超碰8_亚洲国产高清视频_黄频视频_欧美午夜影院_亚洲高清在线视频_成人精品久久久

 　　3.15的熱度還在慢慢發(fā)酵，智能硬件帶來的信息安全隱患似乎也埋在了消費(fèi)者的心里，難以釋懷。

　　智東西今天推薦一篇好文來幫你拔掉心里的刺。撰稿者是幻騰智能 CTO吳天際，他用純技術(shù)科普給我們，怎樣安全放心地享受智能化的生活帶來的便利。以下是原文。

　　315晚會剛剛過半，同事們在群里就吵開了。“央視開始黑智能硬件了!”“咱是不是也得發(fā)文表個態(tài)啊!”最后還是被王總同學(xué)約了稿。作為一個從初中起就沒事干，黑這黑那的小孩，看了央視重篇幅的科技恐嚇，的確有話要講。(有趣的是，剛剛得知，恰好晚會中的幾個針對智能硬件的攻擊，還是清華學(xué)弟的團(tuán)隊的成果。)

　　其實，這次晚會針對網(wǎng)絡(luò)安全和智能硬件的建議與忠告，可以說三觀很正，科學(xué)嚴(yán)謹(jǐn)，是值得所有從業(yè)者和消費(fèi)者重視的，是給雙方同時敲響的警鐘。(這里，和“智能硬件”一詞相比，我更喜歡用“互聯(lián)硬件”。“互聯(lián)硬件”最為準(zhǔn)確的表達(dá)了接入到互聯(lián)網(wǎng)的硬件，也正是最容易出現(xiàn)安全漏洞的硬件，它并不一定智能，也足以影響你的生活。)

　　信息技術(shù)突飛猛進(jìn)不過幾十年，而直到今天，互聯(lián)硬件才真正開始深入人們的生活。也正因此，雖然信息安全是個從隨信息技術(shù)起步之初就從未間斷的話題(事實上，計算機(jī)的發(fā)明就是為了破解密碼);但信息技術(shù)帶來的安全問題，直到今天，才通過互聯(lián)硬件的普及，真正影響到百姓生活。

　　隨著無線通訊技術(shù)的發(fā)展，原本的單機(jī)設(shè)備，現(xiàn)在都變成了互聯(lián)硬件設(shè)備。比如汽車、飛機(jī)、家電、手表，全都逐步接入互聯(lián)網(wǎng)。原本它在你手中，你就占有了它，毫無異議;而現(xiàn)在，它在你手中，卻連接到互聯(lián)網(wǎng)，通過互聯(lián)網(wǎng)帶來前所未有的便捷、體驗、與此同時也存在隱患。

　　其實，人類對這個過程并不陌生。人類放棄騎馬，改乘汽車時，高速增加了交通事故的隱患;人類放棄畜力，改用燃料驅(qū)動工廠時，高動力增加了生產(chǎn)事故的隱患;電能進(jìn)入千家萬戶時，家長就又多了一項要囑咐孩子的事情：不要玩插座;等等。然而，面對危險，人類仍然選擇了進(jìn)步，而不是停留在馬車、驢拉磨、煤油燈的時代，這是因為人類向往科技進(jìn)步，它帶來的優(yōu)勢，足以推動人們努力克服所有的問題，降低危險和隱患。

　　互聯(lián)網(wǎng)以及其衍生的互聯(lián)硬件，正是這樣一個展現(xiàn)在人類面前的新興事物，人們享受其帶來的便捷，同時也在不斷解決所有面對的問題隱患。

　　作為廠商，應(yīng)該把安全與功能放在同等重要的地位，切不可因為安全是用戶第一眼看不到的，就掉以輕心。廠商不僅自身要有安全專家，也應(yīng)該與第三方安全組織、白帽組織積極合作，而不是諱莫如深。這些組織是原意通過正規(guī)方式幫助廠商解決問題的，而如果問題到了不法分子那里，就不那么簡單了。

　　作為消費(fèi)者，應(yīng)該相信廠商，相信科學(xué)。每當(dāng)看到危言聳聽的事情，問問身邊懂行的朋友，甚至到X乎上面提個問題：“這是真的嗎?”切不要盲目輕信，甚至形成偏見。相信吧，人類從來沒有一次因為負(fù)面隱患而放棄了進(jìn)步的機(jī)會，面對互聯(lián)網(wǎng)、互聯(lián)硬件的革命，這一次也不會!

