科技制造商因听到有关苹果即将进军另一个产品类别的传闻而紧张不安的时候,总是让人感到非常有趣。这些公司无一例外都缺乏自己的平台以及用户体验。此外,这些公司还总是想通过闭门造车力图赶上那些永远引领科技最前沿的公司,但往往事与愿违,最终以失败而告终。在这里请原谅我开玩笑式的幸灾乐祸。 Apple Watch正是其中最典型的一个例子:一听说苹果即将发布Apple Watch,包括三星和阿尔卡特在内的众多高科技公司立即放下手上的一切工作,匆忙地赶制出一些半成品的所谓”智能手表”。有时候,在苹果发布新产品之前,往往这些公司早已推出了第二代甚至第三代的类似产品,尽管可能外观看上去非常精美,但实际上却充满了各种漏洞和缺陷。 就这一点而言,我不得不提到在2015世界移动通信大会上所发布的两款智能手表:LG Urbane LTE和Huawei Watch。这两款智能手表均获得了极大的关注度和极高的评价。有些人甚至评价后者为外形最精致的安卓可穿戴设备。可惜的是,单从设计角度而言这两款产品可谓彻头彻尾的失败作品。 人们总是最先会关注到外表,但设计并非只是外表好看而已,还需要考虑到戴上后的感受以及感知,还有就是人机交互的功能。如果从这个角度看Huawei Watch的话,再考虑到所有安卓可穿戴设备的潜在问题,你就会立即发现其中存在众多的缺陷。 苹果公司设计师乔纳森·伊夫于近期向消费者阐述了自己的观点,圆形屏幕并非是最理想的用户界面形状,因为许多屏幕空间会因此而被浪费。可能的解决方案则是将选择项目放大,就如同Dock工具栏在Mac OS X系统内的工作方式。但1)Google的材质设计避开了拟物化设计;2)这一解决方案将无法适用于其它许多场合,例如:显示带二维码的登机牌。 LG的Urbane智能手表的设计则要合理许多,除了部署了网络操作系统资源,同样也采用了圆形用户界面,但看上去似乎经过了一番深思熟虑并针对特殊硬件进行了适当调整。但可惜的是,类似于发短信和打电话的功能在圆形屏幕上依然看着有些变扭。为什么有人在智能手表上需要有蜂窝网络连接功能呢?Omate还是其它设备?原装电池的电量似乎也不足以长时间使用这些功能。 这两款智能手表均存在重大缺陷:设计得过于中规中矩,毫无智能亮点。过于突出的边缘以及又长又厚的表带看上去感觉过于男性化,让人无法将注意力放在屏幕显示上!作为一款智能手表,屏幕显示的功能才是其核心所在。 有些评论家以下面的Huawei Watch图片作为证据,说明相比Moto 360而言其外观要酷得多。但于我而言,这却是一个反面的证据:摩托罗拉的设计师显然更为出色,因为他们对于何谓”智能手表”有着自己更深层次的理解。但苹果却拥有更为顶尖的设计师,他们”无情地”将所有不适用该产品特性的元素全部摒弃。 目前所有安卓可穿戴设备以及其它智能手表产品似乎是专为那些极客而量身定制的,这类人根本无需了解产品的价值、功能以及该产品类别的潜力。似乎苹果将再一次在整个市场上掀起营销风暴,小心翼翼并耐心地将其产品推广给普通消费者,从而大幅拓展其目标市场。苹果将因此收益颇多:就算苹果最终只获得了10%的市场占有率,但就这10%的消费者将能为苹果带来超过50%的利润。 而对于普通消费者来说也有好的地方,他们并不会对售价仅为19.99美元的电子产品抱有太大的功能期望。他们一直会等到相关功能技术都成熟以后才会出手购买,例如:工作出色、整体体验良好以及日常使用方便等。在其它方面,还可能将LTE技术引入智能手表:事实上还是有些为时尚早,主要是考虑到现有蜂窝网络的覆盖密度以及智能手表电池的技术水平。WiFi是最佳的折中解决方案,Google已在研究中,预计下一次对安卓可穿戴设备进行更新升级时会将WiFi功能加入其中。 然而,这并不是意味着蜂窝模块就永远也不会出现在Apple Watch上。恰恰相反,苹果习惯于将每一种新产品类别与另一种功能更为强大的产品类别相连接,随后再逐步分离,这方面早已有成功的过往案例。起先,消费者必须有一台拥有成熟操作系统的个人电脑,才能拥有并使用一款便携式的苹果设备。