freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

360刘建皓:Hacking everything,Everything is hacking
2015-04-28 20:10:31

4月19日进行的FreeTalk北京站活动上,360攻防实验室资深安全技术研究员刘建皓分享了他的议题。站在我们FreeTalk的舞台上,刘建皓感慨说自己就像一位酒吧歌手,小编现在就为大伙呈现“歌手”刘建晧带来的精彩节目——《Hacking Everything,Everything is Hacking》。小伙伴们嗨起来,让我看到你们的双手!##@@&&%%

物联网改变生活

物联网(IoT)是信息化时代的一个重要新型发展阶段,它用互联网将各种本不相连的物品串联了起来。比如我们现在随处可见的智能插座、智能窗帘、智能灯光、智能热水器等。

物联网是一种既危险又有趣的混合技术,提供一些很有用却又不是非常有用的设备。

所谓的混合技术包括移动应用程序、蓝牙、Wi-Fi、zigbee、固件设备、服务、API、以及各种网络协议等。这些技术从独立上来看都是相对安全且成熟的。

但是要将这些技术结合应用起来的过程中,如果没有做好安全方面的考虑,会带来很多不必要的麻烦。

Hacking Everything

一个遥控器就可以控制你家的窗帘、电视、豆浆机,让你拥有一个完美的清晨......但是,当黑客控制了这个遥控器后,你可就摊上大事了!

智能硬件被攻破场景模拟:

一个富二代开着特斯拉去和女朋友约会。不巧在途中碰到了专门碰瓷的黑客。黑客决定对富二代做一些小的恶作剧。通过获取车牌、智能门禁系统等一系列的操作,黑客控制住了房间内的所有智能设备。而最后为了拉仇恨,黑客在富二代的面前华丽丽地开走了特斯拉,只留下来一个背影,没有带走一片云朵。

智能家居基础架构包括云端、手机、硬件终端;网络传输,反向控制技术。智能设备的功能越多,被用来进行攻击的手段也就越多。

云端
身份验证机制不健全。伪造手机、伪造设备
加密方式存在漏洞。HTTP UDP AES 自己写算法
流程处理存在逻辑错误。绕过流程控制终端
手机客户端
应用程序防护不足。信息泄露 秘钥算法
应用控制能够被劫持。无需登录控制硬件
未删除测试接口。秘密通道 特权验证码
设备终端
系统服务没有关闭。服务最小化原则
系统应用存在弱口令。最不负责任的
协议自身安全。 没有加密传输
自启动能够被打断。重写ROM

Everything is Hacking

今年2月,海康威视被发现存在弱口令,并且该设备已被境外IP控制。这是由智能硬件、智能硬件蠕虫和僵尸网络一起引起的。更多技术分析:查看此前演讲者在Freebuf发布的文章《智能硬件蠕虫威胁互联网安全》。

对于互联网攻击,刘大神从安全人员、厂商和用户三个方面给予了一些建议:

安全人员:全面掌握各类安全技术,如web安全技术、移动安全技术、加密解密技术、静态分析技术、逆向分析技术、硬件构架技术、网络构架技术等,让智能设备上的安全问题无处可逃。
厂商:加强硬件安全投入,采用成熟合理的身份验证、加密传输、访问控制安全构架。
用户:购买前一定要三思而后行,多搜一些安全方面的资料,慎重购买存在漏洞的设备。

精彩视频回放

刘建皓现场独家展示了未公开发布过的一个针对中间应用的攻击——小米电视不幸中枪,童鞋们可以在视频中看到。

FreeTalk北京站嘉宾:刘建皓

360网络攻防实验室资深安全技术研究员,FreeBuf作者,2014年7月刘建皓参与的360团队攻防实验室发布特斯拉汽车应用程序流程存在设计缺陷。攻击者利用这个漏洞,可实现远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作,并且能够在车辆行驶中开启天窗。

*Freebuf小编整理,转载请注明来自Freebuf黑客与极客(FreeBuf)

本文作者:, 转载请注明来自FreeBuf.COM

# FreeTalk Beijing
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