來源:CPS中安網 作者:陳雲峰
隨著網路基礎設施的成熟,越來越多的基於網路的應用設想也日趨完善。2014年更是4G行動終端的普及元年,借此東風,各種依託於行動網路的應用如雨後春筍般湧現,智慧物業已經開始進入市場培育期。
如果沒有公眾網路,就沒有駭客。借助公眾網路,駭客才有機會訪問到遠端的設備,即使他們的肉眼看不到這些設備。所有的駭客都以遠端入侵未經授權的設備為成功標誌,早期的駭客的動機相當單純----只是為了簡單地證明自己的技術能力,“你看,我成功地入侵了某系統,我技術厲害吧?”這些駭客做的無非是遠端篡改網頁、惡意刪除資料等等近似於“惡作劇”的行為,這些行為所造成的惡果遠遠低於當今駭客。
而最近幾年,駭客的行為動機早已和利益密切掛鉤----竊取遠端使用者資料、竊取使用者銀行密碼、身份證號等等各種個人隱私資料,並依靠出賣或者使用這些資料,來獲得不當的經濟利益。
時至今日,在各種媒體上看到的駭客入侵,導致巨額經濟損失的案例數不勝數,在這些案例中,駭客所攻陷的設備都是以電腦、手機為主。智慧家居、安防系統作為網路終端的新接入者,同樣面臨安全方面的問題,甚至有可能會比傳統的設備更嚴重。
在現階段的市場上,比較普及的接入互聯網的設備有這幾大類
l 智慧家居控制中心
l 智能路由器
網路攝影機、智慧開關的網路安全提示
由於市場上的確存在很大的遠端攝影機需求,此類產品在3-4年前,就已經開始率先進入家居安防領域。社區的公眾區域需要監控,家裡的公共區域也需要監控,業主對於這些攝影機的遠端存取需求,都成為了網路攝影機的“必需”。
順應市場需要,各個攝影機方案商都給攝影機加入了很多貼心的功能:手機遠端存取、高清本地錄製、遠端影像錄製、移動偵測、入侵報警、入侵拍照。如果不考慮安全因素,目前的攝影機的功能已經是相當地強大。
但是事情往往有兩面:便捷的背面可能就是危險。首先,遠端攝影機都是通過設置一個密碼來校驗使用者的遠端存取許可權,由於各種原因,不少用戶選用了極為簡單的密碼,或者乾脆就用廠商出廠時的預設密碼,殊不知駭客最愛的就是這類密碼,往往可以通過簡單的嗅探器窮舉攻擊(也叫字典攻擊)來獲取到他們想要的東西。對於這種情況,有一種臨時的防範方法:更改攝影機傳輸資料的TCP埠、並儘量使用複雜的密碼。
其次,市面上眾多的攝影機中,有相當大的部分是由小廠商生產的,我們不妨惡意地揣測:如同山寨手機,這些攝影機在出廠前,很可能被內置了一些不明目的的惡意程式,這些程式主動將使用者所設定的密碼上傳到某處的伺服器。如果真有這種內嵌的惡意程式,那前面所提到的臨時防範手段將會變得形同虛設。
當然,有矛就有盾,終極的解決方案也會存在,只要做到以下幾點,就算攝影機內有惡意程式也不會給駭客任何可乘之機。
l 使用一個安全的“智慧家居控制中心”作為攝影機轉發設備
l 攝影機自身不連接網路,只與智慧家居控制中心在家庭局域網中連接
l 智慧家居控制中心用攝影機所設置好的遠端存取帳號與攝影機保持連接,並使用更強大的鑒權機制提供遠端存取
從網路安全的角度出發,智慧開關和網路攝影機的本質是一樣的,只有採取同樣的應對措施,不難保證其安全性。
智慧家居控制中心的網路安全提示
可以簡單地認為,這個設備是家裡所有智慧設備的中心控制器,有了這個設備,其它的智慧家居終端如:冰箱、洗衣機、窗簾、電燈、攝影機、電熱器、空調、智慧插座都無需直接暴露在網路下。這種架構最大的好處就是:在家居的所有智慧終端機與網路之間搭建一個物理防火牆,讓智慧終端機的系統漏洞、預留後門都不再成為駭客攻擊的入口。其原理異常簡單----無法直接訪問到的設備是無法被攻擊的。