目前,无论是iPod touch、iPhone还是iPad只需在iCloud的帮助下,即可完全独立开启、设置和运行。 对于那些以浏览内容为主的用户而言,iPad早已成为了苹果笔记本电脑完美的替代品。苹果并不担心Apple Watch会冲击到苹果其它产品的销量,因为Apple Watch总有一天会演变成为一款”独立自主”的解决方案,超越iPhone甚至完全取而代之。苹果产品的演变路径:个人电脑->移动设备->可穿戴设备。 而可穿戴设备何尝不是通往”生物技术大门”的一个中转站呢。生物技术作为一项产业,显然将在提高全球人类生活质量方面超越IT行业,让某些人和企业变得非常非常的富有。目前成套的内置传感器以及开放ResearchKit源代码的举措表明了苹果已经明白这一未来趋势即将来临,而在即将到来的科技变革面前每一家科技公司的机会都是均等的。
世界移动通信大会(MWC)总是能让那些关心安全问题的参观者和与会者满意而归。由于是全球移动通信协会(GSMA)举办的大会,因此将安全问题考虑在内是再自然不过的事情了。今年举办的MWC 2015展会也毫不例外,再一次将安全问题作为此次展会的主要主题内容。接下来我将带你们一同领略卡巴斯基实验室在本次展会中所发现的几大安全领域趋势。 趋势1:物联网的安全 在卡巴斯基每日中文博客中,我们会定期写一些有关意想不到的存在漏洞联网设备的文章,原因只是因为有太多的家用电器或电子设备即将被联网:从电冰箱、咖啡机、智能电视机和微波炉到智能健身手环以及其它各种可穿戴设备无所不包,甚至还有遥控飞机。大量的家用电器被联网将造成许多令人意想不到的结果。不幸的是,大多数相关制造商和开发商对物联网安全领域几乎一无所知,缺乏基础的经验。 在反对这一问题的草率态度上,卡巴斯基实验室并非”孤军奋战”:在MWC展会上,许多人也提出了与联网设备保护有关的同样问题。这是一个令人振奋的消息:无论是用户还是开发商越快发现这个问题的严重程度,我们也能越快找到保护联网设备安全的方法。 趋势2:加密手机 在过去的两年里,发生了大量数据外泄事件以及其它”黑客入侵”全球窃听信息的事件,这些事件的幕后黑手包括:政府组织、黑客小组甚至你邻居家的孩子。所有这些新闻让人们对于安全和隐私通讯有了更迫切需求。这也让市场催生出经过严格加密的手机(也许你没有注意到,去年夏天我们曾发布了一篇针对加密手机的详细评论文章)。 在今年的MWC展会上,Silent Circle发布了全新的升级版Blackphone 2和Blackphone Plus —一款以安全为核心功能的平板电脑。两款移动设备均运行PrivatOS操作系统,并配备有不同的安全功能,还加入了一项新的功能:能让用户针对应用程序、数据和账户创建不同独立’空间’的空间虚拟化系统。这就如同一台设备内存放了多台独立智能手机。 巴西公司Sikur也推出了另一款重点考虑安全问题的解决方案,叫做”GranitePhone”。开发者显然走了极端路线:GranitePhone操作系统内没有安装任何浏览器,也无法访问手机摄像头,同时用户也不被允许安装任何其它的应用程序。GranitePhone可以用来发送和接受电邮和短信、打电话以及浏览文档等。 只有在两部GranitePhone之间或与运行公司软件的iOS/安卓移动设备通讯时,才能启用加密通讯。你也可以打电话给其它的手机,但却无法进行加密。正如你所看到的,这并不是一部通用的设备,但却是第二部主要用于处理敏感数据的手机。 还有一款在MWC展会上推出的加密手机叫做”LockPhone”。和另一款LockTab平板电脑一样,都是来自中国香港。采用1024位设备加密保护措施,在打电话、发短信以及发电邮时都能启用加密通讯(但必须是在两部LockPhone之间进行)。我们不清楚为什么开发商将这两部移动设备称为”首款加密的智能手机和平板电脑”,当然这并不是事实。 趋势3:生物识别 作为全球最大的智能手机芯片制造商,高通也在MWC 2015展会上发布了重大生物识别创新技术。其指纹识别技术不再只是基于视觉或电容式传感器。