安全公司Trend Micro使用Shodan(一种用于公共互联网上查找联网设备的搜索引擎)来查找可用的家庭自动化服务器的案例。如果是你的服务器,你肯定不希望它出现在Shodan上。
你家里有多少连接设备? 根据TrendMicro的一份新报告,如果你家里联网设备超过10个的话,那么你可能会因此面临一定的复杂性问题,这会给你带来负担,而不是让你的生活更轻松。如今,对于在家中拥有大量连接设备的人来说,这不是新鲜事,但它反映了一个大家很少关注的问题,而且这个问题将影响智能家居市场扩展的范围,以及这些产品的安全性。
本周,安全公司TrendMicro发布了一份关于智能家居复杂性相关问题的报告,这对业内人士来说非常有必要了解一下。 这种复杂性对于将连接设备部署到企业环境中的人们也有影响。
接下来,我们深入了解一下。
该报告主要关注智能家居,TrendMicro将其分为两类。第一类是针对那些专门设计建设的,因为它们采用专用的,有时是专有的协议,直接连接到房子。在这种情况下,可能需要连接每个房间和家中服务器机柜,从而管理所有设备。另一类是我们更常见的, TrendMicro称之为“螺栓式”智能家居。
为了研究复杂的智能家居环境,TrendMicro分别建设一个智能家居样板,并使用两种不同的智能家居平台对其进行控制。在德国,TrendMicro使用开源家庭自动化服务器FHEM和EnOcean等协议来管理70多个设备,作为专用智能家居样板。在美国,他们增加了大约30个连接设,例如Ecobee恒温器和Hue灯泡,以创建一个螺栓固定的智能家居。并使用Home Assistant管理,Home Assistant是一个在专用计算机上运行的家庭自动化服务器,如Raspberry Pi。
智能家居拥有大量的设备,而且这些设备主要通过集中式网关连接到互联网,因此容易被发现并遭受到各种攻击。这些攻击就像找到一个暴露的自动化系统一样简单,并使用传感器和摄像头监控家中的人;而更复杂的攻击,包括创建虚拟设备并将其插入网络以欺骗系统。
令人不安的是,用户那些连接在一起以创建例程或场景联动的设备越多,系统就越有可能出现故障或陷入某种类型的攻击。例如,如果我们使用蓝牙或其它传感器在家中启用某种类型的状态检测,然后将其绑定到我的智能门锁,那么攻击者可能只需在我们的在线服务器中创建一个“看起来”像“我”的虚拟传感器,就可以轻松打开我们的门锁。
也许今天这听起来似乎有点牵强?但TrendMicro还发现很多这些智能设备都处于在线状态,而且只要愿意,谁都可以通过搜索引擎查看到。其中一些设备甚至还可以远程控制。更令人震惊的是,当TrendMicro查看这些服务器时,他们发现了一些设备来自开源组织,但也有来自商业供应商。
这意味着很多购买商用系统的小企业和消费者也可能面临风险。
通过网络摄像机,我们已经可以随时随地了解家里发生的一切。可以知道家人什么时候离开,什么时候回家,什么时候吃饭,什么时候洗澡、上床睡觉等等。老实说,这有点令人毛骨悚然,尽管家人知道我有这种访问权限。设想一下,如果换成其它人,他们能够自由的看到这一切,而你却不知道,将会有多可怕。
那么,有什么方法可以阻止这些行为呢? TrendMicro推荐分享了一些传统的安全措施,例如避免使用简单或初始密码,定期更改密码以及限制网络上的设备数量。然而,TrendMicro公司还建议了一些我们希望智能家居行业更加积极相应的方案,例如确保每种设备类型都被分类并为网络所知。这种可见性有助于让消费者了解其网络上的内容,也有助于企业创建自动控制中心,并为特定设备类型创建相应的安全逻辑规则。
例如,智能灯泡和恒温器基本上是没有必要进行相互通信,智能烤箱和智能锁也一样。同时,某些设备可能需要一些规则来阻止它们与其制造商未运行的外部Web服务器连接通信。从本质上讲,随着网络环境变得越来越复杂,各种连接设备在提升家庭安全性和舒适性中扮演着越来越重要的角色,企业需要考虑为普通消费者设计企业级网络安全产品。
值得庆幸的事,包括TrendMicro在内的许多企业正在为智能家居构建更安全的服务。 Comcast和Eero都推出了相应的安全解决方案产品,消费者也可以购买BitDefender和Cujo的独立服务,它们可以通过人工智能来帮助管理家中超过10台以上的连接设备,有助于保护消费者安全。(文/蒙光伟)