智能電視是趨勢(shì)，但大家也要注意其安全性

lokieking · 發(fā)表于 2014-8-7 11:57

如今，智能電視在走過(guò)2013年這個(gè)發(fā)展的元年之后，正在國(guó)內(nèi)逐步崛起，產(chǎn)品性能、網(wǎng)絡(luò)服務(wù)能力、核心[color=#444444 !important]應(yīng)用能力、用戶(hù)接受程度等逐步提高，應(yīng)用化與智能化正走在成為主流的道路上，整個(gè)智能電視系統(tǒng)呈現(xiàn)出演進(jìn)成為復(fù)雜信息系統(tǒng)的趨勢(shì)。

　　有一個(gè)著名的Murphy定律，說(shuō)的是Iftherearetwoormorewaystodosomething,andoneofthosewayscanresultinacatastrophe,thensomeonewilldoit（如果有兩種選擇，其中一種將導(dǎo)致災(zāi)難，則必定有人會(huì)做出這種選擇）。

　　一種偶然或必然，同《周易》、《老子》等一樣，Murphy定律也具有很高的普適性。比如用Murphy定律思考信息系統(tǒng)的相關(guān)問(wèn)題，可以得出：復(fù)雜的信息系統(tǒng)一定會(huì)發(fā)生信息安全事件，不是在今天就是在明天，合情合理。一次事件之后，總需要積極尋找事故原因，以防止下一次事件再次發(fā)生，這是人的一般理性都能夠理解的；否則，或者從此放棄信息安全事業(yè)，或者聽(tīng)任下一次事件再次發(fā)生，這都絕對(duì)不是能夠得到接受的結(jié)果，安全是相對(duì)的，不安全才是絕對(duì)的。

　　綜上，智能電視最終將演進(jìn)為一個(gè)復(fù)雜的信息系統(tǒng)，必然會(huì)一直面臨信息安全問(wèn)題。

　　2、最近關(guān)于智能電視信息安全的一個(gè)實(shí)例

　　哥倫比亞大學(xué)網(wǎng)絡(luò)安全實(shí)驗(yàn)室曾經(jīng)對(duì)HbbTV規(guī)范及實(shí)際部署的HbbTV商用系統(tǒng)進(jìn)行了詳細(xì)分析，發(fā)現(xiàn)HbbTV這個(gè)混合電視系統(tǒng)并不安全，很容易遭受攻擊，而且攻擊成本很低（方式是本地?zé)o線(xiàn)射頻插播。用于攻擊的設(shè)備，硬件成本很低，而且使用的是開(kāi)源[color=#444444 !important]軟件，很容易量產(chǎn)）、非常不容易檢測(cè)出攻擊源（理論上無(wú)法溯源）。

　　按照哥大的說(shuō)法，這些黑客技術(shù)的復(fù)雜度較低，而且實(shí)施成本很低、攻擊效果較顯著，所以它們很實(shí)用，實(shí)施起來(lái)也很現(xiàn)實(shí)（尤其是居住人口很密集的區(qū)域。在這樣的區(qū)域，攻擊者僅需450美元就可以完成對(duì)超過(guò)20000臺(tái)應(yīng)用了HbbTV的智能電視機(jī)的單次攻擊）。

　　據(jù)悉，這種攻擊方式除了上述的隱秘性高、性?xún)r(jià)比高等特點(diǎn)，還有一個(gè)最大的亮點(diǎn)：現(xiàn)在的絕大多數(shù)黑客對(duì)信息物理系統(tǒng)或物聯(lián)網(wǎng)的攻擊都是在數(shù)據(jù)網(wǎng)絡(luò)側(cè)實(shí)施的，以此來(lái)影響物理網(wǎng)絡(luò)，而哥大對(duì)HbbTV的攻擊試驗(yàn)則表明，通過(guò)物理網(wǎng)絡(luò)（如數(shù)字電視廣播網(wǎng)絡(luò)）也可以攻擊數(shù)據(jù)網(wǎng)絡(luò)（如Internet），即實(shí)現(xiàn)了攻擊源及目標(biāo)域的逆轉(zhuǎn)。

　　正是電視廣播網(wǎng)絡(luò)的獨(dú)特物理特性，使得成千上萬(wàn)的HbbTV終端及用戶(hù)的其他聯(lián)網(wǎng)終端可以很容易地遭到攻擊——只要用戶(hù)一打開(kāi)HbbTV終端，而且被攻擊時(shí)可以完全處于毫無(wú)察覺(jué)的狀態(tài)。同樣地，由于是通過(guò)電視廣播網(wǎng)絡(luò)發(fā)起的攻擊，所以黑客無(wú)需使用源IP，這樣就幾乎無(wú)法溯源，隱秘性相當(dāng)高。

