信息安全专家谈315破解、劫持无人机与信息安全

2016-03-17 08:11:00 环球时报 张旺 分享
参与

【环球时报记者 张 旺 刘 扬】智能设备在给人类生活带来巨大便利的同时,也带来前所未有的风险:用来航拍的无人机突然失控,行驶在高速公路上的智能汽车突然被恶意入侵的黑客接管……这一切绝不是危言耸听,这种风险就在我们每个人身边。央视3·15晚会就曝光了一些目前发展如火如荼的智能硬件设备的安全问题,其中包括无人机、智能楼宇、智能家居类产品、智能摄像头、智能支付POS机、智能汽车共六大品类。面对这样的安全风险,人们真的就防不胜防吗?有哪些手段可以将被黑的风险降到最低?《环球时报》记者就此采访了两位中国知名信息安全专家。
为什么智能设备这么容易遭到黑客攻击呢?360攻防实验室安全专家刘健皓16日接受《环球时报》记者采访时表示,现在的无人机、智能汽车、智能家电等产品都有一个网络连接的终端,大多数可以通过手机APP进行监视、控制。原先,这些设备都是封闭的,人类只能触碰功能键才能启动它。但物联网时代到来后,可以通过远程提交一些指令就能控制它。如果它在手机APP或者网络传输协议上有缺陷或者漏洞,不需要接触设备就能被远程控制。正常控制需要用户名密码作为身份验证才可以登录。如果是黑客攻击的话,根本不需要授权,只需要知道产品的串号(SN号)就可以。如果是汽车的话,知道汽车VIN码就行。
据刘健皓介绍,无人机的破解有两种方式,一种是对禁飞区域的破解。比如在北京六环之内不允许无人机飞行,但可以通过一些手段欺骗它的GPS模块,告诉它自己在六环之外。还有一种方式就是,把无人机GPS模块替换掉,把它的限制去掉,让它能在六环以内飞行。接管无人机,是通过劫持无人机遥控器信号,干扰它的信号,重换信号源。传奇黑客Samy Kamkar甚至可以通过无人机劫持无人机,而“劫持”的设备也非常简单,主要由一个四轴飞行器、电路板、电池、两个无线电发射器等组成。
那是不是越智能的设备越容易被黑呢,刘健皓认为,这是相对的。智能化需要IT技术支持,需要互联网接入,还需要人工智能技术做运转,这就为一些黑客提供了很多攻击面,可以从互联网层面上去攻击,也可以从物联网感知层去攻击。如果大家在开发设计这些智能硬件的时候,提高防护意识、考虑到安全问题,也是可以做好防护的。
刘健皓建议,从厂商角度来讲,开发设计阶段要考虑到安全因素,比如在协议的加密传输上面、身份认证方面,还有访问控制方面,这些安全的因素要加强。在系统建设阶段,制造设备时,要考虑硬件安全、系统安全、网络传输安全、软件应用安全。产品正式上线阶段,上线之前,必须经过专门的安全测试。在硬件退服阶段,一定要把原来的软件流程做一些改变。比如有一个APP版本,我不使用了,要更新版本,上一个版本是不能控制我现在的智能硬件的。那么智能硬件的流程、接口针对上一个APP版本的流程要做一些改动,要上一个版本不能控制我。这样才能保证这个迭代是安全地退服。针对用户讲,大家在选购相关产品之前,要搜索一下,自己要买的一款路由器以前有没有爆出过漏洞,如果发现自己购买的智能硬件存在安全漏洞,首先尽量不要对外开放访问,可以加强自己用户密码配置、无线密码配置,密码强度达到15位以上,数字与大小写字母组合,厂商出了补丁要尽快修补。如果发现上网异常慢,或者经常弹出不正常的广告,那就要留意上网环境。如果访问正常网站出现三俗广告,那你就有可能被劫持了。不要在恶意、未知的热点(比如WiFi)下面进行金融交易。用户还要提高安全意识,增强密码强度,尽量不用通用密码,针对不同网站设置不同密码。
那智能手表、智能手环、智能家电是不是都应该安装防火墙和杀毒软件呢,刘健皓表示,现在的很多智能硬件是嵌入式设备,它们的计算能力和存储能力不能安装杀毒软件和防火墙,所以说传统IT手段不能够很好地解决现在智能硬件上的问题。而且防火墙和杀毒软件都是在边界加个防护。“我们的思路就是要提高智能硬件的自防护能力,保证它的整体安全”。
面临日益增强的数据安全威胁,中国是否应该成立专业的“白客”力量?刘健皓说,一方面专业安全机构应跟建设厂商配合,帮他们完成安全测评,给他们安全建议,使产品开发出来就是安全的。另一方面,我们会对市面上的一些安全硬件进行横向测试,把它们的优缺点权威地曝光出来,供用户参考。提高用户安全意识,提高厂商安全能力。这是已经在实施的。在国家政策方面,要出台关于智能硬件安全、物联网安全、汽车信息安全方面的标准,因为有标准厂商才能知道怎么开发。还应出台相应的测试规范和测试指南,去验证产品的安全性。最后还要有信息安全的评价体系,由一些国家单位牵头对硬件进行评定。以后智能汽车实现无人驾驶时,控制权限交给系统了,如果系统出现漏洞,就可能造成严重事故。所以对于自动驾驶汽车,我们建议对它强制进行信息安全认证,如果通不过验证,就不允许它在中国的路面上行驶。
中国信息安全专家谭晓生16日对《环球时报》记者表示,过去的电子产品出厂前只考虑硬件安全和材料安全,今后应该把信息安全作为产品安全的测试指标。应该通过立法将信息安全纳入产品准入标准。随着硬件产品越来越智能化,就需要更多的专业人员对这些产品进行安全评估。所以中国就需要多培养懂信息安全的专业人才,而在目前相关专业人才还没有培养到位的情况下,可以把民间的一些力量先用起来。▲
 

版权作品,未经《环球时报》书面授权,严禁转载,违者将被追究法律责任。 责编:赵汗青