相反,高通采用了一项全新的技术,通过超声波对你的手指表面进行3D图像扫描。 有充分的理由让我们相信这一创新技术的前途将一片光明。首先,它是通过玻璃、铝、不锈钢、蓝宝石和塑料读取你的指纹。从理论上说,制造商完全能够将传感器装到手机或平板电脑的任何位置。 https://instagram.com/p/zuSbwYw5mo/ 其次,高通还承诺新的传感器的工作速度更快且更加精确,几乎不会有读取失败的情况发生。值得注意的是,快速的指纹识别功能使得这一技术能够扫描动态图片并通过检测脉搏来区分手指的真伪。除此之外,就算手指有点干或有些湿的时候,全新的ultrasonic传感器也能正常识别。 就目前而言,还没有任何一款移动设备装备有全新的高通传感器,但毫无疑问我们将能在不久的将来看到。 一些好消息也带给了三星移动设备的疯狂拥护者:公司最终决定做一个全新的指纹传感器。Galaxy S6和Galaxy S6 Edge采用了无需手滑的全新装置。就像iPhone手机一样,只需触摸传感器即可开始使用设备。 趋势4:追踪孩子位置 有许多公司也推出了针对孩子安全的解决方案,其中即包括了一些孩子追踪设备。无论是软件解决方案还是单独的追踪设备均有助于家中监视孩子当前所在位置。 在MWC 2015展会上,卡巴斯基实验室推出了一款beta版的多功能移动应用程序-
尽管每年少有引人注目的移动新设备在世界移动通信大会上发布,但我们依然能够寻觅到许多即将推出市场的最新高科技移动设备的踪影。在短短的几天时间里,我们在展会上看遍并试玩了各种最新高科技手机、手表和其它令人惊呼的移动设备。下面我们将为您介绍MWC 2015(2015年世界移动通信大会)上最令人感兴趣的几款移动设备。 三星Galaxy S6和S6 Edge 三星最新旗舰手机着实令人眼前一亮,全部采用金属和玻璃材质打造而成,毫无半点塑料成分—是Galaxy S系列诞生以来的第一次!无论是外观还是触感都与以往Galaxy系列截然不同。另外作为三星旗舰机型Galaxy S6的升级版本,Galaxy S6 Edge此次采用了可弯曲屏幕。这一全新加入的设计特色似乎只是为了吸引眼球:实际用途几乎很小,但外观看上去却极具未来风格。 此外,内部硬件也是全新的。多年以来,三星习惯于在其主要机型内安装高通骁龙芯片组。三星Exynos仅集成入该系列手机,专为一些本地市场而生产。现在一切都改变了,Galaxy S6和S6 Edge机型均配备有最新的64位芯片组Exynos,采用最尖端的半导体技术在三星自己的工厂生产而成。 三星总是无法抑制对于升级摄像头的热衷,此次又在这方面大力投入:内置光学图像稳定系统的1600万像素后置摄像头,以及500万像素的前置摄像头,并都采用了f/1.9大光圈。相比于现有其它品牌的智能手机而言,更容易在昏暗光线条件下拍出好的照片。 home键内置全新指纹传感器,因此解屏时无需再用手指滑动屏幕,只需触摸传感器即可—就像iPhone一样。此外,三星还在该系列机型集成入针对免触支付所采用三星支付系统的支持功能。 缺点方面:无论是S6还是S6 edge的电池均无法移除。防水功能不再,也没有了微型SD卡插槽。四倍高清(2560×1440)显示分辨率对于5.1英寸屏幕而言似乎有些大材小用。但无论如何,最新的三星智能手机的确给参观者留下了深刻的印象。 HTC One M9 HTC的旗舰机型- One M8在去年可谓风光无限:时尚的外观、强大的功能再加上高品质显示屏和最出色的内置扬声器。但该机型的主要缺点是其摄像头采用了UltraPixel技术(落后于同一级别的竞争对手)。在设计最新One M9时,这一问题得以解决:该款机型完美搭载了高达2000万像素的后置摄像头。而前置摄像头依然采用了UltraPixel技术,这并没有什么不妥。 采用八核高通骁龙810处理器和高达1920×1080像素的5英寸显示屏,这让所有人都相信这款手机将运行飞快。但至少要等到HTC厂商能解决手机过热问题才能给出更高评价。 由于One 8的外观设计辨识度极高且获得广泛赞誉,因此正在研发中的One 9机型据说只是对外观稍做了一些改动。 HTC Vive耳机
