两名黑客能打开数百万个酒店房间,这意味着什么?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了两名黑客能打开数百万个酒店房间,这意味着什么?相关的知识,希望对你有一定的参考价值。
差不多一年之前,勒索病毒的爆发让我们见识到了漏洞威胁的可怕之处。事后多个调查机构证实,通过暗网的连接,找到漏洞的人、把漏洞做成黑客工具的人、发动攻击的人组成了一个产业链,最终掀起了全球性的安全恐慌。
这个事件里,我们看到了把安全漏洞工具化可能带来的社会性危害,但好在仅仅是计算机和网络的虚拟世界里。可是最近一些新的安全研究成果却表明,现实世界中也有黑客能够利用漏洞袭击的目标,比如我们身边很常见的东西:智能锁。
今天每个人都难免住酒店,假如你在一家五星级酒店休息的时候,门外却有个陌生人拿着一把×××,可以打开每间房的房门,你会是什么感觉?是不是有点毛骨悚然?
然而这件事确实有人能够做到,好在做到它的是两位安全专家。但同时他们也在提醒整个行业,越是智能的东西就会有越多漏洞。而任何漏洞,都可能是不法之徒的新机会。
两名白帽子,十年兼职,打开了数百万个酒店房间
让大牛推荐杀毒软件的话,我们经常能够听到一个叫做F-Secure的名字。这是一家欧洲很著名的网络安全公司,坐标在芬兰。最近很多欧洲媒体都报道,F-Secure的两名安全专家在业余时间搞了一点“小爱好”。这个业余爱好搞了十年之久,但“结果喜人”——他们破解了著名酒店锁制造商VingCard的安全系统,造出了可以打开使用VingCard锁的全球数百万个酒店房间的×××。
根据这两位高人Tomi Tuominen和Timo Hirvonen对媒体吐露的信息。事情最早要追溯到2003年他们的同事在酒店丢了电脑,但酒店坚持说自己没有责任。于是他们俩就想看看,到底能不能利用系统漏洞打开酒店的门锁,甚至不留下一点痕迹。
于是他们开始了漫长的研究,分析了智能锁的整个构造原理。最终通过找出一些看似无害的隐藏漏洞,造出了能够打开每扇门的钥匙。他们给这次行动起了一个很酷而且意味深长的名字:鬼锁(Ghost in the Locks)。
经过十年数千小时的工作,到2015年,两位专家建造了一个RFID演示环境,到2017年3月他们成功在一家酒店配置出了全能钥匙。根据他们的方案,只要拿到一家酒店的×××甚至是过期×××,就可以很快配出能打开酒店每个房间的主秘钥。并且他们的突破性在于,被×××打开的房门会完全记录为正常开门,甚至不会留下任何数据痕迹,可谓真正的来无影去无踪。
为了让破解酒店智能锁这件事有足够的说服力,两位专家选择了顶级锁商VingCard作为测试目标,很多知名酒店都是他们的客户,比如喜来登集团、洲际酒店等等。很多中国著名酒店,比如北京国贸大酒店,也在这次被攻克的酒店名单里。并且两位专家还谦逊地表示,他们用了十年之久,主要是因为还有全职工作,假如全心全意弄这件事,说不定很快就成功了……
目前他们已经把发现的漏洞公布,相关酒店也收到了漏洞补丁,但是想要填补这个漏洞必须在每个门锁上再加入一个固件,估计酒店和锁商都有的忙了。好在目前没有任何证据表明黑客和不法分子掌握了这项技术。
但这两位专家还是提醒我们,黑客通过漏洞获取能够打开大批智能锁的×××,也仅仅是时间问题而已。
一切联网的都有漏洞,而每个漏洞都是一把×××
当然了,天底下没有绝对的安全,任何锁都有能打开的办法,只是看值得与否。
