捍卫物联网:第一手经验

亲身设计家居网络安全防御系统,我再不会嘲笑物联网开发者了。

你有没有注意过, 在《星球大战》这部电影中, “我有一种不详的预感”这句话出现过多少次?这个反复出现的梗让影片具有连续性、富有小幽默, 还有对未来体验的预期, 是观看每一部续集时值得期待的彩蛋/小惊喜。不过我的问题是, 在日常生活中这句话的出现频率不会太高。

然而, 在#TheSAS2018上我多次想到这句话。今年, 策划组在大会第二天安排了一系列研讨会。正如物联网研讨会负责人Denis Makrushin所指出的, 研讨会的目的是提供实际动手体验, 而不是进行传统的演示。此外, 研讨会面向的是参加大会的各类观众, 而不仅仅是核心安全研究人员。

对我来说, 大会中新增加的这个环节听起来满不错的。但我主要关注的是通信和营销方面;如果我参加研讨会, 那么我的角色应该是提高人们对大会中这一环节的关注, 或者吸引社交网络上的更多人观看。我走进这间会议室, 脑中想着如何说服Makrushin同意通过播客与我通话, 但我发现他有另外的想法:”好的, Jeff, 我会做播客, 但条件是你得参加这个研讨会。”

我有一种不详的预感。

根据大会手册中的该环节摘要, 研讨会的内容是物联网实践学习, 更具体地说, 是检查物网设备的安全性。我们将研究如何提高联网设备的安全性。

但这个似乎不在我擅长的技术范围内。当然, 我以前也在Raspberry Pi上构建过Retropi系统, 但不过是把游戏拖放到模拟器中罢了。

挑战

David Jacoby招手让我坐到Raspberry Pi电脑键盘后面, 他正在为研讨会做准备, 这时我感到越来越担心。我是第一个到这间会议室, 所以他向我详细说明了流程:在接下来的一个多小时里, 我会作为其中一队的成员, 与另一队展开竞争, 构建符合以下标准的家庭安全设备:

  1. 必须基于开源技术而构建;
  2. 必须使用网络分段;
  3. 必须通过VPN访问;
  4. 不得使用默认密码;
  5. 必须可供任何人使用。

很简单, 对吧?我有一种不详的预感。

随着研讨会即将开始, 越来越多的人来到会议室, Jacoby和Marco Preuss把与会者分成两组。另一组中有在不同安全领域工作过的人。我所在的组有卡巴斯基实验室的一名公关同事、一名记者以及我本人。太好了。

在研讨会开始之前, 又有一位会编码的软件开发人员加入我们, 所以情况更乐观了一点。然后Jacoby通知我们, 因为时间关系 – 马上要举行闭幕式了 – 我们只需展示理论上的设计, 而不用真正建立一个工作设备。这让我们都松了一口气。

规划一个完美的联网设备

随后……我们立即动手, 动笔设计并谈论如何使用开源技术来保护智能家居系统。我们要做的第一个决定是要把Raspberry Pi用作路由器还是防火墙。这两种做法各有优点, 但我们最终决定考虑使用OpenDNS以及数据表来创建白名单。从VPN的角度来说, 我们计划运行的是OpenVPN和PiVPN。此外, 我们还把向网络上的设备分配我们的证书, 为理论家居系统的访客提供访客网络。

我们对自己设计的系统很满意。这种安全系统并不算难。经过约一个小时的辩论和思想交流之后, 现在是向Jacoby和Preuss展示我们的工作成果的时候了。

在第一队的理论产品受到不断挑剔时, 我们还很自信。听到第一种解决方案有10个地方不符合所有标准后, 轮到我们的解决方案了。我们的队员很好地表达了我们的想法, 我们确信自己的点子会成为下一个百万美元的投资目标 – 《创智赢家》, 我们来了。然而, 评判方对此却有不同的想法, 他们从我们的解决方案中挑出了一个又一个问题。

并没那么简单

毕竟, 这正是研讨会的目的。我们在谈到IoT灾难和安全故障的案例时, 最后总是以高姿态地呼吁IoT开发商把安全放在第一位, 但在研讨会上, 通过亲自动手, 我们才真正体会到, 相比把概念落到实处, 使其安全、易用, 只是提出概念再容易不过了。

保护智能家居系统要比想象中困难得多, 而且在研讨会中身为”安全分析师”的一群人是无论如何也不可能想出神奇的”独角兽”产品来确保万无一失的。

研讨会迫使我们的团队离开舒适区, 去思考随着越来越多的设备接入互联网, 我们会面临的非常现实且日益严重的问题。虽然每个人都会”失败”, 但对我来说, 研讨会在#SAS2018期间可谓独树一帜, 因为这是一项积极的挑战, 而不只坐在那里听取某些研究报告 – 即便胡闹的研究。

如果您的家里已经有联网设备, 你想知道它们的安全性, 请尝试使用我们的物联网扫描程序。你还应该尽可能地提高设备安全性, 从更改默认密码一直到确保固件实时最新。

提示