有一天醒来我发现手上的多了一片创可贴,贴在了我的拇指和食指之间的一个小伤口上。那是我前一天参加跆拳道比赛时留下的伤口。前一天我去哪儿了,在我身上到底发生了什么? 慢慢地,一连串的画面在我的脑中一一浮现:闪光灯、观众的欢呼声、刺鼻的防腐剂味道以及手持特殊注射器的纹身男。 “好吧,再没有任何退路了。你不是想改变这个世界吗,就去做吧!”我这样想着。我最终在短短的几分钟内将NFC生物芯片植入到我的皮肤下面。 没错,这些完全是好莱坞式的电影情节: 但在现实中,远没有那么酷和简单,这是我在此次试验中最先体会到的。为了植入芯片,你需要一支3毫米粗针管的特殊注射器。比医用常规针管要粗得多。 在这过程中不使用任何麻醉剂。注射师给了我一个灿烂的微笑并说了些 “如果你能握紧拳头的话就不会感觉痛。让我们开始吧!”诸如此类的话。当我还在努力理解注射师所说的这些话的时候,我发现注射针管已经扎进了我的手。我好像听到了钢制针管在我皮肤下注射的声音。 整个注射过程仅用了5秒钟都不到。其疼痛感就相当于抽血化验的感觉—手指、血管和屁股同时产生疼痛。所以下一次的话,最好还是进行局部的麻醉(起码喷雾麻醉)为妙。 不错,下次必须使用麻醉剂。显然,与芯片植入技术有关的问题不计其数,如果都写在纸上的话,拼起来的话将比整个银河系的面积还要大。为了解决其中大多数的问题,我们将需要开发新一代的芯片,但必须要基于早期接受者的反馈才能不断更新升级。 为那些非专业领域人士以及第一次听说的人准备的补充说明:就在几天前,在SAS2015峰会上我们将来自全球最顶尖的安全信息专家、领导者以及数名卡巴斯基实验室员工聚集到一起,共同参与皮肤下植入芯片的试验。 一同参与试验的还有两名志愿者:我自己和卡巴斯基实验室欧洲人事部主管Povel Torudd。Povel Torudd是瑞典人,但目前居住在伦敦。 这到底是一块什么样的芯片呢?它是一个极小的(大小仅为12 x 2毫米)微型装置,最多可储存880字节内容,一旦植入后能与周边高科技设备进行交互作用,包括智能手机及其应用程序、笔记本电脑、电子锁、公共交通进入闸道以及各类物联网世界的例子。所有交互过程均采用无线技术,触摸即可启动。 正如往常一样,’植入芯片’的主意是大家在酒吧一边喝酒一边讨论互联网发展的时候定下来的。 从某种意义上说,我可能是第一个受大型机构资助的俄罗斯人生控体,该机构与本次试验的结果有着直接的利益关系。 我和Povel是在SAS2015峰会之前3个月才决定参加’芯片植入’试验的。还是在酒吧:我们坐在一起一边喝着啤酒,一边讨论着互联网的发展。谈论的话题包括:互联网的显著优势以及诸如技术陈旧的一大堆互联网缺点,而陈旧的技术之所以还在使用的原因可以引用尼尔•斯蒂芬森在其《编码宝典》科幻小说中一句最经典的台词’摩多不是那么容易进去的’: 道理很简单,老的技术通常已为大多数人所熟知和了解,且上手操作简单;此外所有目前的电子和软件技术在现有框架内建立和测试。在取得成功的同时,公司的利润空间也已被压缩得很小以至于只有采用量子学技术才能计算出来,而一旦新开发技术发生与老技术不兼容的问题,你的公司将立即被打回原型。 举个例子来说,我们长期以来都使用密码认证的方法,关于所存在的缺陷,所有信息安全行业业内人士都已达成了共识。 在酒吧我们一直畅聊到了深夜,最终做出了这个决定。我们认为现在到了表明立场以及改变世界向更美好方向发展的时候了,而且是以一种激进和大众时尚的方式来展示属于我们自己的创新(假设不会受到所谓30年更新循环期的影响)。并没有任何人强迫或要求我们将芯片植入体内,同样参加此次试验也是毫无报酬和自愿的。 对于生物体与计算机之间的协同效应我深表关切–未来不可避免将面对–这将使仿生学成为高科技的一个分支。问题在于许多现代技术在开发时,不可避免地都疏忽了安全和隐私方面的问题。 这样的例子举不胜数:卡巴斯基实验室欧洲研究人员David Jacoby只花了极短的时间就成功入侵了自己的智能家庭。 