申子熹先生畅谈网络信息安全、物联网

2011年11月29日，“趋势格局新机遇”第二期中国智能家居行业沙龙以“民用安防设备的智能化发展趋势”为主题，在慧聪网北京总部五方联动报告厅在活跃的现场互动中圆满结束。本次沙龙由慧聪智能家居网、中国物联网产业协会、香港嵌入式物联网研究院联合举办。

会议上嘉宾纷纷发言，讨论热烈，气氛融洽。

申子熹：大家好，今天我跟白老师谈了一下，我们那边最近有一个物联网方面的项目，在做的过程当中，可能有一些亮点，希望跟大家分享。今天我的议题的主要内容是以毒攻毒，物联网实地的黑白博弈。主要有五块，第一块是个人介绍，第二块是黑色产业链，第三块是物联网安全发展，第四块是物联网时代安全威胁，第五块是五莲问安全解决方案。

第一块是介绍一下我自己，我自己是恒安嘉新北京科技有限公司的安全技术总监，中国黑客联盟常务站长，OWASP中国区域核心成员，中国物联网产业协会信息安全技术总监。过年司法取证的经验让我了解到，黑客已经慢慢成为黑色产业链的一个必要的环节，比如木马、肉鸡灰个子，他们的曝光五率之所以日渐提升，是因其已经威胁到多数人德力利益，并正在形成一个侵犯个人隐私、财产、危机网络安全、导致网络出现恐慌的巨大阴谋。

这是一个黑色产业链的图形，黑客把病毒生产出来，盗号者会买到这些病毒木马，并进行传播，盗号人在购买病毒过程中，在盗号人的帐户里发现了1600万的赃款，我们可以想象到这是一个大的分支，那么这些人可能会获得多少利益？

熊猫烧香大家已经很熟悉，在前后不到三个月的时间里，它的直接经济损失造成了上亿元，一时间计算机全是熊猫，有些损失惨重的企业和网民，他发出了十万美金的重金悬赏。

这是灰个子，也是我国安全事件或者安全领域里部分不可多得的一个事情，总共258.235台积极酸感染，意味着中国每10台电脑至少有一台中了灰个子的病毒。它的危害是非常大的，我们经常看到网上的一些艳照或隐私的机密曝光，这也是灰鸽子造成的。

这是一个案例，08年，有一个叫做木马病毒AV五终结者的用户，有这么一款病毒软件，它会直接破坏杀毒软件，让杀毒软件不能够正常运行，浏览器被关闭，当时受害的网民超过1000万。20011年11月，大量用户发现喜欢用的浏览器图表突然不见了，乱七八糟的图表删除充气后依然会出现。

结合互联网这个层面的安全威胁，我们可以分析一下，会不会对我们的物联网产生这样的威胁。我们可以了解一下木马植入的思路，他们通过网络购买或者自己编写，获取木马病毒，通过恶意网站传播或者电子间的传播或者通过QQ，导致让用户中毒，用户中毒可以导致网银密码北道，QQ密码被盗，造成的结果就是卖钱或者是敲诈或者是商业广告。

那么我们可以隐身到物联网安全这块，我们知道物联网已经应用到各个层面，包括票证和收费，商品防伪、门禁系统，图书管理、危险品管理，动物识别，我们之前分析的互联网的相关问题是不是可以应用到物联网上或者得到他的解决方案？我们可以了解物联网的总体需求主要是物联安全，第二块是信息采集安全。我们物联网收集的这些信息是不是真实的、可靠的；第三块是信息传输安全，这块可能也是我们非常忠实的，包括现在应用的技术，像蓝牙，像2.4G、3G这样的技术在传输过程中是不是存在安全问题，因为物联网和互联网肯定是互通的，我觉得它肯定是存在一些安全问题。第四点是信息处理、安全的综合，安全的最终目的是为了确保信息的机密性、完整性、真实性和网络的容错性。

下面是我们针对物联网层面设计的一个需要关注的一个问题，我们首先要了解感知层面，网络层会不会有攻击手段，应用层会不会有攻击手段。

这是我们物联网可能会遭受到的一些安全威胁，包括建筑层面、交通层面，监控层面，电脑层面，手机层面，家庭层面，甚至更多，这些东西以后肯定会延伸到物联网，包括智能家居。
这是一个国外的一个物联网中心的实利，伦敦公交使用的一种叫Mifare为被成功科隆，荷兰内务部大臣表示，全球多达10亿张安全卡追所使用的一项技术可以被轻易破戒，应约大公交系统中，这个技术已经在2005年的时候已经成功实现，在手机的窃听、劫持里边，我们很早的时间就可以做一卡复制，一个卡舰艇几个号，这个淘宝上也有卖，好象是30块钱一张卡，而且成本非常低，这种技术对公交卡造成极大的安全隐患。包括2008年的时候，在美国，应该是陷入了一场信用危机，他们所有的信用卡都可以被劫持，复制信用卡里边的信息，这是社会包括国家应该忠实的问题。

