來源:雷鋒網
Tactical
Network Solutions的研究員Craig
Heffner在聯邦貿易委員會(FTC)的物聯網工坊上,回憶起一次他花了幾美刀就看到了數百個使用者的隱私資訊。
當時某硬體廠商給使用者提供了配套的雲服務,卻忘了買下作為資料伺服器的4個功能變數名稱之一。於是Heffner用了9美刀拿下。
Heffner的這個做法並不違法,但製造商的一個疏漏卻讓用戶的隱私被輕鬆瓦解掉了。
連用戶都不在意的隱私還有誰在意?
我們都不得不承認互聯網上已經難有駭客翻不過來的牆,但越來越多的物聯網設備讓入侵變得異常地簡單。
Heffner表示,“這是因為現在的使用者沒有真正開始關注設備的資訊安全,所以硬體廠商們也沒有動力去優化這件事。廠商們更喜歡把資源放到耀眼的功能上。”
安全還真不是小事
今年11月的時候,FTC強制推行了一個關於設備資訊安全的政策:但凡無法確保產品資訊安全的公司,其安全業務會強制外包給FTC。
美國國家科學基金會的前VP
Dick Cheney曾經公開表示過他對恐怖分子入侵心臟起搏器的擔憂。於是過了幾年,麻塞諸塞大學的Kevin
Fu帶著一個小分隊證明了這種入侵的可行性。
通常病人攜帶的心臟起搏器是通過一個封閉的資料系統和醫院端通信的。但Fu的研究小分隊不僅成功地從封閉系統上爬下了病人的醫療資料,而且還可以惡意地引導起搏器的工作頻率。
目前Fu已經拿到國家科學基金會45萬美刀的資助,正在研發一個不可破解的起搏器。
駭客教程
說回Craig
Heffner,現在他每個月都會舉辦一期跟物聯網有關的駭客教程。具體做什麼呢?Heffner的大部分學員來自消費電子和安全公司。然後每期的教程Heffner就會先教他們如何入侵路由器和各種家電。然後教程的後半段則是對抗和修復這些漏洞。
Heffner表示他之所以開這個教程不是為了傳播這種對漏洞的利用,而是讓行業內的人們去瞭解自己的產品,如何把資訊安全做得更好
0 comments:
張貼留言