然而,一台联网的咖啡机或智能电视根本无法与人类生物体相提并论。我对参与该试验志愿者的要求有两个:一是能够了解该技术的优点,二是能发现其缺点和漏洞。随后通过将一些相关保护方法概念化后,在有生之年将其开发成形。 目前最紧要的工作是如何避免我们的后代成为仿生网络犯罪分子手下的受害者—这样的事情迟早将会发生,统计数据将会告诉我们一切。 从理论上说,大范围应用体内植入芯片依然至停留在想象的阶段。未来不仅可能会被用于打开办公室和家里的大门以及车门,还可管理数字钱包以及无需密码的情况下开启设备(芯片本身可以作为标识符使用)。如果高科技继续高速发展的话,密码保护方法将很快消亡。 此外,植入芯片也可用于重要个人数据的加密存储器,包括:医疗记录、个人档案以及护照资料等内容。其好处不言而喻,一旦这些信息被泄露的话,你就能知道是谁在什么时间以及因为什么原因访问了这些内容–当然是为了个人隐私考虑。 对于我自己来说,还确定了本次试验的五大目标:
最近,有关物联网的话题在IT业界火热讨论中。一下子好像所有东西都应该被联网:冰箱、咖啡机、电视机、微波炉、健身智能手环以及无人飞机。但这些东西也仅仅也只是冰山的一角。 物联网是因为在线社区网络的独特性才得以获得如此高的关注度,而一旦有消费性电子产品加入物联网必定会遭到媒体连篇累牍的报道。但在现实生活中,加入物联网的不仅仅只是家用电器。 有大批家用电器可能会被联网–其中有一些 – 联网根本毫无必要。大部分消费者几乎很少能想到一旦智能连接的家用电器遭黑客攻击的话,其危害程度远胜于个人电脑。 在《卡巴斯基每日中文博客》中我们定期会刊登有关一些让人意想不到的存在漏洞连接设备的文章。而David Jacobi在各大信息安全会议上所发表的关于他如何黑客入侵自己智能家庭的风趣演讲,一如既往给现场观众带来欢笑声以及随之而来佩服的掌声。 来自Laconicly公司的Billy Rios也带来了另一个有关黑客入侵洗车场的生动有趣的例子。洗车场。大家都知道,使用巨大刷子和泡沫洗车的地方。如今的洗车场也拥有了联网的智能控制系统,因而易于遭受远程黑客入侵。 一旦成功入侵,黑客就能获得有关洗车场运行各个方面的全方位控制。网络犯罪分子几乎可以为所欲为,包括获得免费服务。其原因在于车主账户有权访问多种工具,其中就包括支付系统。黑客通过获取出入口的控制权从而控制在洗车场内清洗的整辆汽车。此外,这还可能会破坏洗车场或损毁车辆,原因在于洗车设施内装备有大量移动组件和功率强大的发动机。 还有什么别的东西可以黑客入侵的吗?当然,只要你想得到的都可以!例如,在2015年安全分析专家峰会(SAS 2015)上,来自卡巴斯基实验室的安全专家Vasilis Hiuorios就报告了他对于警方监视系统的黑客入侵。而警方原以为定向天线足以确保通讯的安全。 如果说警方也如此粗心大意任由黑客入侵他们的网络和设备的话,那联网器件制造厂商的安全意识更令人担忧。来自卡巴斯基的另一名专家Roman Unuchek也在SAS 2015峰会上展示了如何对一款健身智能手环黑客入侵:在一连串的简单操作后,任何人都可以与健身智能手环相连,并下载有关手环所有者位置跟踪的信息。 总而言之,问题的关键在于那些开发和生产联网家用电器的厂商所面对的是一无所知的全新世界。他们最终发现自己面临的形势就好比是篮球运动员参加象棋比赛,而且对面坐着的对手却是一名名副其实的象棋大师。 而联网设备的实际用户所面临的情况还要更糟。他们根本不会去考虑任何的网络安全问题。对于一名普通的消费者而言,联网的微波炉和普通微波炉并无太大差别。这就好比网络用户从未想到过装备齐全的联网计算机会对我们的物质世界产生如此巨大的影响。 家用电器一窝蜂地进行联网迟早会对广大消费者带来不利影响。考虑到不管是用户还是电器厂商都在物联网世界中面临着艰巨的挑战,因此后者更应该开始考虑如何才能提升自己产品的安全程度。对于用户而言,我们的建议是尽可能不要使用过于”智能化”的联网技术。
