你的家中有多少個(gè)聯(lián)網(wǎng)設(shè)備?根據(jù)TrendMicro的一份新報(bào)告顯示,如果你擁有10個(gè)以上的設(shè)備�,那么你就是在追求復(fù)雜性,這會(huì)給你帶來負(fù)擔(dān)�,而不是讓你的生活更輕松。對(duì)于任何家里有過多聯(lián)網(wǎng)設(shè)備的人來說�����,這不是什么新聞��,但這是一個(gè)很少被討論的現(xiàn)象的一部分����,它將影響智能家居市場(chǎng)的擴(kuò)張范圍和此類產(chǎn)品的安全性。
圖片來源:圖蟲創(chuàng)意
信息安全公司TrendMicro對(duì)智能家居的復(fù)雜性進(jìn)行了研究�,并于本周發(fā)布了一份報(bào)告,我認(rèn)為這是業(yè)內(nèi)人士必讀的一份報(bào)告��。這種復(fù)雜性還會(huì)影響到那些將聯(lián)網(wǎng)設(shè)備部署到企業(yè)環(huán)境中的人員���,盡管這些人員將有更多的資源可以利用���。
該報(bào)告主要關(guān)注智能家居領(lǐng)域,TrendMicro將智能家居分為兩類:第一種是針對(duì)那些專門構(gòu)建的,因?yàn)樗鼈儾捎脤S玫?����,有時(shí)是專有的協(xié)議��,直接連接到房子�����。在這種情況下���,可能需要連接每個(gè)房間和家中某處的服務(wù)器機(jī)柜�,從而管理所有設(shè)備���。另一類是更常見的���,它是TrendMicro所謂的“附加式”智能家居�����。
跨國(guó)信息安全軟件公司趨勢(shì)科技(Trend
Micro)使用Shodan搜索引擎來尋找可用的家庭自動(dòng)化服務(wù)器���。Shodan是一個(gè)可搜索公共互聯(lián)網(wǎng)上連接設(shè)備的搜索引擎��。
為了研究復(fù)雜的智能家居環(huán)境�����,TrendMicro為每一種類型的智能家居建造了一種���,并使用兩種不同的家庭自動(dòng)化平臺(tái)來控制它們�����。在德國(guó)��,TrendMicro使用開源家庭自動(dòng)化服務(wù)器FHEM和EnOcean等協(xié)議來管理70多臺(tái)設(shè)備���,將其作為一個(gè)專用智能家居的一部分。在美國(guó)該公司還增加了約30個(gè)聯(lián)網(wǎng)設(shè)備����,如Ecobee恒溫器和Hue燈泡,以打造一個(gè)“附加式”智能家居�。它使用home
Assistant管理美國(guó)家庭,home Assistant是一款運(yùn)行在專用電腦上的家庭自動(dòng)化服務(wù)器�,類似于樹莓派(Raspberry Pi)���。
智能家居擁有眾多設(shè)備,并且依賴于連接到互聯(lián)網(wǎng)的集中式集線器���,因此容易受到各種攻擊����。這些攻擊就像找到一個(gè)暴露的自動(dòng)化系統(tǒng)一樣簡(jiǎn)單����,并使用傳感器和攝像頭監(jiān)控家中的人,以及更復(fù)雜的攻擊����,包括創(chuàng)建虛擬設(shè)備并將其插入網(wǎng)絡(luò)以欺騙系統(tǒng)。
令人不安的是�,用戶連接在一起創(chuàng)建例行程序或自動(dòng)化的設(shè)備越多,系統(tǒng)出現(xiàn)故障或陷入某種攻擊的可能性就越大���。例如����,如果我使用藍(lán)牙或其他傳感器在家中啟用某種類型的狀態(tài)檢測(cè)��,之后將其綁定到我的門鎖定或解鎖�����,黑客可能只是在我的在線自動(dòng)化服務(wù)器中創(chuàng)建一個(gè)“看起來”像我的虛擬傳感器�����,并且在此過程中�,也可以鎖定或解鎖我的門。
TrendMicro也發(fā)現(xiàn)���,很多自動(dòng)化服務(wù)器都是在線的�,可以向任何人展示設(shè)備��。其中一些設(shè)備甚至可以遠(yuǎn)程控制���。更令人震驚的是��,當(dāng)TrendMicro掃描這些服務(wù)器時(shí)���,他們發(fā)現(xiàn)一些來自開源組織,也有一些來自商業(yè)供應(yīng)商���。
這意味著不僅僅是超級(jí)書呆子才會(huì)被曝光���,為商業(yè)系統(tǒng)付費(fèi)的小企業(yè)和消費(fèi)者也可能面臨風(fēng)險(xiǎn)����,而這些相關(guān)的安全風(fēng)險(xiǎn)是令人不安的�����。
但我不在家時(shí)��,別人可以通過傳感器和通知監(jiān)視我的家人�����,甚至知道他們什么時(shí)候離開家�,什么時(shí)候鍛煉,甚至什么時(shí)候洗完澡�。老實(shí)說,這很恐怖�����,盡管他們知道我有這個(gè)權(quán)限���,想象一下其他人可以看到所有這些東西�,并在我不知情的情況下向例程中添加新功能或元素�����,這是很糟糕的���。
那么��,怎樣才能阻止這種情況發(fā)生呢?TrendMicro采用了傳統(tǒng)的方法�,比如避免使用硬編碼密碼��,定期更換密碼��,限制網(wǎng)絡(luò)上的設(shè)備數(shù)量�����。不過���,該公司也提出了一些我希望業(yè)界能更積極地推進(jìn)的建議�����,比如確保每種設(shè)備類型都被分類�����,并為網(wǎng)絡(luò)所知���。這種可見性有助于讓消費(fèi)者了解他們的網(wǎng)絡(luò)上有什么��,但也有助于公司為特定的設(shè)備類型創(chuàng)建邏輯規(guī)則�。
例如���,某些設(shè)備可能需要一些規(guī)則來阻止它們與不由制造商運(yùn)行的外部web服務(wù)器通信����。本質(zhì)上����,隨著這些網(wǎng)絡(luò)變得越來越復(fù)雜,連接設(shè)備的控制在我們的安全和舒適的家中扮演著越來越重要的角色��,我們將需要企業(yè)級(jí)的網(wǎng)絡(luò)安全產(chǎn)品���,這些產(chǎn)品的設(shè)計(jì)要考慮到消費(fèi)者����。
包括TrendMicro在內(nèi)的公司已經(jīng)在為智能家居打造這樣的服務(wù)。Comcast剛剛推出了一款����,Eero也提供了一款��,消費(fèi)者還可以從BitDefender和Cujo購(gòu)買獨(dú)立的設(shè)備�����。它無法滿足人類對(duì)人工智能的需求�,即幫助管理家中超過10臺(tái)聯(lián)網(wǎng)設(shè)備,但它將有助于確保這些設(shè)備的安全�。
原標(biāo)題:Smart home complexity is its own security risk
作者:STACEY HIGGINBOTHAM
編譯:鄭翊君
原文鏈接:https://staceyoniot.com/smart-home-complexity-is-its-own-security-risk/
評(píng)論文章