使用智慧家居控制中心的另外一個好處也顯而易見:只需要關注一個設備的網路安全,即這個控制中心,無需去逐個檢查分佈在家裡的所有不同類型的設備的安全性。
作為整個家庭的智慧家居的防火牆、總介面,智慧家居控制中心身上所背負的安全責任不可謂不大,如何讓它盡可能地安全並不是一件簡單的事情,可以說,這個設備的安全性是眾多經驗豐富的網路安全工程師的心血凝聚。深圳寶路在嵌入式設備上研發多年,並投入了大量的人力物力在嵌入式設備的安全性研究上,所幸這些投入都已經初見成效,寶路的拳頭產品BR3810、BR3807這兩款設備在作為智慧門禁對講機的同時承擔起智慧家居控制中心的重擔。
儘管智慧家居控制中心可以提供一個可信賴的物理防火牆,但是與傳統的網路服務器相比,它所能承載的東西還是太少----畢竟,它只是一個運算、儲存能力都無法和伺服器相匹敵的嵌入式設備。
針對這個問題,終極的解決方案如下:
l 作為一級防火牆,所選擇的伺服器承載所有的資料,並應對所有的網路攻擊,
l 作為二級防火牆,智慧家居控制中心隱藏在伺服器背後
l 所有的智慧家電都不連接網路,只通過LAN與智慧家居控制中心建立有限的、可信任的連接
話題延伸至此,顯而易見暴露在網路下的伺服器,將會是駭客們攻擊的第一對象。在世界上所有的網路安全工程師的眼裡,Unix/Linux伺服器是最安全的,沒錯,一般人所熟知的Windows伺服器,從來沒有得到過網路安全工程師的認可。我們平時上的網站有98%是Unix/Linux伺服器在背後支撐。
資料顯示,截止2013年10月31日UNIX和Linux伺服器市場佔有率統計分析,資料來自w3techs,UNIX全球web伺服器市場佔有率66.5%,Linux全球web伺服器市場佔有率31.4%。下面是來自W3Techs的兩張圖表。
伺服器的選用以Linux系統,為不易受駭客攻擊為佳。基於Linux內核的伺服器給產品提供了最強有力的支援,同時也提供了最可信賴的防火牆。
智慧路由器的安全提示
作為上一輪智慧家居行業的投資熱點,智慧路由器已經培育市場有一年多了。家庭路由器本身已經發展了近二十年,其功能和穩定性都已經日趨完善,各大網路巨頭和投資人所看中的是,它即將覆蓋的智慧家居行業。與智慧手機的攻城掠地不同,智慧路由器的家庭滲透程度,還停留在比較低的階段,儘管如此,不能否認在智慧家居這個市場中智慧路由器將會大有可為。
理論上,由於路由器自身具備了很強的防火牆能力,智慧路由器也是智慧家居控制中心的一個好選擇。家庭中的所有智慧家電,都不會直接通過路由器上網,而是隱藏在路由器後面,由路由器來統一轉發,這種連接方式也能徹底杜絕智慧設備,受後門程式影響的隱患。
這個方案的小小缺陷是:智慧路由器不能作為社區內,所有智慧對講設備的防火牆,無法為遠端智慧對講提供有效的安全防護服務。相應地,這種方案的優勢在於能讓稍有IT知識的人士自行搭建智慧家居環境。
有一點要提請注意:智慧家電產品連接路由器時,不能用傳統的方法,讓設備直接上網,必須是路由器主動請求與智慧家電連接,並做相應的協議轉發,否則智慧路由器將無法作為一個安全可信的防火牆。
篇尾
有了經濟利益推動的駭客群體,對網路上設備的攻擊嘗試是不會休止的,所使用的攻擊方法、手段也是層出不窮的。因此,不管是使用怎樣的架構,系統中的每一個部分,都應該具備主動升級軟體的功能,以防火牆身份出現的設備更應該具備這一功能,防火牆要依靠軟體升級,來提升自身的免疫力,並應對新型的網路攻擊,就如同電腦裡的殺毒軟體一樣。
俗話說“道高一尺魔高一丈”,網路安全本身就是永不休止的矛與盾的對決,在不同的時期、不同的產品都會有不同的問題,唯有保持與時俱進,才能在這場對決中佔據上風。
0 comments:
張貼留言