登录×
电子邮件/用户名
密码
记住我
智慧城市群

智能建筑或为黑客大开方便之门

配备大量联网设备、依靠互联网控制的智能建筑容易成为黑客的目标,安全漏洞使黑客能够轻易取得控制权。

尽管电影迷或许能够领会针对建筑物技术系统、经过精准时间安排的犯罪袭击有多危险,很多高管似乎还没有意识到,今天与互联网连接的设备给他们的运营造成的风险。

好莱坞电影展示了这种威胁,其中一例是2001年的赌场盗窃动作片《十一罗汉》(Ocean’s Eleven)。影片讲述一名职业大盗和他的同伙通过劫持监控摄像头盗取拉斯维加斯一家赌场的保险库中的财物。

《十一罗汉》系列三部曲电影展示了能够让安全系统瘫痪的犯罪袭击,其可信度高得令人不安——这些犯罪通过结合专业技术知识和传统骗术实现。除了《十一罗汉》系列电影以外,《碟中谍》(Mission: Impossible)系列电影、詹姆斯•邦德(James Bond)系列电影、《虎胆龙威》(Die Hard)系列电影等也一再重复建筑物在电子伏击下落败的戏码。

人们日益担心,随着现实世界中的建筑物越来越多地与互联网相连接,它们也变得越来越容易遭到网络犯罪袭击的侵害。

所谓的“智能建筑”利用互联网连接来控制日常运行,包括供暖、照明和安全。锁具、旋转门和监视摄像头现在都由微电脑控制,它们就像个人电脑和智能手机一样容易被黑客攻破,管理咨询公司毕马威(KPMG)网络安全业务合伙人马尔泰因•韦尔布里(Martijn Verbree)表示。

韦尔布里表示:“商业建筑比许多建筑所有者和经营者想的要脆弱得多。”

“给这些建筑加入新的联网设备,就是每天添加新的漏洞。”

许多证据表明,现在罪犯已经有能力利用智能建筑中联网设备存在的漏洞。

在两年前的拉斯维加斯Def Con年度科技会议上,麻省理工学院(MIT)毕业生扎克•班克斯(Zack Banks)和埃里克•范艾伯特(Eric Van Albert)展示了如同《十一罗汉》情节的手法,他们可以劫持一台监控摄像头,并让安保人员无法察觉该设备已被接管。

2016年初,IBM的X-Force Red穿透测试小组的安全研究人员描述了他们如何在获得许可的情况下,入侵一名客户的楼宇自动化系统。该系统控制楼宇中的传感器和恒温器。

“通过与系统运营商和建筑管理人员合作,我们发现了(系统)架构中存在几块令人担忧的地方,恶意攻击者不仅可能借此控制单个建筑系统,还可能进入系统运营商运行的中央服务器,进而将控制范围扩大到地理位置相互分散的其他建筑物,”IBM的研究人员写道。

漏洞的一部分责任在互联网联网设备制造商身上,视觉监控科技公司Cloudview的首席执行官詹姆斯•威克斯(James Wickes)说。

威克斯说,联网监控摄像头和数码视频录像机等产品在抵达客户的建筑物时经常设定为连接端口打开,并且只设置了默认密码。

追踪这些设备和在设备安装后确保设备安全性可能非常耗时,许多公司都忽视了这个任务,威克斯说。

类似的,他表示,为解决漏洞从技术供应商处下载软件补丁在常规计算机设备方面很寻常,但在联网产品方面,这种措施的实施通常没那么积极。

对行业专家来说,这也难怪联网闭路电视摄像头和录像机是犯罪分子的主要劫持目标,犯罪分子会将这些设备用作攻击企业网页的“奴隶”。

去年10月,犯罪分子用流量淹没了企业网站——包括Twitter、英国《金融时报》、《纽约时报》(New York Times)和爱彼迎(Airbnb)——直到这些网站崩溃(这被称为分布式拒绝服务攻击(DDoS))。黑客很可能利用了由被入侵的联网设备组成的网络——也就是“僵尸网络”——来发送恶意流量。

读者评论

FT中文网欢迎读者发表评论,部分评论会被选进《读者有话说》栏目。我们保留编辑与出版的权利。
用户名
密码
FT中文网客户端
点击或扫描下载
FT中文网微信
扫描关注
FT中文网全球财经精粹,中英对照
设置字号×
最小
较小
默认
较大
最大
分享×