　　哥大經(jīng)過(guò)研究和實(shí)踐后認(rèn)為，HbbTV的整體架構(gòu)使得其存在“漏洞”，通過(guò)這些漏洞，黑客可以讓成千上萬(wàn)的HbbTV終端接入任何一個(gè)站點(diǎn)、盜用存儲(chǔ)于HbbTV終端里的用戶(hù)賬號(hào)與密碼（社交網(wǎng)絡(luò)、電子郵件、電商平臺(tái)等），也可以完成一些傳統(tǒng)的攻擊（比如：點(diǎn)擊欺詐、插入評(píng)論、插入用于投票的垃圾郵件、在家庭網(wǎng)絡(luò)內(nèi)執(zhí)行視頻監(jiān)視、發(fā)起本地或遠(yuǎn)程拒絕服務(wù)攻擊、甚至可以控制家庭網(wǎng)絡(luò)內(nèi)的其他設(shè)備或HbbTV用戶(hù)的其他遠(yuǎn)程設(shè)備），黑客甚至還可以直接控制HbbTV終端所呈現(xiàn)在電視屏幕上的內(nèi)容、進(jìn)行網(wǎng)絡(luò)釣魚(yú)和其他社會(huì)工程攻擊（一般很難被人們發(fā)現(xiàn)——尤其是那些很信賴(lài)電視網(wǎng)絡(luò)安全的用戶(hù)）。

　　3、保衛(wèi)智能電視信息安全六法則

　　在國(guó)內(nèi)，確保智能電視的信息安全有著很大的政治意義、社會(huì)意義等。

　　1）保衛(wèi)智能電視的信息安全要記得“返祖”

　　智能電視將逐漸演進(jìn)成互聯(lián)網(wǎng)的第三大入口，其中包括計(jì)算系統(tǒng)、存儲(chǔ)系統(tǒng)、傳輸系統(tǒng)、采集系統(tǒng)等在內(nèi)的所有要素都是人類(lèi)文明精華的最先進(jìn)成果，但是，互聯(lián)網(wǎng)是最“返祖”的野蠻社會(huì)，在這里，甚至連文明社會(huì)的最基本的道德準(zhǔn)則、關(guān)系準(zhǔn)則、秩序準(zhǔn)則都是空白的，弱肉強(qiáng)食司空見(jiàn)慣、損人利己天經(jīng)地義、損人不利己甚至損人損己也比比皆是。

　　因此，要想保衛(wèi)接入禽獸不如的互聯(lián)網(wǎng)的智能電視的信息安全，當(dāng)然不能只用文明手段，或也需要勇敢地向遠(yuǎn)古前進(jìn)，由“叢林法則”開(kāi)始，向原始人學(xué)習(xí)，踏踏實(shí)實(shí)推進(jìn)智能電視的生態(tài)文明建設(shè)。

　　2）保衛(wèi)智能電視的信息安全，不能以君子之心度小人之腹。

　　當(dāng)今，幾乎所有的信息安全技術(shù)都以“用戶(hù)是好人，一定會(huì)遵紀(jì)守法”為前提，絕大部分信息安全技術(shù)和手段都主要在“亡羊補(bǔ)牢”，比如，若只有當(dāng)確認(rèn)某款智能電視應(yīng)用干了壞事后，才把它定為惡意代碼，才開(kāi)始對(duì)其進(jìn)行封殺或補(bǔ)漏；若只有當(dāng)某個(gè)用戶(hù)已被證明危害了信息安全后，才將其定為黑客，才開(kāi)始對(duì)他進(jìn)行應(yīng)急處置等。如果保衛(wèi)智能電視的信息安全采用這種后發(fā)制人的馬后炮思路，則可能永遠(yuǎn)處于被動(dòng)、挨打的局面。

　　所以，對(duì)于智能電視信息安全的保衛(wèi)，或應(yīng)把思路調(diào)整為“人之初，性本惡”的有罪推論。

　　3）保衛(wèi)智能電視的信息安全，不要讓所有用戶(hù)都被“魔”與“道”的循環(huán)怪圈所綁架

　　當(dāng)前信息安全界的邏輯是：當(dāng)個(gè)別黑客的“魔”高一尺時(shí)，全體網(wǎng)民的“道”就必須再高一丈，如此循環(huán)往復(fù)“冤冤相報(bào)”，永無(wú)止境！好像全體網(wǎng)民都被逼進(jìn)了露天電影場(chǎng)，而且，因?yàn)橛腥恕罢玖ⅰ?，便?dǎo)致大家都不得不“踮著”受罪。為什么網(wǎng)民們不能舒服地坐著享受電影呢？我們也許會(huì)羅列許多理由來(lái)辯解這種無(wú)奈現(xiàn)象，比如，信息系統(tǒng)越來(lái)越復(fù)雜、黑客技術(shù)越來(lái)越先進(jìn)等，因此，網(wǎng)民必須為信息安全付出應(yīng)有的代價(jià)。

