11月29日,MIDC ? 2018 小米IoT安全峰會第二屆在北京召開,這場峰會的主題是“萬物互聯·共筑安全生態”,演講嘉賓陣容強大,內容涵蓋IoT、安全、隱私、AI、智能門鎖以及安全威脅等議題。
小米 IoT 安全思考與實踐
演講嘉賓:小米首席安全官陳洋(cy07)
小米自家與其生態鏈下的 IoT 設備五花八門,有牙刷、有電動玩具、對講機、攝像頭甚至是守護家里大門的智能門鎖等,覆蓋我們生活的方方面面。面對如此復雜龐大的產品品類,小米是如何保障它們安全的呢?相信這也是大家心里的疑問。
我們要考慮不同設備的攻擊面,比如指紋鎖有自學習功能,這個容易被貼片攻擊;藍牙通訊是否可以被劫持,篡改;NB-iot通訊也可以被偽基站劫持,發一些虛假消息和控制指令;GPS協議自身也存在安全缺陷,容易被偽造。以及硬件設備自身又會存在很多調試接口,在一定場景下會暴露權限。如果說每款設備都要解決這些問題的話,那工作量是相當巨大的。
面對這個問題,小米的方案很干練,那就是減少設備的攻擊面。這里主要分為六個層面:
- 認證層面 保證每臺設備預制不同密鑰,用戶綁定產生唯一關聯性的token,利用密鑰與token的關系防止越權操作問題。
- 通訊層面 要做流量加密與數據簽名。
- 硬件層面 盡可能的把調試接口關掉,并且引入安全芯片,安全存儲密鑰信息。
- 固件層面 防止固件被篡改,所以驗簽與防降級的保護是基本要求。
- 系統層面 禁止開啟任何處miio外的通訊或管理功能服務端口,局域網是不可信的環境。
- 應用層面 向開發者提供成熟可靠的SDK,減少額外開發帶來新的安全風險。
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/BheJBx6R0jpnMnHqCxG8jA
小米IoT隱私數據合規實踐
演講嘉賓:小米隱私委員會的朱玲鳳律師
截止目前,小米 IoT 已經在全球布局超過200個國家和地區。在這個過程中,我們第一個遇到的問題就是隱私數據合規到底是不是必要的?來看一個小例子,LinkedIn 在俄羅斯被法院決定禁止提供服務,原因就是因為俄羅斯公民個人資料必須存儲在本國服務器上,而 LinkedIn 卻違反了這項法令。再看今年影響非常大對 Facebook 隱私門事件,它的數據以 API 的方式輸出給第三方,拿數據的時候說是科研目的,但是最后卻被用于政治大選作為定向廣告使用,導致 Facebook 7月20號公布季報之后市值大幅度下跌。
公司內部的企業合規制度應該怎么建立呢?我根據經驗整理了一些比較實用的方法論:
- 建立數據保護官,我們稱之為DPO
- 記錄。數據如何收集、使用,必須有記錄
- 數據保護影響評估
- 安全保護措施
- 數據泄露通知
- 相應行業規則建立細分制度
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/z0HL-ijeYEdUnaHNHp5JOw
IoT + AI + 安全 =?