如果说12月份对安全世界意味着预测来年的话,同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年,众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”(西班牙中”面具”的意思)间谍行动于2月份重现互联网,之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具,旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份,通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击,同时还采用了许多水坑式攻击,将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 https://vine.co/v/OrlF5BPb3h3 而到了6月,另一个黑客小组在短短一周的时间内即窃取了50万欧元,作为”Luuuk”木马攻击行动的一部分,他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是,卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本,但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码,从而查看受害人账户余额并自动执行交易。 在6月末,互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”,将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是,这一黑客行动竟然还攻击了那些参与违禁药品(例如:类固醇和生长激素)交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo
又到了12月份,对于整个安全行业就意味着一件事:专家们开始对明年明年的安全行业趋势做一个预测。如同往年一样,有些预测是新的,而有些早已是”熟面孔”了,几乎每年都会出现在各大预测榜单之内。以下则是由卡巴斯基全球研究与分析团队所提供对2015年安全行业的九大预测。 网络犯罪分子与APT小组”强强联手”,统一行动 事实上这是最令人感兴趣的预测之一。卡巴斯基实验室专家对此断言,网络犯罪小组将越来越多地实施国家策略。欧洲刑警组织的网络犯罪部门主管特罗斯•奥尔廷(Troels Oerting)在乔治城法学院的一次演讲中透露道,这一”联手行动”在上周已经开始。 然而,无论他们是否决定”强强联手”,就卡巴斯基研究人员所给到我的信息看来,还存在另一个有趣的可能性:政府资助的高级持续性威胁黑客小组(实施类似于DarkHotel、Regin以及Crouching Yeti/Energetic Bear的黑客活动)将联手其它网络犯罪分子(例如将摩根大通、Target和其他大型公司作为攻击目标的黑客)共同开展黑客行动。 #Darkhotel APT in a single video: http://t.co/NRqAl4docX — Eugene Kaspersky (@e_kaspersky) November 10, 2014 据我看来,这一合作的可能性相当大,具体理由如下:国家资助的黑客小组可能为了一个共同的目标与网络犯罪小组携手合作。通过合作可以强化广泛分布式拒绝服务攻击—据称在2012年和2013年针对美国一些银行的攻击,以及旨在造成系统停机的其他类型网络攻击均来自于伊朗政府。 隶属于政府的黑客小组可能还会将其间谍任务外包给其它的网络犯罪小组,前者向后者下达命令,而后者则通过使用网络犯罪工具和行业专知实施间谍活动、窃取专利知识或收集与重要基础设施系统有关的情报。 APT黑客小组”化整为零”,网络攻击呈增加和分散态势 卡巴斯基研究人员认为随着安全公司和独立研究人员不断曝光和挫败大规模政府资助的黑客小组,迫使其”化整为零”,分散行动。