欢迎进入中国计算机用户协会信息安全分会网站!
当前位置: 首页 >> 新闻动态 >>
  • 业界资讯
  • 业界资讯
    安全观察:黑掉一台特斯拉的“后门”
  • 时间:2014-05-16
  • 来源:赛迪网
  • 当密码可以被轻易破解,如何在物联时代看好你财产?

    设想一下,你现在要跟六个对手玩石头剪刀布,而且必须在第一次出手时连续击败他们。如果其中一个失败,就必须从头再来。而如果成功,你就可以获得iPhone6作为奖励。你有N次机会。你觉得你可以得到iPhone6吗?

    答案是肯定的。首先,从数学理论上分析你确实有机会使出正确的组合来连续击败六个对手,其次也是更重要的一点,你可以通过观察对手的出手习惯来获胜。

    在企业安全顾问Nitesh Dhanjani看来,正是这种思维实验理论,使得特斯拉S型豪华全电动汽车失去了对黑客的防护能力。Dhanjani在亚洲黑帽大会(Black Hat Asia)上指出,黑客可以轻易绕开特斯拉的安全系统然后远程定位和打开特斯拉S型轿车的门锁。

    这个入侵源自一项特斯拉体验:特斯拉要求新用户在购买车辆后在teslasmotors.com建立一个账号。该账号会关联到一个iOS应用上,可以解锁、定位你的新车,以及一些其他功能。然而,该账号只通过一个简单的密码提供保障:只有包含一个数字和一个字母的六位密码,同时,你可以通过无限次的输入来尝试正确密码。

    由于缺乏账户锁定规则,即在经历一定次数的尝试失败后,S型轿车很容易被黑客用暴力攻击的方式入侵。暴力攻击的方式很简单,只需要不断猜测账户的密码直到正确为止。虽然手动猜测密码需要很长时间,但黑客们自有办法。

    黑客拥有一种名为“字典攻击”的工具,专门用于暴力破解,其中有一点与大家所想的不同:攻击并不是从字母“A”开始逐渐添加和改变字符,而是以最常见的密码开始的,比如“123456”和“password”,然后逐渐添加一些常见的值来猜测正确密码。这种手段用来对付仅用密码的防护措施非常有效。

    还好,特斯拉很快做出了修正。在Dhanjani的观点发表后,这家电动汽车公司设定了密码尝试次数限制,超过限制次数后账户将被关闭,同时他们也将密码的长度要求从6位增加到了8位。我们从这里能学到的教训并不是说S型轿车本质上就不安全(这种手段只是能定位和解锁车辆,并不能直接偷窃),而是需要对这些联网设备的安全标准进行重新考虑。

    随着越来越多的传统产品——如汽车、电视和恒温器等连接入网,这些设备变得更加容易被入侵或是被利用。过去的车主只需要担心小偷用金属片和撬棍偷车,而未来的车主则不得不考虑数据泄漏、出厂密码和黑客入侵等攻击。如上文提到的简单密码已无法适应当今的安全环境。

    目前,国内的很多厂商都将下一步的开发和投资重点放在了智能家电、互联汽车上,各个品牌的智能电视、智能空调、智能冰箱等产品层出不穷。人们可以借助背后的“云平台”,通过长期的数据积累和计算分析,进行更加个性化的操控,如已经被普遍采用的智能语音交互系统。然而,这些技术带给我们的不仅仅是更加便捷的生活体验,同时还为网络犯罪提供了更多的机会。

    那怎样才能在当今的互联环境中保护好物联物品呢?希望以下建议可以对你有所帮助:

    ·设置至少8位数字的复杂密码。你应该为每个需要登录的网站和服务设置一个独有的8位密码,使用大小写字母、数字和符号提高安全性。智能手机和其他移动设备上的应用也是一样。

    ·如果可以的话,使用双重身份认证。我们之前就说过:联网设备的安全标准,比如S型轿车的,都需要经过重新考虑。安全行业正在为这个问题寻找答案——其中之一就是双重身份认证,这个安全标准需要用户提供相应的信息,比如密码,以及他们拥有的一件东西,比如手机,通过输入发送到手机上的验证码进行登录。双重身份认证技术能够检验用户是否为本人。使用全面的安全软件保护你的电脑、智能手机和平板电脑。威胁来自四面八方,安全也必须如此。

    ·用全面的安全软件保护你的电脑、智能手机和平板电脑。

    注释:作者Gary Davis现为迈克菲全球消费市场副总裁。

    (责任编辑:aqxh)


    中国计算机用户协会信息安全分会版权所有

    Copyright© 1991-2023 中国计算机用户协会信息安全分会   京ICP备2021040407号

    技术支持:北京小鱼在线

    关注微信公众号