　　下面就來解答“這是真的嗎?”問題。

　　晚會上的演示當(dāng)然都是真的，但也是有條件的，因此并不用恐慌。下面我就努力分析一下條件。

　　1.掃二維碼盜銀行卡

　　這必須依賴于手機(jī)本身有嚴(yán)重的安全漏洞，對于當(dāng)今的手機(jī)，這樣級別的漏洞修補(bǔ)非常快，不大可能出現(xiàn)。作為用戶，只需要注意：1)手機(jī)不越獄、不Root;2)安卓機(jī)不裝不知道的應(yīng)用，不輕易給應(yīng)用授權(quán);3)保持手機(jī)系統(tǒng)的更新。

　　放心大膽掃二維碼吧，稍有安全意識就不會有問題的。

　　另外，節(jié)目中出現(xiàn)的那個二維碼掃出來是shijon.com，好像是個創(chuàng)業(yè)項目。恐怕這是上過315晚會的體量最小的創(chuàng)業(yè)企業(yè)了吧，算不算一種躺槍?

　　2.截取在場觀眾手機(jī)訂單信息

　　我們用手機(jī)APP或訪問互聯(lián)網(wǎng)的時候，其實主要有兩層加密機(jī)制：第一層發(fā)生在手機(jī)與無線路由器之間的WIFI連接，第二層發(fā)生在手機(jī)APP或瀏覽器與服務(wù)商服務(wù)器之間的HTTPS連接。只有當(dāng)著兩層同時都被攻破時，你的安全才受到威脅。WIFI網(wǎng)絡(luò)是星狀網(wǎng)絡(luò)，所有通訊都必須經(jīng)過路由器。凡是采用了WPA2方式連接的WIFI網(wǎng)絡(luò)，每個終端與路由器之間的連接，都是獨(dú)立密鑰的安全連接。凡是沒有密碼的開放WIFI網(wǎng)絡(luò)，或者采用淘汰的WEP方式加密的網(wǎng)絡(luò)，終端與路由器之間要么不加密，要么采用公共的密鑰加密，是不安全的。如何判斷?只要看看連接是圖標(biāo)上有沒有嘆號圖標(biāo)，有嘆號的，就是不安全的網(wǎng)絡(luò)。

　　

 

　　HTTPS是通過加密通道訪問HTTP的方式。用電腦上網(wǎng)時，經(jīng)�？梢宰⒁獾降刂窓谥械木W(wǎng)址是https開頭的，這意味著你的電腦與服務(wù)器之間的通訊是安全的。反之，如果網(wǎng)址是http開頭的(沒有s)，意味著通訊沒有加密，可能被監(jiān)聽甚至篡改。遺憾的是，由于使用HTTPS建網(wǎng)站需要額外的費(fèi)用和額外的計算量，大部分服務(wù)商都僅僅在非常關(guān)鍵的業(yè)務(wù)(例如登陸、支付過程)中使用了HTTPS，而在普通信息列舉、瀏覽，都是通過HTTP完成的。也就是說，某些時候，是否用HTTPS不是用戶可以決定的，甚至是不容易判斷的。

　　

 

　　例如，微信就是這樣。微信關(guān)鍵的登陸和聊天等，都是通過HTTPS(也或許是自己協(xié)議?這點(diǎn)沒考證)加密傳輸，而朋友圈無論收發(fā)，都是不加密的。記得去年315晚會現(xiàn)場就演示了截獲微信朋友圈照片的技術(shù)。即使使用了HTTPS，如果你的終端設(shè)備被惡意軟件植入了惡意的驗證證書，仍然是不安全的。去年Lenovo某系列電腦預(yù)裝廣告軟件的風(fēng)波，正式因為那廣告軟件在電腦中置入了(可能并不是惡意的，但)不該存在的根證書，從而徹底破壞了HTTPS的安全性。下面畫個表總結(jié)一下，注意這里假設(shè)你的設(shè)備沒有病毒/惡意軟件：