研究人员宣称这将迫使他们发动更加分散和频率更高的网络攻击。 @卡巴斯基预计2015年政府资助的黑客小组内部结构将发生改变#APT#攻击小组将”化整为零”,分散行动#卡巴斯基实验室报告# 广泛使用的老代码出现新Bug 无论在这里、Threatpost还是其它地方,已多次提到我们现在正处于互联网广泛存在bug的时代。同样作为基础设施代码的互联网时代,我们将看到更多的bug将被广泛部署在互联网中。卡巴斯基实验室全球研究与分析团队认为,互联网蓄意破坏的事件将更加频繁发生,就如同苹果GoToFail安全漏洞。我们也将看到能够大范围影响互联网的偶然性实现错误,就像OpenSSL Heartbleed和 Shellshock/Bashbug的例子一样。
当今世界,随着科学技术的突飞猛进,并以各种各样产品的形式与我们的日常生活紧密交织在一起。然而,并非所有突破性技术都能像以往那样广泛地引起社会大众的惊呼。比如,移动网络不断提升的数据传输速率并没有带给我们太多的喜悦,反而用户的普遍反映是”能不能再快一些?” 很多人在看到最新一代智能电视的时候往往并非对其惊人的画素密度感到震撼,而是惊讶于高昂的售价或产品的奇特形状。并且,似乎也没有人会去关心现有的移动设备都有能力计算出飞往火星的宇宙飞船的飞行路径。 最让人难以置信的是,Kim Kardashian(美国娱乐界名媛)的裸体封面照片竟然与宇宙探测器登陆距离地球400万公里的一颗彗星所造成的社会影响力相当。我注意到了”技术过量”所带了的明显的副作用:我们越来越少对网络安全持谨慎态度了;我们也不再对目前所有网络威胁的数量哪怕再多思考一秒了;而随着技术的发持续展,这些无论是实际还是停留在理论上的威胁都有可能在未来5-10年内成为普遍性问题。 #高科技的# #未来# –是否能安全居住? 有趣的是,科学技术和互联网发展得越复杂精密和成熟,则越是将人类和我们的世界置于更加危险的境地。那么我们未来世界到底有多么危险呢?就让我们一同来领略一下”充满危险”的未来科技世界。 房屋与住宅 今天,智能家居对于普通家庭而言依然是过于奢华的未知产品。然而,无处不在的科技巨人Google和苹果宣称,不出几年我们中的许多人都将能舒服地坐在装有各种智能设备的客厅里,目前看来似乎只是个玩笑而已。只需一台移动设备,就能对室内气候环境、灯光、家庭安全系统以及许多家用电器进行控制。 同样的理念还适用于汽车。沃尔沃和宝马已能通过你的智能手机或平板电脑提供基本的汽车控制和监控功能。在接下来的数年里,许多”中型车”很可能将这些功能作为其标准配置。此外,相比于整台的造价而言,车载技术的成本可以说是微不足道。 尽管科学技术的发展势头迅猛,但有些系统依然存在着与普通挂锁相同的问题。例如,一个稳固的系统依然可能在遭到精准和猛烈的攻击后,瞬时间被攻破。 此外,一旦不法分子真的获取”钥匙”或有机会得到的话,那要进行一些犯罪活动可以说是易如反掌。将智能手机作为”万能钥匙”使用的话,黑客可以很方便地在数小时甚至几分钟内就能入侵受害人的家或汽车,最近有关”智能家居和智能汽车入侵”的演示提供了完美的例子。 Is It Possible to Hack My Car? Find out over at @Kaspersky Daily. http://t.co/UOAMP2hb3K — Kaspersky (@kaspersky)