　　而對(duì)于智能電視用戶(hù)，不能讓其夜夜為自己的信息安全做惡夢(mèng)，否則會(huì)帶來(lái)嚴(yán)重的后果。保衛(wèi)智能電視的信息安全，需要打破“魔”與“道”的循環(huán)怪圈，徹底杜絕上述露天電影效應(yīng)的辦法有兩個(gè)，一是放映效果足夠好，使每個(gè)人都能清晰地享受，這樣就不會(huì)有“站立”者了，二是對(duì)站立者及時(shí)嚴(yán)厲懲罰。

　　4）建設(shè)智能電視信息安全別動(dòng)隊(duì)隊(duì)伍——信息安全即服務(wù)

　　選用一個(gè)股民來(lái)?yè)?dān)任美聯(lián)儲(chǔ)主席，想不出金融危機(jī)都難。做個(gè)不恰當(dāng)?shù)谋扔?，如果把接入互?lián)網(wǎng)的智能電視比喻為金銀滿(mǎn)地、佳麗如云的后宮，那么最合適的管理人選應(yīng)該是太監(jiān)，而不能是受某些規(guī)矩約束的眾帥哥。當(dāng)前，國(guó)內(nèi)外信息安全界攻守兼?zhèn)涞膸缀醵际峭慌说默F(xiàn)象不能再在智能電視信息安全領(lǐng)域發(fā)生，而是建立一支類(lèi)似于聯(lián)合國(guó)維和部隊(duì)的智能電視信息安全別動(dòng)隊(duì)隊(duì)伍，他們完全中立地、盡心盡力地、一視同仁地為智能電視信息系統(tǒng)保駕護(hù)航，由此，智能電視用戶(hù)的安全感將大幅度增強(qiáng)。

　　5）智能電視信息安全：實(shí)行白名單管理而非黑名單管理

　　當(dāng)前互聯(lián)網(wǎng)的行事規(guī)則是：非禁止，即允許。該規(guī)則在信息安全的攻防雙方也是通行的，其好處是極大擴(kuò)展了各自的創(chuàng)新空間，但是，卻耗費(fèi)了對(duì)抗雙方難以計(jì)數(shù)的人力、物力和財(cái)力等資源。所以，對(duì)于新興的智能電視，如果將其安全規(guī)則修改為白名單管理方式，未被允許的指令均為禁令，則理論上只需要由權(quán)威機(jī)構(gòu)在給定環(huán)境下預(yù)先測(cè)試某些操作的安全性，然后將安全操作寫(xiě)入白名單中就行了。

　　6）增強(qiáng)保衛(wèi)智能電視信息安全的動(dòng)態(tài)性

　　與現(xiàn)實(shí)社會(huì)類(lèi)似，互聯(lián)網(wǎng)上的“人”（實(shí)體）和“事”（進(jìn)程）也應(yīng)該是瞬息萬(wàn)變的，而且網(wǎng)絡(luò)社會(huì)的移動(dòng)性、隱蔽性、不定性等更加嚴(yán)重，因此既不能簡(jiǎn)單地用身份認(rèn)證方法把用戶(hù)分為好人或壞人，也不能把各種操作機(jī)械地定為合法或非法，更不能以不變應(yīng)萬(wàn)變，必須綜合考慮時(shí)間、空間、事件等因素，提高保衛(wèi)智能電視信息安全的動(dòng)態(tài)性。

　　針對(duì)新興的智能電視這個(gè)特定的信息系統(tǒng)，在特殊情況下，完全可以借用現(xiàn)實(shí)社會(huì)中的眾多直觀(guān)思路，用時(shí)間的動(dòng)態(tài)性、空間的動(dòng)態(tài)性、事件的動(dòng)態(tài)性等來(lái)?yè)Q取智能電視的信息安全。

1054814659 · 發(fā)表于 2014-8-7 18:41

哈哈。進(jìn)來(lái)看看開(kāi)頭講了些拋磚引玉的話(huà)但是太多了。所以沒(méi)看完?？傊畱?yīng)該和我們無(wú)關(guān)。都是廠(chǎng)商以及運(yùn)營(yíng)商之類(lèi)的問(wèn)題。

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)