2016年01月25日
评论数(0)西伯利亚的大寒潮让祖国南北进入速冻模式,每个人脸上都挂着大写加粗的『冷』字,但小郝子不得不再为大家加泼一盆冷水。因为窥见黑客们恐怖的控制力,我坚信越来越智能的生活背后,将是越发肃杀的可怕,若是万物互联,被黑客利用,智能设备变杀器,绝非抖擞视力的科幻。
凿开脑洞,试想一下,如微软创始人比尔?盖茨家那样,从空调、烤箱、浴池到门窗、地暖、换气,每样东西都是人性化智能控制,无疑,居住其中,极享舒适、便捷。但倘若智能系统被黑客攻破、接管,锁闭门窗、换气,引发非常态的水电过载,『制造』意料之外的烤箱爆炸,像电影《意外》那般杀人实非难事。
在GeekPwn创始人王琦眼中,这样的画风并不算太YY,黑客引爆智能烤箱进而杀人,绝非止于幻想。当下,智能的一切,正成为黑客们的众矢之的,从无人机到路由器,从POS机到汽车智能端,时刻都存在被黑的风险。在GeekPwn全球黑客大赛上,各路白帽黑客模拟黑帽手段,接管各种所谓安全、智能的一切,玩出各种『过界』,场面各种暴力,以至于很多影像至今不可公布。
场景化攻击
毫无疑问,牛逼的商业模式无须拼命解释,把它引入到一个场景,就可以跑得顺畅;有流行潜质的产品也无须用力推销,把它代入到一个场景,就能让人感受到针对痛点的创新;而可怕的黑』技术也无须太费周章,把它还原到一个场景,就能看到N条实现路径。
比如之前,两名美国黑客切入乘用车场景,通过切诺基的车载娱乐系统发送指令,启动仪表盘上的各种功能,控制包括转向、刹车、换挡等汽车总线系统,通过一台笔记本接入互联网,轻松操控汽车,让车内人成为任其摆布的『棋子』,以至于克莱斯勒不得不召回百万辆汽车。而号称『超级安全』的未来代表特斯拉同样不能幸免,黑客们借助车载系统的浏览器安全漏统,轻松接管其控制权……
而离我们生活更近的O2O则是又一个爆点,那些所谓的线上预约,家中享受的上门服务,未必就是你预订的那家——通过App劫持的办法,黑客将你的预订信息交予其竞争对手,上门的人就可以用铺贴、首单免费等办法,把你拉入另一阵营。当然,若再恶趣味一些,黑客不小心将信息倒卖给你仇家,那画风可就没辣么轻松惬意了,再大呼『坑爹』为时已晚……
更可怕的是那些高阶『黑』。就像王琦亲身经历——身在国外,仅是打开手机的『无线局域网』设置,就被莫名链接到一个WIFI,还很亲民的显示成『国内自家办公室的名称』,等发觉时,恐怕早已被黑客们『扒到裸奔』。更有黑客长期秘密控制酒店、咖啡馆公用WIFI路由器,保管任何人登录的网银都是他们克隆的站点(域名等所有细节均无瑕疵),不用多久,就将相关银行账户洗劫一空……
如今,越来越智能的场景,给予大众的,是贴心和个性化的服务,给予黑客的,却是更多下黑手的场景切角,路径、手法不一而足,窥探、控制也变得越来越容易,足以造成不止10000点伤害。
怎么办,怎么办?
其实,诸多厂商负有不可推卸的责任。王琦这样告诉小郝子,提供了路由器,只考虑销量,却没有提供健全的安全机制;开发了智能穿戴,只顾迭代优化体验,却不让联网安全与时俱进;制造了性感的电动车,只在外围安全上下功夫,却忽略内部的SD卡接口……最终给了黑客太多可乘之机。更可怕的是,还有很多国内的厂商死鸭子嘴硬,不被花样吊打,都不肯承认自己的有漏洞,讳疾忌医,直到一大波危机正面袭来,才肯就范服软。
总而言之,众多厂商在安全问题上总是后知后觉,不被打到痛彻心扉,都难以意识到它的重要。所以,GeekPwn为各类厂商提供系统的安全培训,协助它们建立全面、前瞻的安全策略。可即便如此,现实中,仍有很多厂商不以为然,自顾自地在旧有体系上缝缝补补,而非对原有体系的不合理之处进行根本性的变革。以至于现下的黑客攻击愈演愈烈。
既然太多商家指望不上,我等小民只能多求自保,参与GeekPwn全球黑客大赛的白帽们建议如下:
1、除了像3.15晚会建议的那样,不要链接来路不明的公用WIFI(无线蜜罐),更不要在任何公用WIFI下,登入网银或敏感账户。否则,很可能成为黑客眼中的一块肥肉,银行账户被清空,有价值的网络账户和个人信息被拍卖N次……为了节约一点点的流量费,因小失大,绝对得不偿失。
2、手机解锁、家用WIFI等密码要设置好,尽量要使用包含复杂字符的长密码(如WPA2),并且不要随意将密码泄漏,至少可以加多一层防护,降低被黑的可能性。当然,也别忘记给各种智能设备勤快地打补丁,从正规渠道下载软件,访问靠谱的https网站(信息传输有加密),不过,仍须警惕浏览器的任何异常。
3、不要使用随处可连公共WIFI,却无需密码的App工具,搞不好,你就是在黑客面前裸奔,成为任人宰割的鱼肉,整个人都不会再好了。
在小郝子看来,千万不要等到吃尽了苦、踩够了坑,领略到黑客杀伐的血腥和惨烈,才认识到安全的重要。无论是个人,还是厂商,众筹起白帽的商业生态,为抵抗黑暗势力的绝地武士们配给爱的供养,这才是如今智能社会下的光明之道。从这个意义上说,如GeekPwn一般的全球黑客大会,还是举办得太少了。
————————
作者:小郝子 / 混混9年时光,一只互联网商业模式的思考喵……微信公众号——郝闻郝看(ID:haowenhaokan),互联网的幸福就在这里