智能电表,愚蠢的安全? 入侵物联网

这篇文章最初发表于 2014 年 10 月 23 日。

根据英国的 能源与气候变化部,到 2014 年第二季度,家庭中安装了近 100,000 个智能电表——在西班牙,到 2018 年将安装数百万个此类能源监测设备。 英国广播公司 然而,利用物联网 (IoT) 并非没有风险:尽管它们很“智能”,但仪表和其他类型的家庭自动化技术很容易被黑客入侵。

家,甜蜜的家?

独立研究人员 Javier Vidal 和 Alberto Illera 拆开了一个智能电表 看看它是否可以被破坏。 他们发现了隐藏在设备固件中的加密密钥,这些密钥用于与配电系统进一步向上的“节点”进行通信。 有了钥匙和仪表的唯一 ID 号,Vidal 和 Illera 发现他们可以向电力公司发送虚假信息,要么少报要么多报所用能源。 他们还警告说,犯罪分子可能会伪造用户 ID 并完全避免付款,甚至切断特定家庭的电源。 两人将他们的发现交给了制造商,制造商正在努力解决这个问题。

但正如卡巴斯基实验室分析师大卫雅各比发现的那样,智能电表并不是您家中唯一面临风险的联网机器。 8 月,Jacoby 试图破解他家中的设备,并发现“两个流行的网络附加存储 (NAS) 设备包含超过 14 个漏洞,这些漏洞可以在最高管理权限下执行远程系统命令。” 此外,这些设备的密码既脆弱又未加密,为攻击者安装恶意工具或对其家庭网络进行攻击提供了一种简单的方法。 Jacoby 的 DSL 路由器和智能电视也存在漏洞:路由器隐藏了名为“网络摄像头”和“访问控制”的功能,而电视在下载缩略图或小部件等内容时没有使用身份验证或加密,容易受到人为攻击中间(MitM)攻击。

再次上路

如果您家中的联网设备遭到围攻,您总是可以跳上车并驶入日落而逃,对吧? 不幸的是没有。 经济学家 指出“现代汽车本质上是车轮上的计算机集合”,研究人员已经证明可以破解这些系统并取得控制权。 这包括轻微的烦恼,例如更换无线电台或调整温度以进行更危险的活动,例如将车轮拧到一侧或切断发动机的动力。 幸运的是,这些攻击中的大多数都需要直接访问汽车本身,但物联网的采用速度甚至开始超过这种物理安全性。

是的,情况变得更糟。 安全专家 Jay Radcliffe 发现有可能破解他的无线胰岛素泵并改变注射的胰岛素量,从而有效地使他成为一种无线谋杀的目标。 安全公司 Qualys 的 Billy Rios 说:“一些医疗设备存在超级简单的缺陷。”

回到石器时代?

这并不全是厄运和悲观——当研究人员发现可穿戴和联网家庭物联网设备的缺陷和许多明显问题已经得到解决时,公司往往会欣然接受。 但是最终用户可以做些什么来限制风险呢?

一种选择是完全放弃物联网,但随着政府急于无线连接关键基础设施并监控国内电力使用,这将变得越来越困难。 部分解决方案来自社会压力:用户必须要求他们使用的设备具有内置安全性,绝不会跳过加密或提供管理后门。 要增强控制,请掌控您自己的连接 — 在家里和您的移动设备上,选择完全加密的匿名连接,这样可以有效地加强您的家庭免受攻击者的攻击。 他们正在寻找一种通过“愚蠢”仪表或不太智能的电视的简单方法; 让它变得困难,他们会去别的地方。

物联网为家庭、车辆甚至医疗设备提供了真正的好处,但是当个人数据遇到无线连接时,事情就会变得复杂。 保持简单 – 保持保护。