在今天各种黑客大会上,破解各个品牌的智能锁基本已经成为了常规表演项目。在发布会上被说的天花乱坠的智能锁,到了黑客们手中基本经不住一会折腾。不少围观群众惊呼智能锁的战斗力也太弱了。
客观地讲,把传统家庭锁拿到开锁匠的大会上,估计也没有谁能刚一波正面。毕竟开门撬锁是一个多重因素制约的犯罪行为,试想真的有个黑客抱着电脑蹲在你家门口破解一两个小时,这画面的清奇程度也太辣眼睛了,至少小区里的大妈们绝不允许。
但芬兰两位大神导演的“鬼锁”事件却告诉我们,只要被黑客掌握了漏洞,完全可以把安全隐患构建为工具化,再把这种工具交到不法之徒手中,从而让任何人都能简单易操作地打开千家万户。
这就像勒索病毒事件中,发现漏洞、制作工具和实施攻击者分别是不同组织,他们之间的利益交换,导致了事件朝着越来越坏的方向发展。
对于智能锁的安全隐患也是一样,当紧盯着系统漏洞,伺机寻找破解方式的黑客,开始为“一线犯罪分子”提供×××等犯罪工具,那么智能锁的威胁才真正到来。
相比于家庭智能锁,公共区域的智能锁由于批次统一、作案难度小,确实可能成为黑客们的更好目标。酒店、民宿和智能仓库都是如此,尤其在新兴起的民宿行业中,密码锁基本是标准配置。而事实证明拦截密码也是最简单的智能锁突破口。
另一个存在智能锁安全隐患,却缺乏重视的领域是汽车。在车联网和汽车智能化不断发展的今天,汽车系统的背后也必然存在未知漏洞,通过它们来打开车窗车门,甚至操纵汽车本身,都值得安全产业警惕。
总而言之,在我们接受智能的馈赠时,似乎也必须要接受其背后可能藏着的“漏洞×××”。
鬼锁洞开之后:如何应对“智能锁依赖症”
智能锁的出现,确实让我们摆脱了对钥匙这种又笨又重东西的依存,尤其对于很多新兴行业来说,可以依靠手机和密码打开的智能锁,代表着商业模式可以达成的基础条件。
虽然安全永远是相对的,但专为豪华酒店打造锁具的行业顶尖企业都可以被攻克,或许还是应该带给我们新的警惕。
首先对于大规模使用密码锁、统一型号智能锁的行业,比如酒店、民宿、租车、智能仓库等来说,或许应该重视安全服务商的真正价值。这次事件已经证明,让白帽跑在前面,比黑帽们更早发现问题,很可能是最可取的方式。
而这就需要专业的团队和主动出击能力,尤其对于创业者来说,安全支出应该被视为不能节省的成本。否则一旦出现问题就可能是×××烦。
对于家庭用户来说,聘用安全机构当然不可能。但在智能锁通行的今天,还是要注意不要把鸡蛋放在一个篮子里,独立的监控系统十分必要。
另外家庭场景中,应该尽量减少联网解锁方式,保证门锁独立。通过联网信息暴露密码、蓝牙探测器等今天主要破解家庭智能锁的方式,都是通过联网来实现骇入。独立指纹锁相对安全,另外必要的保险也是应该的。事实上,智能锁已经带给我们的安全以很大进步,问题是我们也要搞懂智能锁的工作原理,以新的思维方式来应对可能发生的危险。
而对于旅行者来说,能做的无非还是老一套:做好每一道锁门工序,不要过于信赖酒店的门和保险柜——无论你住什么级别的酒店。
以上是关于两名黑客能打开数百万个酒店房间,这意味着什么?的主要内容,如果未能解决你的问题,请参考以下文章
JavaWeb SSM酒店信息管理系统(源码+sql直接运行《精品毕设》)主要功能:登录注册酒店信息浏览搜索酒店信息查看房间预定房间后台主要功能:部门/房间/楼层/入住/用户/员工/预定等
JavaWeb SSM酒店信息管理系统(源码+sql直接运行《精品毕设》)主要功能:登录注册酒店信息浏览搜索酒店信息查看房间预定房间后台主要功能:部门/房间/楼层/入住/用户/员工/预定等