如果你始终关注互联网和计算机安全方面的新闻,那么听到许多智能家居系统设计不周或配置不良,导致安装这些系统的家庭面临着大量严重的安全漏洞时,你应该不会觉得太意外。 这么说恐怕小瞧您,但智能家庭确实与您想像中的完全一样(你会想到智能手机、智能电视、智能汽车等等):家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络,而家庭网络又最终连到互联网,计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统,用户能够远程监视和操控家里的各个系统。 一直以来,研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器(还有其他任何连到互联网的设备)的安全性有所置疑,这也是我始终关注的问题。最新的新闻是,AV-Test.org对7种不同的智能家居套件的安全情况进行了测试,结果发现其中4种都差强人意。 当然这7个套件只是沧海一粟,也许在统计学上来说微不足道,也不是具有代表性的取样量。但无论如何,在此次研究中发现的有漏洞的设备,可以被利用进行内部攻击(在某些情况下还可进行外部攻击),攻击目标是家庭网络及其所连设备,或者是住宅本身及其家里的东西。 国际知名安全评测组织AV-Test分析的七款智能家居套件分别是:iConnect(eSaver)、tapHome(EUROiSTYLE)、Elements(集怡嘉)、iComfort(REV Ritter)、Smart Home(RWE)、QIVICON(德国电信)和XAVAX MAX!(Hama)。AV-Test发现,其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞,这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件,这两款套件能被远程入侵(同时也能被本地入侵)。 每种产品都有一组不同的功能。但总体来说,这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。 广义上来说,攻击者能够操控连接的系统来达到破坏的目的(比如,关闭供暖,使管道在冬季破裂)。 因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。 然而,大多数黑客犯罪分子的目标是金钱。因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是,不安全的设备被入侵后,可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁,从而更轻松地实施盗窃。AV-Test注意到,有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用,否则整个住宅都会停止工作。 AV-Test重点研究了设备之间的通信是否加密,默认情况下套件是否要求主动认证(网络或物理访问密码)以及易受远程攻击的难易程度。 Gigaset、RWE和QIVICON产品的通信都始终加密,因此被AV-Test视为是安全产品。iConnects的通信虽然也加密,但AV-Test表示,此套件的加密很容易被绕过。根据研究中的观察结果,其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。 未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信,骗取代码来操控设备活动,甚至只监视这些设备就能推断出家里有没有人。 未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。 iComfort产品完全不要求认证,这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证,但对本地物理接入不要求认证。tapHome要求内部认证,但据研究显示,这种措施其实毫无作用,因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证(安全通信除外)。 但好消息是:AV-Test认为,如果这些产品制造商花些时间来开发可靠的安全理念,而不是将有缺陷的产品急不可耐地上市销售,那么打造一个安全的智能家居系统完全是可能的。另一个好消息是:AV-Test为您购买智能家居系统提供了挑选标准:请挑选总是要求认证,并且始终加密通信的系统。