登錄×
電子郵件/用戶名
密碼
記住我
智慧城市群

智能建築或為黑客大開方便之門

配備大量聯網設備、依靠互聯網控制的智能建築容易成為黑客的目標,安全漏洞使黑客能夠輕易取得控制權。

儘管電影迷或許能夠領會針對建築物技術系統、經過精準時間安排的犯罪襲擊有多危險,很多高管似乎還沒有意識到,今天與互聯網連接的設備給他們的運營造成的風險。

好萊塢電影展示了這種威脅,其中一例是2001年的賭場盜竊動作片《十一羅漢》(Ocean』s Eleven)。影片講述一名職業大盜和他的同夥通過劫持監控攝像頭盜取拉斯維加斯一家賭場的保險庫中的財物。

《十一羅漢》系列三部曲電影展示了能夠讓安全系統癱瘓的犯罪襲擊,其可信度高得令人不安——這些犯罪通過結合專業技術知識和傳統騙術實現。除了《十一羅漢》系列電影以外,《碟中諜》(Mission: Impossible)系列電影、詹姆斯•邦德(James Bond)系列電影、《虎膽龍威》(Die Hard)系列電影等也一再重複建築物在電子伏擊下落敗的戲碼。

人們日益擔心,隨着現實世界中的建築物越來越多地與互聯網相連接,它們也變得越來越容易遭到網絡犯罪襲擊的侵害。

所謂的「智能建築」利用互聯網連接來控制日常運行,包括供暖、照明和安全。鎖具、旋轉門和監視攝像頭現在都由微電腦控制,它們就像個人電腦和智能手機一樣容易被黑客攻破,管理諮詢公司畢馬威(KPMG)網絡安全業務合伙人馬爾泰因•韋爾布里(Martijn Verbree)表示。

韋爾布里表示:「商業建築比許多建築所有者和經營者想的要脆弱得多。」

「給這些建築加入新的聯網設備,就是每天添加新的漏洞。」

許多證據表明,現在罪犯已經有能力利用智能建築中聯網設備存在的漏洞。

在兩年前的拉斯維加斯Def Con年度科技會議上,麻省理工學院(MIT)畢業生扎克•班克斯(Zack Banks)和埃里克•范艾伯特(Eric Van Albert)展示了如同《十一羅漢》情節的手法,他們可以劫持一台監控攝像頭,並讓安保人員無法察覺該設備已被接管。

2016年初,IBM的X-Force Red穿透測試小組的安全研究人員描述了他們如何在獲得許可的情況下,入侵一名客戶的樓宇自動化系統。該系統控制樓宇中的傳感器和恆溫器。

「通過與系統運營商和建築管理人員合作,我們發現了(系統)架構中存在幾塊令人擔憂的地方,惡意攻擊者不僅可能藉此控制單個建築系統,還可能進入系統運營商運行的中央服務器,進而將控制範圍擴大到地理位置相互分散的其他建築物,」IBM的研究人員寫道。

漏洞的一部分責任在互聯網聯網設備製造商身上,視覺監控科技公司Cloudview的首席執行官詹姆斯•威克斯(James Wickes)說。

威克斯說,聯網監控攝像頭和數碼視頻錄像機等產品在抵達客戶的建築物時經常設定為連接端口打開,並且只設置了默認密碼。

追蹤這些設備和在設備安裝後確保設備安全性可能非常耗時,許多公司都忽視了這個任務,威克斯說。

類似的,他表示,為解決漏洞從技術供應商處下載軟件補丁在常規計算機設備方面很尋常,但在聯網產品方面,這種措施的實施通常沒那麼積極。

對行業專家來說,這也難怪聯網閉路電視攝像頭和錄像機是犯罪分子的主要劫持目標,犯罪分子會將這些設備用作攻擊企業網頁的「奴隸」。

去年10月,犯罪分子用流量淹沒了企業網站——包括Twitter、英國《金融時報》、《紐約時報》(New York Times)和愛彼迎(Airbnb)——直到這些網站崩潰(這被稱為分布式拒絕服務攻擊(DDoS))。黑客很可能利用了由被入侵的聯網設備組成的網絡——也就是「殭屍網絡」——來發送惡意流量。

讀者評論

FT中文網歡迎讀者發表評論,部分評論會被選進《讀者有話說》欄目。我們保留編輯與出版的權利。
用戶名
密碼
FT中文網客戶端
點擊或掃描下載
FT中文網微信
掃描關注
FT中文網全球財經精粹,中英對照
設置字號×
最小
較小
默認
較大
最大
分享×