【RSA 2017】DAY 5 · 最后一天仍有猛料曝 — 卖出两年的汽车仍尽在掌控
DAY 5
大咖盛宴 欢聚一堂
今天是本届RSA大会的最后一天,安排的议题和小组讨论并不多,但还是有猛料爆出。
在一场有关物联网安全的演讲中,IBM公司X-Force Red小组的全球主管Charles Henderson通过自身的亲身经历与大家分享了他在物联网安全领域的最新发现。
物联网的末日浩劫
Henderson的演讲题目足够吸引眼球 ---《物联网的末日浩劫(IoT End of Days)》。
激发Henderson探索物联网安全领域的源动力源自于他两年前的一次卖车经历。这是一辆配备有导航系统、卫星广播、实时助手、车联网、移动应用等各种高科技装备的汽车,车主在移动设备上就可以对汽车进行定位,或控制车内温度、导航、鸣笛,甚至开锁。
Charles Henderson 演讲现场
作为一名技术宅,Henderson当然知道在卖车之前取消所有账户的授权,经销商也可以保证在卖车的时候已将所有车钥匙都交给了Henderson,但时隔两年之后,Henderson惊奇的发现他依然可以通过移动应用控制这辆车。
接下来Henderson调查了几家汽车经销商。经销商在出售这类智能汽车时一般都是将口令重置为默认口令。如果新的车主发现无需车联网功能仍可以正常使用这辆汽车的话,就可能没有更改默认口令,更不会去想撤销其他用户的访问权限。这也就不难理解Henderson在卖车两年之后仍可以轻易的控制这辆汽车。
汽车厂商对于智能汽车并非没有物联网安全方面的考虑,也采取了一些应对措施。例如,对于汽车定位功能,不少厂商将该功能仅限定在一公里或一英里范围内,超过这个范围就无法定位到汽车,以防范别有用心的用户远程定位到汽车并将其开走。但定位功能是基于电话实现的。假设定位请求被限制在一公里范围内,如果手机无法定位到汽车,就可以确定以手机为圆心的3.14平方公里范围内是不存在这辆汽车的:
以此类推,可以接着确定下一个3.14平方公里范围内是否存在这辆汽车。除去两个测量范围之间的重叠部分,每个测量点大概可以覆盖2.6平方公里。这样的话,通过304次汽车定位请求,就可以在全纽约市范围内准确的定位到这辆汽车:
找到汽车后,再利用遥控解锁等功能功能上的漏洞,开走这辆汽车应该并非难事。前段时间网上疯传的一段视频,就演示了海特实验室的研究人员利用滚动码攻击方式,轻易的开走了一辆奥迪轿车:
又是一个典型的物联网安全案例! 说物联网安全是今年RSA大会上最热的话题,一点也不为过。在卡巴斯基所做的今年RSA热点问题投票中, 物联网 和 关键基础设施安全问题 高居前两位:
在前几天的RSA报道中,
小安专门就物联网安全这个话题做过讨论。
今天,小安愿意引用Henderson的演讲,
为物联网设备制造商和用户提几条建议:
对于设备制造商
· 必须制定并遵守设备恢复出厂设置的严格标准;
· 必须培养用户正确使用恢复出厂设置这个功能;
· 对于智能科技,应考虑制定多个用户使用情况下的指导和销售培训。
对于汽车车主
· 购买二手车时要确定汽车是否具有联网功能,如果具备联网功能,确认是否可以切断与前车主之间的关联;
· 如果出现了诡异的情况,咨询经销商如何重置汽车的遥控功能;
· 即使是新车,也要考虑以上两点。像重视网络安全一样重视汽车安全。
此外,Henderson在演讲中还特别提到了智能家居的安全问题,也为智能家居用户提供了几条建议:
智能家居
· 购买和转手物联网设备之前,将设备恢复到出厂设置,包括全新的设备;
· 买房卖房时要特别留意智能家居物联网设备可能存在的风险隐患;
· 家中没有连到控制器上的设备或连接到前任房主账号上的设备都可能是僵尸设备。
| 闭幕 |
艾米奖获得者,晚间脱口秀金牌主持人
Seth Meyers
把他的幽默和智慧
带到了RSA的舞台上 ~
Seth Meyers 的闭幕演讲
| 花絮 |
~ 大会收官 ~
RSAC Bash
大咖们的大派对
| 三藩 · 日落后的欢庆 |
游戏 音乐 舞蹈 美酒
一年一度的RSA大会就这样落下了帷幕。
几天下来,小安与同事们一起收获了界同行和领导们的认可与鼓励,也感受到了现场观众对于安恒信息的专注与欢迎;通过RSA大会,我们学习到了业界最前沿的技术趋势,开阔了视野,结识了更多的朋友。
更重要的是,我们让世界更深入的了解了安恒。
RSA 2017 安恒团队全体成员
RSA 2018,我们明年再见!