【RSA 2017】DAY 5 · 最后一天仍有猛料曝 — 卖出两年的汽车仍尽在掌控

DAY 5

大咖盛宴 欢聚一堂

今天是本届RSA大会的最后一天,安排的议题和小组讨论并不多,但还是有猛料爆出。

在一场有关物联网安全的演讲中,IBM公司X-Force Red小组的全球主管Charles Henderson通过自身的亲身经历与大家分享了他在物联网安全领域的最新发现。

物联网的末日浩劫

Henderson的演讲题目足够吸引眼球 ---《物联网的末日浩劫(IoT End of Days)》。

激发Henderson探索物联网安全领域的源动力源自于他两年前的一次卖车经历。这是一辆配备有导航系统、卫星广播、实时助手、车联网、移动应用等各种高科技装备的汽车,车主在移动设备上就可以对汽车进行定位,或控制车内温度、导航、鸣笛,甚至开锁。

Charles Henderson 演讲现场

作为一名技术宅,Henderson当然知道在卖车之前取消所有账户的授权,经销商也可以保证在卖车的时候已将所有车钥匙都交给了Henderson,但时隔两年之后,Henderson惊奇的发现他依然可以通过移动应用控制这辆车。

接下来Henderson调查了几家汽车经销商。经销商在出售这类智能汽车时一般都是将口令重置为默认口令。如果新的车主发现无需车联网功能仍可以正常使用这辆汽车的话,就可能没有更改默认口令,更不会去想撤销其他用户的访问权限。这也就不难理解Henderson在卖车两年之后仍可以轻易的控制这辆汽车。

汽车厂商对于智能汽车并非没有物联网安全方面的考虑,也采取了一些应对措施。例如,对于汽车定位功能,不少厂商将该功能仅限定在一公里或一英里范围内,超过这个范围就无法定位到汽车,以防范别有用心的用户远程定位到汽车并将其开走。但定位功能是基于电话实现的。假设定位请求被限制在一公里范围内,如果手机无法定位到汽车,就可以确定以手机为圆心的3.14平方公里范围内是不存在这辆汽车的:

以此类推,可以接着确定下一个3.14平方公里范围内是否存在这辆汽车。除去两个测量范围之间的重叠部分,每个测量点大概可以覆盖2.6平方公里。这样的话,通过304次汽车定位请求,就可以在全纽约市范围内准确的定位到这辆汽车:

找到汽车后,再利用遥控解锁等功能功能上的漏洞,开走这辆汽车应该并非难事。前段时间网上疯传的一段视频,就演示了海特实验室的研究人员利用滚动码攻击方式,轻易的开走了一辆奥迪轿车:

视频内容

又是一个典型的物联网安全案例!说物联网安全是今年RSA大会上最热的话题,一点也不为过。在卡巴斯基所做的今年RSA热点问题投票中,物联网 关键基础设施安全问题 高居前两位:

在前几天的RSA报道中,

小安专门就物联网安全这个话题做过讨论。

今天,小安愿意引用Henderson的演讲,

为物联网设备制造商和用户提几条建议:

对于设备制造商

· 必须制定并遵守设备恢复出厂设置的严格标准;

· 必须培养用户正确使用恢复出厂设置这个功能;

· 对于智能科技,应考虑制定多个用户使用情况下的指导和销售培训。

对于汽车车主

· 购买二手车时要确定汽车是否具有联网功能,如果具备联网功能,确认是否可以切断与前车主之间的关联;

· 如果出现了诡异的情况,咨询经销商如何重置汽车的遥控功能;

· 即使是新车,也要考虑以上两点。像重视网络安全一样重视汽车安全。

此外,Henderson在演讲中还特别提到了智能家居的安全问题,也为智能家居用户提供了几条建议:

智能家居

· 购买和转手物联网设备之前,将设备恢复到出厂设置,包括全新的设备;

· 买房卖房时要特别留意智能家居物联网设备可能存在的风险隐患;

