智能城市安全系统可靠吗？安全漏洞简直不要太多

本文由腾讯数码独家发布

城市化科技化的发展，我们的生活因为技术变得便利的同时，在风平浪静的表面下，其实还存在许多的问题。IBM日前在测试中，发现我们寄希望的智能城市安全系统充满了漏洞，数量高达17个之多，这些漏洞可能会导致核心服务的安全问题。

周一在拉斯维加斯举行的黑帽会议(Black Hat conference)上，一家由黑客和测试人员组成的团队，在会上展示了智能城市安全系统的不堪一击。

智能城市技术截止到目前，根据数据统计已经投资将近800亿美元，到2021年将达到1350亿美元。智能城市安全系统设计水资源过滤系统、智能城市照明、交通控制中心以及公共设施等等，这些部门相互交织，庞大而重要，旨在通过技术的投入是城市生活更加节能、环保以及便于管理。所以牵一发而动全身，每个部门都应配合的默契而天衣无缝，一旦一部分出了问题，造成的影响就可想而知了。

现在已经有实例证明这个影响的严重性，像乌克兰的电网系统，每一步都需要谨慎的考虑安全问题，保证城市不会被放置在危险之中。

IBM的团队和来自Threatcare的研究人员一起发现，在众多城市智能安全系统中，最容易被攻击的就是Libelium, Echelon and Battelle这几家公司联合开发的安全系统。Libelium是一家无线传感器网络硬件制造商，Echelon则主要专注于工业物联网的开发，非盈利公司Battelle主要是开发以及商业化销售相关技术。

所以我们就以存在问题最多的这是三家公司的成果举例，看看我们的智能城市安全系统究竟存在些什么问题。

根据研究团队的研究人员丹尼尔•克劳利(Daniel Crowley)提供的信息，在目前的4个智能城市安全系统中，发现的17个漏洞中，有8个漏洞是非常严重的。其实许多漏洞都是因为少于实践实现而造成的，像默认密码、绕过身份验证以及SQL注入等。

该团队发现了Libelium公司的无线传感网络中存在四个关键的预认证设置缺陷。Echelon公司用来自动化控制和能源管理的两个多功能控制器出现信息泄露、使用默认凭证以及被发现密钥等这样的严重问题。Battelle的V21中心版本2.5.1，应用在车辆和基础设施管理的系统版本存在安全性不高这样的问题。

但是上面都不是最严重的，最糟糕的是硬编码的管理员账户，然后是允许不进行身份验证就能够访问敏感重要功能，默认API密钥、绕过身份验证以及不应对XSS攻击等问题。

在集合各种城市系统存在的明显问题之后，研究小组发现，甚至有数十台甚至数百台的供应商设备会暴露在远程的在线访问之中。研究人员表示，一旦找到了一台暴露在外的设备，就可以通过互联网搜索，访问一些比较私密的信息，比如谁购买了这个设备，购买这个设备的涌用途是什么？

这个系统假如现在就投入应用，简直不敢想象我们会面对怎样混乱的一个城市，智能城市安全系统还需要技术方面的投入，我们期待更好的安全系统给我们的城市一个更好的生活环境。

来源：zdnet