极棒实验室(GeekPwn Lab)宋宇昊:网络大杀器的源头是脆弱的智能设备

小熊在线 小熊在线 | 2017年08月16日
威胁泛化的年代智能漏洞频发,新的生活方式中埋藏哪些“定时炸弹”?重大网络安全事件频发,用户和企业应该如何防范?2…… ......
无标题文档

    威胁泛化的年代智能漏洞频发,新的生活方式中埋藏哪些“定时炸弹”?重大网络安全事件频发,用户和企业应该如何防范?2017年8月16日下午,第三届中国互联网安全领袖峰会(Cyber Security Summit2017,简称CSS2017)智能硬件与物联网安全分会场上,来自极棒实验室(GeekPwn Lab)的高级研究员宋宇昊带来了主题为“网络大杀器:脆弱的智能设备”的演讲。通过对全球最大关注智能生活的黑客大赛GeekPwn(极棒)上陆续失守的IoT设备进行技术和数据分析,揭示了物联网安全不容乐观的现状。

    (GeekPwn实验室高级研究员宋宇昊)

    为实现资源共享,人们开始建立网络,然而当万物互联的时代来临,网络安全却成了发展道路上的一块绊脚石。在网络这个虚拟世界中,网络攻击、数据泄露、勒索软件、DDos攻击等安全事件频发,仅2016年被泄露数据量就已超过42亿,而这一数字仍在增长。现在,2017年已过大半,却也“战事不断”。

    “上帝之眼”真实存在更名“罪恶之眼”更恰当

    在会上,宋宇昊提到了《速度与激 情7》中的“上帝之眼”和《速度与激 情8》中的“僵尸车队”,即电影中的反派通过入侵智能设备、破坏物联网的形式可以进行全球的搜索与追踪,只要有电子设备的地方,就是他们“目光所及”之地,不管是车库里还是马路上的汽车,都是他们的傀儡杀手。这不只是电影作品中的靠想象而来的艺术创作,而是在日常生活中实际潜伏着的危险。

    在物联网时代,人们的生活离不开智能设备,而且许多智能设备是长期在线的状态。根据Gartner的估计,到2017年年底将会有84亿台智能设备长期在线。这些设备贴近用户日常生活且因屏幕小或者没有屏幕,很难发现其异常行为,存在着巨大危害。

    宋宇昊表示,在GeekPwn(极棒)大赛上攻破的设备其实非常日常。在实际的数据中发现,人们常常忽视了这些漏洞危害:由伪基站设备发出的电信运营商得“流量赠送”短信、智能手环透露定位、儿童监视器成为儿童犯罪的新手段……智能设备发展到哪里,危险隐患就存在于哪里。科技发展的越快,人们就加速成为“透明人”。

    如今,针对重要信息系统、基础应用和通用软硬件漏洞的攻击活跃,漏洞风险向传统领域、智能终端领域演进,网站数据和个人信息泄露现象严重,移动应用程序成为数据泄露的新主体。不法分子便可以借大量摄像头等联网设备发动大规模互联网攻击。

    近年全球重大网络安全事件引深思 GeekPwn带领黑客角色转型

    同时,宋宇昊在他的演讲中再一次提到了2016年末席卷美国东部的僵尸网络病毒。2016年末,一个代号为“Mirai”的病毒通过感染IoT设备,致使美国东部大面积网络瘫痪。攻击者利用网络摄像机及电子录音设备袭击了美国域名解析服务提供商Dyn公司,包括Twitter、Facebook在内的多家美国网站无法通过域名访问。然而,造成半个美国互联网瘫痪的罪魁祸首,却是Mirai僵尸网络控制下的数以10万计的物联网设备。

    GeekPwn是物联网及智能设备安全的先行者,力争站在黑客的角度来思考问题,从来源上破除危害,促进智能生活的发展。

    在GeekPwn比赛中,采用开放式不命题的方式,选手们攻破了包括无线路由器、POS机、手机、无人机等14种设备。所有GeekPwn上的漏洞(117个)都是高危漏洞并且直接导致黑客全权控制设备,其中83个漏洞未涉及内存级别,74个漏洞可以独立被利用,其中无线路由器、手机、智能家居各占28%、18%、15%,位居漏洞数前三名。

    在互联网急速发展的今天,“黑客”再也不是一个贬义词,智能生活的安全需要他们。GeekPwn(极棒)让黑客们成为看清罪恶源头,又能站在人们身边保护他们的英雄。

标签:GeekPwn实验室

用户名:  密码:  没有注册?
网友评论:(请各位网友遵纪守法并注意语言文明,评论仅供参考不代表本站立场)