　　

 

　　接下來的問題是，黑客如何控制路由器?簡短來說，最簡單的方式，是黑客本身就擁有這個路由器，即這個網(wǎng)絡(luò)本身就是黑客自己建立、運(yùn)營的。其次，也可以通過嘗試口令登陸到路由器，然后重新更新路由器固件程序，從而控制路由器。事實上，很多快捷酒店賓館的WIFI路由器管理密碼都是默認(rèn)的。我本人就曾多次登陸到慢成蝸牛的賓館路由器上，幫他們做一些優(yōu)化設(shè)置……

　　3.遠(yuǎn)程查看監(jiān)控攝像頭

　　這是清華學(xué)弟的團(tuán)隊“長亭科技”的成果。幾位團(tuán)隊核心成員，都是當(dāng)年清華電子系、計算機(jī)系的神級人物。目前，長亭是他們提供安全咨詢服務(wù)的創(chuàng)業(yè)公司。

　　晚會中展示的是一款通過UPnP打洞的方式，手機(jī)與攝像頭直連查看的攝像頭。這種攝像頭自己可以作為一個“HTTP服務(wù)器”，等待手機(jī)連接，唯一驗證信息就是用戶名和密碼。由于攝像頭本身硬件所限，驗證用戶名和密碼的方式通常并不加密，也很傳統(tǒng)(HTTP基本認(rèn)證方式，利用頭明文傳輸用戶名密碼)。這樣，黑客僅需有一次在攝像頭附近，截獲了主人正常使用時的用戶名和密碼，之后就可以像主人一樣，訪問攝像頭了。這里使用的截獲技術(shù)，也是類似上面1中所說的。

　　而黑客的攻擊可以更進(jìn)一步，利用一次截獲的密碼，通過攝像頭HTTP服務(wù)的漏洞，在攝像頭的嵌入Linux系統(tǒng)上置入一段后門，這樣即使之后修改密碼，也無濟(jì)于事。

　　有些老式攝像頭，甚至提供了統(tǒng)一的默認(rèn)密碼和連續(xù)編號的序列號。黑客可以直接連續(xù)嘗試序列號加默認(rèn)密碼的組合，登陸到攝像頭。對于新式的云存儲攝像頭，其數(shù)據(jù)是保存在云存儲服務(wù)商的，查看時也是經(jīng)過了云存儲服務(wù)商的系統(tǒng)。攝像頭本身隱藏在局域網(wǎng)內(nèi)，不會打洞，自己也不是HTTP服務(wù)器，外界不能訪問。這時，安全與否，很大程度要看云存儲平臺本身的安全設(shè)置了。我的建議是，一定要選擇大品牌、專業(yè)的互聯(lián)網(wǎng)企業(yè)的云存儲服務(wù)。比如，我們合作伙伴i耳目的云存儲攝像頭，采用的是百度云。只要你信得過百度，那么你就可以相信數(shù)據(jù)是安全的。

　　這里要多說一句：JEEP也是大品牌，為什么它的汽車系統(tǒng)的安全那么不堪一擊?雖然JEEP在SUV領(lǐng)域是絕對的鼻祖，但在信息安全領(lǐng)域就……呵呵。因此，對于信息安全問題，選擇互聯(lián)網(wǎng)企業(yè)相對來說更靠譜。

　　4.隔墻控制智能家電

　　從呂總的屏幕看，這是一些通過WIFI連接的智能家電。為了降低對硬件性能的要求，這類設(shè)備通常采用UDP通訊，配合基于安全的加密算法的加密機(jī)制，通常是安全的。從這個視頻的確無法判定具體是何種漏洞，但通常問題出在對于加密機(jī)制的設(shè)計上，容易產(chǎn)生邏輯漏洞。

　　

 