演講嘉賓:騰訊安全平臺部總監胡珀(lake2)
這幾年很明顯就能感覺到 AI 與 IoT 技術發展迅猛,對我們整個安全行業其實是一個好消息。因為隨著智能設備、AI 的發展,安全問題的影響也變的不同,比如過去的安全可能只是你的錢被盜了,那都有支付保險可以讓廠商賠付。現在被盜的是我們的隱私,比如說AI音箱會放在臥室、客廳,處于用戶的敏感生活區域;還有車聯網安全問題對我們的人身安全會形成很大的威脅,所以說這些機遇對于我們安全從業者來說其實是個好事。
新技術的發展一定會帶來新的安全問題,我們覺得問題主要來自以下方面:
- 手機APP端問題
- 硬件自身問題
- 云端問題
- APP到云端間的通訊問題
從大的方向來看的話主要是這四個方面潛在的安全問題,我們去挖掘智能設備漏洞,主要會從這四個方面出發。
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/5daypoZnAHQiiE637r4dcA
IoT 安全戰地筆記
演講嘉賓:小米IoT安全實驗室孟卓(FengGou)
小米 IoT 目前已成為全球最大的消費級平臺,所以大家都很好奇我們是怎么做的 IoT 安全。是不是每天焊焊串口、掃掃端口、抓抓接口這么簡單,用戶設備安全保障到不到位?針對這些疑問,孟卓將會為大家講解小米IoT的安全思路、打法以及我們所付出的實際行動。從安全基線、設計、開發、信息的管控、第三方庫以及硬件自身安全這六方面,為大家介紹小米到底是怎么去做設備安全的。
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/X0Ytjb5XOZSf5alhNwBs-g
智能門鎖,讓居住更安全
演講嘉賓:云丁科技首席架構師葉云
現如今越來越多的家庭都開始選用智能門鎖,其中絕大部分用戶應該是被它便捷的指紋開鎖方式吸引,可以不帶鑰匙了。但今年的「小黑盒」事件將智能門鎖的安全問題推到輿論的風口浪尖,大家開始質疑智能門鎖的安全性相對傳統機械鎖大打折扣。來自小米爆款門鎖鹿客品牌的首席架構師葉云,將分享鎖具制造商角度的安全考量,到底什么樣的智能鎖是靠譜的。
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/UIppQ3to1ip7sFTCTRZ3Ew
IoT Reverse Engineering
演講嘉賓:美國東北大學安全研究員Dennis Giese
大家一定很奇怪,為什么我會在這里演講?這個緣分來自2017年的4月小米發布了一款掃地機器人,在查看他的配置時我驚奇的發現他竟然有三個處理器,而且價格非常便宜,于是我對這家公司產生了興趣。
我為什么喜歡逆向 IoT 設備?因為可以發現漏洞去控制別人的設備,或者把企業的云控制服務斷開自己實現私有云操控,再或者我可以對一些功能進行增強(新的特性、本地化語言等),并且能夠給其他研究者分享一些思路。
IoT 設計架構里有三個重點,調試接口、固件與存儲,都是容易出問題的地方。那比較常見的防護措施有哪些呢?
- 固件來講就是加密與驗簽
- 硬件上會有一種叫做一次性存儲芯片和eFuses熔斷的產品
- 調試口常見的方式就是禁用
- SecureBoot 和Flash整體加密比較少使用,可能開發者覺得比較麻煩或需要額外的成本
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/_pzsmZZz9cTcOxIl0cDgGQ
大安全下的 IoT 安全威脅演變與應對
演講嘉賓:360黑客研究院負責人、獨角獸團隊創始人楊卿
我通過從做無線電研究到現在應該有將近十年的時間,歸納出來這個領域的幾大特征,一個是危害大;另外一個是修補難度大,修補周期長;最后一個是重視程度低。我們依然在使用一些歷史悠久的無線電通信系統,都是一些沒有經過足夠加密的通信流,這是未來的一個威脅。另外還有ADS-B,藍牙和無線里面有很多的安全隱患。
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/5-JhM4xCHmldLMEzmvmC3g
Beyond logical attacks
演講嘉賓:NXP首席安全技術專家Markus Hinkelmann 博?
什么是邏輯攻擊?這很好理解,比如有一臺設備,黑客可以通過特定的接口向設備發送任意數據,比如命令、安裝程序以及任何支持的功能,在我的定義里這些就是“邏輯”。beyond logical 的意思就是黑客對這個設備“做了點事”,但是一些與眾不同的事。本次議題主要關注兩個在IoT設備上的側信道攻擊的例子,利用RSA算法的弱點進行簡單電磁分析,以及讓 IoT 設備進行核反應,構成一個ZigBee鏈式反應。
Markus表示,2017年網絡攻擊急劇升級,新形式的攻擊層出不窮。他分享了一組數據:每天有100萬新的惡意文件產生,每40秒就會有一個勒索軟件攻擊企業,企業平均需要197天才能偵破……對于IoT安全,Markus認為,IoT安全絕不僅僅是“邏輯安全”,通過遠程或本地的方式對硬件的攻擊往往使“更大規模”的攻擊成為可能。
【詳細解讀與PPT下載】:https://mp.weixin.qq.com/s/lNO3epqBnCp8R4nfPA_Qsg
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/761/
暫無評論