2015年4月24日 星期五

‧ 智慧城市:下一個駭客攻擊目標

leiphone 李旭旭


所謂智慧城市,是指運用無線感測器控制城市的交通信號燈,用水管理系統等各方面。而據電腦安全專家稱,智慧城市系統十分容易遭受網路攻擊。

安全研究員Cesar CerrudoIOActive安全公司的首席科技官。去年,他就指出安裝在華盛頓、紐約、新澤西、三藩市等樞紐城市的20萬個交通管控感測器均暴露在駭客攻擊的危險之中。從這些感測器發出的資訊可以輕易被攔截。

結果上周,他又測試了三藩市的交通管控感測器,發現他們仍然沒有對資訊加密,這件事貌似沒有引起足夠的重視。

智慧但不安全
目前,他發現在智慧城市系統中存在軟體漏洞、加密術過於簡單或者根本沒有加密等問題。並且他發現,它們大多連普通的駭客攻擊都無力抵抗,比如分散式阻斷服務或者DDoS,只要受到攻擊,駭客將向網站提交大量請求,直到網站崩潰。

Cerrudo本人就能用系統漏洞控制交通信號燈,控制電子限速牌,或者干擾引路燈不停地讓汽車駛進高速公路。

網路安全研究人員說,系統漏洞提供給惡意駭客或政府的機會比比皆是。去年,在阿姆斯特丹舉行的黑帽歐洲會議上,安全研究人員展示了如何利用智慧電錶和電力通信技術中的加密漏洞,使用簡單的操作導致部分城市大停電。

目前城市的攻擊面十分巨大,並且對於網路攻擊呈開放狀態。這種說法並不是危言聳聽,去年,安全公司發現了一個駭客組織,名為DragonflyEnergetic Bear,他們是一個針對美國和歐洲電力網絡的活躍的駭客團體。

去年,美國國土安全局在一份報告中承認,一個老道的駭客僅僅通過猜測密碼,就能侵入公用設施的控制系統。2013,能源產業成為美國最易被駭客攻擊的領域,佔到257次駭客攻擊的百分之五十六。

愚蠢的城市
越來越多的城市使用自動化的系統和服務。例如,沙烏地阿拉伯投資七千萬美元打造四個新的智慧城市。在南非,一個74億美元的智慧城市專案業已起步。根據Frost & Sullivan諮詢公司的計算,截止2020年前,智慧城市的市場預計將達到一萬億美元。

因此,一些科學家正試圖重新設計智慧電網,使得它們不那麼易於攻擊。目前,智慧電網集中由能源供應商管控,使得公用事業公司成為駭客饞涎的攻擊目標。普朗克研究所的一名物理學家Benjamin Schäfer及其同事和學生開發了一個模型表明,理論上,智慧電錶可以直接在客戶現場進行監測,這樣分散的監控使得智慧系統受攻擊的危險大大降低。

目前,他們的研究還未深入。Cerrudo表示,各城市要採取基本的安全措施,如加密、密碼等認證方案和安全性漏洞修復的簡易機制。

每個城市都應建立自己的電腦應急回應小組或CERT應對安全事件,並及時與其他城市協調對策、共用危險資訊。還要限制資料訪問,跟蹤和監控有訪問權的物件,進行滲透測試。

最後,他提議各個城市都應做好為網路安全最壞的準備,就像他們應對自然災害採取預防措施那樣。

“這些資料使智慧城市變得‘智慧’但卻易於任人擺佈。智慧系統很容易受到網路攻擊並且安全問題漏洞百出。當我們盲目信任這些資料的時候,那麼智慧城市將不能稱之為‘智慧城市’,而將成為‘愚蠢的城市’。”


Via nytimes

                                                                                                                                                                                                                            

沒有留言:

張貼留言