　　常用的加密算法有對稱的AES、3DES，非對稱的RSA、橢圓曲線等。這些都是公開的、經(jīng)過無數(shù)數(shù)學(xué)家驗證的算法。(在密碼學(xué)中，越是公開的算法，越是安全的。安全性全部來自數(shù)學(xué)的證明，而非對算法本身的保密。)然而，并不是用了這些算法就代表著安全。我所了解的大部分密碼學(xué)產(chǎn)生的安全漏洞，都是因為錯誤的應(yīng)用了這些加密算法。因此，基于這些算法的加密機(jī)制在邏輯上是否安全，才是更重要的。(下圖選自Wikipedia，即使使用AES加密，仍然沒有隱藏關(guān)鍵信息(中圖))。

　　當(dāng)然，晚會中的攻擊，前提是黑客已經(jīng)接入了你家的WIFI網(wǎng)絡(luò)，進(jìn)入了你的內(nèi)網(wǎng)。這就要求他1)在你家附近，2)破了你的WIFI密碼。如果不在內(nèi)網(wǎng)，那么攻擊就變得難上加難了。因此，只要留意1)你家附近有沒有住著猥瑣技術(shù)宅，2)你的WIFI是WPA2加密的并且不輕易告訴別人，3)自己杜絕并拒絕你的朋友使用WIFI密碼共享工具/萬能鑰匙，那么你就是安全的啦。

　　作者介紹

　　

 

　　吳天際，幻騰智能 CTO，80末，生于北京一個充滿理科氣息的家庭，自幼踏上了技術(shù)宅的不歸之路。

　　6歲連了第一個串聯(lián)電路

　　8歲寫了第一行Basic代碼

　　12歲寫了一個游戲，賣給同學(xué)收入5元

　　13歲寫了一個木馬，專門在機(jī)房上課時整同學(xué)，還盜了別人郵箱密碼

　　14歲第一次SQL注入，獲得學(xué)校網(wǎng)站管理員

　　16歲用小刀刻了第一塊電路板，做了個直流電源，用到大學(xué)畢業(yè)

　　17歲修改文曲星(電子詞典)內(nèi)核，破解白金英雄壇說萬能密碼yobdc和j.lee，編寫白金英壇修改器

　　18歲做了第一塊印刷電路板，第一次用單片機(jī)

　　18歲做了第一個AJAX網(wǎng)站前端和后端(當(dāng)時還沒有jQuery?)

　　19歲寫了第一個Firefox瀏覽器插件(當(dāng)時還沒有Chrome?)

　　20歲和同學(xué)一起做了一個單發(fā)射亂序執(zhí)行的CPU雛形(FPGA驗證)

　　21歲寫了第一段AMD GPU匯編(IL)代碼(當(dāng)時還沒有OpenCL?)

　　22歲攜獨(dú)門“選課機(jī)”、“遲交作業(yè)機(jī)”離開清華，未傳后人，只留下傳說

　　23歲寫了人人網(wǎng)NPC尹福，服務(wù)清華9000用戶，改變一屆清華人交流方式

　　24歲和伙伴一起完成了第一個產(chǎn)品的完整研發(fā)

　　25歲和伙伴一起完成了第一個自己的消費(fèi)電子產(chǎn)品研發(fā)，并把它變成了商品

　　……

　　幻騰智能，作為一家專業(yè)的智能家居公司，我們一直極其重視信息安全，這也是我們堅持使用自有通訊協(xié)議的原因之一。

　　推薦閱讀

　　中國四大北斗芯片廠商 可穿戴設(shè)備芯片性能簡評

　　大到國家戰(zhàn)略小到民用便利，北斗導(dǎo)航正變得越來越重要。北斗芯片進(jìn)軍智能穿戴市場的勢頭也日益顯現(xiàn)。中科微、中電華大、和星芯通、武漢夢芯等眾多廠商都推出了基于可穿>>>詳細(xì)閱讀

本文標(biāo)題：央視315的智能硬件安全”恐嚇”的真相在這里！

地址：http://www.brh9h.cn/n/qita/1243.html

 1/2    1