我们前一段时间知道，网上有人在报，我们现在使用的技术，经常可以在地铁上看到，墙上有一个2维码，你只要微乳叫块牌的工具打开，就可以直接下载一些软件，但是我们现在目前分析的不是它的问题，我们知道现在卖的火车票有一个方块，是一个2维码的防伪识别的工具。但是现在通过手机里的软件，块牌软件，可以明确地看到身份证号的泄露，包括出发的时间，只要有这么一个码，都可以成功地破戒。它在防伪领域用的还是比较多的，如果这个遭到破戒，危害是相当大的。

这个技术应该是非常非常神奇的，是笔记本可以偷车，我们现在可以用到的无线劫持，都用的是RFID技术，它在跟汽车字通讯的时候，如果我们在中间的一道通讯上，发一个足够强的信号，阻断RFID跟车正常的沟通和相互，这个车门就不可能被关，而且如果车钥匙可以直接启动汽车的话，我们可以复制钥匙里边所有的信息，通过笔记本，RFID的模块法虽给汽车内部，汽车就可以正常启动。所以以后不是拿一个小钥匙就能够成功地倒车，而是一个数据，就可以成功地启动汽车。

这个是ID时代的时候，中断相互应用的频段脉冲是我们比较关注的。比如以前有一个地方，他们的频段和我们的频段相差好的，他们在接受信号的时候，如果有一个足够强大的信号源就会中断我们的信号，或者串号或者劫持这样的方式出现。

2.5G呢，我们现在说的是移动互联网，可以伪造GPRS的服务节点和网关节点。可以通过任何的手机号，可以直接了解你的话费，打个哪些电话，办过哪些服务。

第三个时代是数字签名的伪造和劫持，我们在使用3G网卡的时候，我们的3G网卡会跟服务器做一个实时的交互，如果我们的数字签名经过伪造或者劫持，这个事物我们可以使用别人的信息或者别人的网卡的信息通过局域网可以上网。包括国家启动了一个概念叫做无线城市，它是页很多无线热点构成的。在这个过程当追，我们只要炼乳这个机站，挂一个APD，不需要任何的防空数据，可以直接登陆互联网。

第四个时代是4G时代，还待推广，我们在研究过程中还没有发现4G中的问题。

蓝牙是允许懂技术的个人利用蓝牙无线技术，在事先不通知或提示手机用户的情况下，朋友经过配对的过程中，私自传输你的手机，这是通过一种黑客的攻击方法来做的。如果技术够成熟，它可以监听所有拨打的电话包括发送、接收的短信，还有所有电话联系方式，偷听电话内容。

延伸到物联网层面，我们知道现在物联网这个行业不止是智能家居，包括其他行业也在用物联网技术。我们知道远程监控心脏起搏器，当心脏的保镖，我们通过远程技术，了解你的心脏起搏器的技术，调节或者做一些保护，如果这个技术被黑客劫持的话，它的危害可能不仅仅是经济，而是生命。

针对物联网安防解决方案，我们目前是针对物联网发展的需求，提供了几种针对行业技术性的解决方案，比如RFID、蓝牙的，移动传输的。我们现在只能提供一些建议或者是一些其他层面的解决方案，但是现在产品方面还没有落地，包括在国内的市场上。

那么RFID的主要攻击手段出现在版图重购和存储器读出版图重构，这个方面目前是比较烦琐的。

高铁呢，我们只能从个人得安全上出发，比如二微码，我们可以把它撕掉，在电脑中清空，做这么一些行为。

蓝牙它的安防防护主要在几个方面，一个是使用的蓝牙技术的厂商协商加密，另外是控制功率和接口数，如果不适用蓝牙的时候，尽量不开放蓝牙的功能。

红外传输呢，我们目前提供的建议只能是建议在产品开发这块，以单点通道进行点对点的传输。

移动层面这是应该和运营商共同解决的问题。

无线，我们觉得还是设置比较强的密码或者使用比较强的加密技术，这样也能控制我们的信息不被泄密。

我今天讲的就这些。
慧聪智能家居网