· 家中没有连到控制器上的设备或连接到前任房主账号上的设备都可能是僵尸设备。

| 闭幕 |

艾米奖获得者,晚间脱口秀金牌主持人

Seth Meyers

把他的幽默和智慧

带到了RSA的舞台上 ~

Seth Meyers 的闭幕演讲

| 花絮 |

~ 大会收官 ~

RSAC Bash

大咖们的大派对

| 三藩 · 日落后的欢庆 |

游戏 音乐 舞蹈 美酒

一年一度的RSA大会就这样落下了帷幕。

几天下来,小安与同事们一起收获了界同行和领导们的认可与鼓励,也感受到了现场观众对于安恒信息的专注与欢迎;通过RSA大会,我们学习到了业界最前沿的技术趋势,开阔了视野,结识了更多的朋友。

更重要的是,我们让世界更深入的了解了安恒。

RSA 2017 安恒团队全体成员

RSA 2018,我们明年再见!

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-02-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏镁客网

全新泵洗细胞技术采用猪肝脏,融合干细胞培育实现无排异反应的异种肝脏移植 | 黑科技

15700
来自专栏编程坑太多

22 岁毕业做程序员的「普通」人,50 岁时的人生轨迹是怎样的?

  常年坐着写代码让我得了职业病,颈椎和腰椎都不太好。当然我也自认为是有些优点的,首先我对自己的逻辑能力还比较有自信,我也喜欢学习,编程完全是自学的,现在虽然一...

13840
来自专栏老九学堂

一张图看尽程序员所有出路

最近在琢磨程序员到底路在何方,经过不断的自虐和代入,终于在迷雾森林中得图一张,看之豁然开朗,独乐乐不如众乐乐,分享给各位小伙伴: ? 术语表: 程序员:撰写代码...

350100
来自专栏数据科学与人工智能

【陆勤阅读】12 位史上最“屌”程序员,他们缔造了整个互联网时代

人们每天使用的App,以及玩儿的电子游戏不是凭空就有的,而是程序员笔耕不辍,靠着他们一行行的代码开发出来的。 当然,那些App应用、网页、甚至是整个互联网本身...

23970
来自专栏云计算D1net

当年戴VR开真车的那群人...最近他们玩出了更牛掰的克隆对决...

话说,去年的时候,有过这么一个事儿。 当时嘉实多极护找来了英国Top Gear的Stig兄——Ben Collins,和美国极限运动的高手——漂移车手Matt ...

37690
来自专栏养码场

90年代自学C,独立研发中文编辑器和输入法,被称小说圈中的Geek,你一定不知道这样的王小波!

早在90年代初,王小波就接触了计算机。1988年,他毕业于美国匹兹堡大学东亚研究中心,获硕士学位,那时就知道Macintosh,玩过IBMPS/2。

12520
来自专栏币圈

罗爷说币:罗爷教你秒懂吃人不吐骨头的空气币

没进币圈,小白会认为处处是赚钱的地方,罗爷告诉你们其实市面上超过90%的币都是纯空气币,如果从投入和产出来看的话,95%都是空气币。为啥这么说呢,大家要知道,现...

10520
来自专栏编程坑太多

想想自己如果不做开发,可能会从事什么职业?

PS:愿你岁月无波澜,愿我余生不悲观,我身边儿呐大多数人都已经认命,但我还在拼命,我不赶什么潮,我也不搭什么船,我有自己的海,程序员老铁们,加油吧。

20660
来自专栏大数据文摘

你永远不想被问到的12个真实技术工作面试题

13520
来自专栏罗超频道

Super快报第38期:苹果的周末

1、百度与PPS均否认爱奇艺收购PPS 针对有消息称爱奇艺通过百度收购PPS一事,百度内部人士向新浪科技予以否认,PPS官方也予以否认。不过据知情人士称...

34740

扫码关注云+社区

领取腾讯云代金券