技術宅Craig Heffner表示物聯網最大的隱患不在黑客,而在各種設備的制造商。
Tactical Network Solutions的研究員Craig Heffner在聯邦貿易委員會(FTC)的物聯網工坊上,回憶起一次他花瞭幾美刀就看到瞭數百個用戶的隱私信息。
當時某硬件廠商給用戶提供瞭配套的雲服務,卻忘瞭買下作為數據服務器的4個域名之一。於是Heffner用瞭9美刀拿下。
Heffner的這個做法並不違法,但制造商的一個疏漏卻讓用戶的隱私被輕松瓦解掉瞭。
連用戶都不在意的隱私還有誰在意?
我們都不得不承認互聯網上已經難有黑客翻不過來的墻,但越來越多的物聯網設備讓入侵變得異常地簡單。
Heffner表示,“這是因為現在的用戶沒有真正開始關註設備的信息安全,所以硬件廠商們也沒有動力去優化這件事。廠商們更喜歡把資源放到耀眼的功能上。”
安全還真不是小事
今年11月的時候,FTC強制推行瞭一個關於設備信息安全的政策:但凡無法確保產品信息安全的公司,其安全業務會強制外包給FTC。
美國國傢科學基金會的前VP Dick Cheney曾經公開表示過他對恐怖分子入侵心臟起搏器的擔憂。於是過瞭幾年,馬薩諸塞大學的Kevin Fu帶著一個小分隊證明瞭這種入侵的可行性。
通常病人攜帶的心臟起搏器是通過一個封閉的數據系統和醫院端通信的。但Fu的研究小分隊不僅成功地從封閉系統上爬下瞭病人的醫療數據,而且還可以惡意地引導起搏器的工作頻率。
目前Fu已經拿到國傢科學基金會45萬美刀的資助,正在研發一個不可破解的起搏器。
黑客教程
說回Craig Heffner,現在他每個月都會舉辦一期跟物聯網有關的黑客教程。具體做什麼呢?Heffner的大部分學員來自消費電子和安全公司。然後每期的教程Heffner就會先教他們如何入侵路由器和各種傢電。然後教程的後半段則是對抗和修復這些漏洞。
Heffner表示他之所以開這個教程不是為瞭傳播這種對漏洞的利用,而是讓行業內的人們去瞭解自己的產品,如何把信息安全做得更好。
Via: RW
相關:
物聯網大潮來瞭,你需要瞭解哪些東西
穿戴設備的未來