本文由騰訊數位獨家發布
城市化科技化的發展,我們的生活因為技術變得便利的同時,在風平浪靜的表面下,其實還存在許多的問題。IBM日前在測試中,發現我們寄希望的智能城市安全系統充滿了漏洞,數量高達17個之多,這些漏洞可能會導致核心服務的安全問題。
周一在拉斯維加斯舉行的黑帽會議(Black Hat conference)上,一家由黑客和測試人員組成的團隊,在會上展示了智能城市安全系統的不堪一擊。
智能城市技術截止到目前,根據數據統計已經投資將近800億美元,到2021年將達到1350億美元。智能城市安全系統設計水資源過濾系統、智能城市照明、交通控制中心以及公共設施等等,這些部門相互交織,龐大而重要,旨在通過技術的投入是城市生活更加節能、環保以及便於管理。所以牽一發而動全身,每個部門都應配合的默契而天衣無縫,一旦一部分出了問題,造成的影響就可想而知了。
現在已經有實例證明這個影響的嚴重性,像烏克蘭的電網系統,每一步都需要謹慎的考慮安全問題,保證城市不會被放置在危險之中。
IBM的團隊和來自Threatcare的研究人員一起發現,在眾多城市智能安全系統中,最容易被攻擊的就是Libelium, Echelon and Battelle這幾家公司聯合開發的安全系統。Libelium是一家無線傳感器網絡硬體製造商,Echelon則主要專注於工業物聯網的開發,非盈利公司Battelle主要是開發以及商業化銷售相關技術。
所以我們就以存在問題最多的這是三家公司的成果舉例,看看我們的智能城市安全系統究竟存在些什麽問題。
根據研究團隊的研究人員丹尼爾?克勞利(Daniel Crowley)提供的資訊,在目前的4個智能城市安全系統中,發現的17個漏洞中,有8個漏洞是非常嚴重的。其實許多漏洞都是因為少於實踐實現而造成的,像默認密碼、繞過身份驗證以及SQL注入等。
該團隊發現了Libelium公司的無線傳感網絡中存在四個關鍵的預認證設定缺陷。Echelon公司用來自動化控制和能源管理的兩個多功能控制器出現資訊泄露、使用默認憑證以及被發現密鑰等這樣的嚴重問題。Battelle的V21中心版本2.5.1,應用在車輛和基礎設施管理的系統版本存在安全性不高這樣的問題。
但是上面都不是最嚴重的,最糟糕的是硬編碼的管理員账戶,然後是允許不進行身份驗證就能夠訪問敏感重要功能,默認API密鑰、繞過身份驗證以及不應對XSS攻擊等問題。
在集合各種城市系統存在的明顯問題之後,研究小組發現,甚至有數十台甚至數百台的供應商設備會暴露在遠程的在線訪問之中。研究人員表示,一旦找到了一台暴露在外的設備,就可以通過互聯網搜索,訪問一些比較私密的資訊,比如誰購買了這個設備,購買這個設備的湧用途是什麽?
這個系統假如現在就投入應用,簡直不敢想象我們會面對怎樣混亂的一個城市,智能城市安全系統還需要技術方面的投入,我們期待更好的安全系統給我們的城市一個更好的生活環境。
來源:zdnet
香港九龍灣馬來街興發大廈15樓D室