標籤:

小米IoT開發者大會 | 開發者和安全從業者同台交流,能碰出怎樣的火花呢?

11月28日,第一屆小米IoT開發者大會在北京新雲南皇冠假日酒店拉開序幕。本屆大會聚焦IoT開放平台、安全、雲計及AI,現場匯聚上千位安全從業者、開發者,共同碰撞交流。

本屆大會可以說是小米在安全行業的處女大會,小米公司對此非常重視。小米公司創始人、董事長兼CEO雷軍出席了本次大會,並做了一個長達半個小時之久的主題演講。

雷軍詳細講解了小米公司的產品業務線,小米在中國、在國際上的影響力,雷軍一如既往的幽默風趣,但可惜的是現場沒有給我們小秀一下他的英文實力。大會現場雷軍再爆金句:把朋友搞的多多的,把敵人搞的少少的。

除了雷軍出席大會之外,小米IoT開發者大會另外一大驚喜就是百度集團總裁兼首席運營官 陸奇。陸奇博士的傳奇人生不必多講,早已是大家心中的偶像。他現身小米IoT開發者大會,闡述了IoT和AI時代的未來。他表示萬物互聯的時代已經來臨,IoT代表著新機遇,而萬物互聯的過程可總結為四個詞:連接(inter-link)——觀察(observe)——理解(understand)——創造(create)。

連接:IoT連接萬物,讓網路無處不在

觀察:AI賦能新交互,聽清、看清

理解:AI賦能服務生態,更懂你

創造:AI與產業深度結合,重構產業、升級產業

陸奇博士作為神秘嘉賓出席確實給小米IoT開發者大會增添了不少精彩,就連雷軍也秒變小粉絲,現場「索求」合影留念。

上午的會場異常火爆,座無虛席,驚喜一波一波的湧現,小米生態鏈副總裁、小米IoT負責人高自光,小米首席架構師、小米人工智慧與雲平台副總裁崔寶秋,小米生態鏈副總裁、小米探索實驗室負責人唐沐,小米聯合創始人兼小米公司高級副總裁劉德,飛利浦照明首席創新官Olivia紛紛做主題演講。

小米IoT安全峰會

上午,主會場的分享了多個宏觀層面的主題演講,相信與會者們已經被各位高管們的觀點折服。下午,小米IoT安全峰會分享了一些實實在在、乾貨滿滿的議題。

小米IoT與隱私的那些事兒

小米首席架構師、小米人工智慧與雲平台副總裁崔寶秋以一位資深安全從業者的角度分析了IoT與隱私的那些事兒。 無論是個人還是公司,隱私都是至關重要的。

對個人

隱私是人的基本需求:每個人都有不願為人所知的一面n個人的信息安全、人身安全、財產安全、子女安全、日常生活等可能被侵犯、打擾n互聯網讓隱私信息的泄露更加容易n

對公司

隱私問題會影響公司的聲譽、品牌和合作關係n帶來法律問題n客戶與員工對公司的不信任n無法獲取更多的用戶信息n失去客戶和商業機會n影響營收和市場佔有率n難以享用大數據的價值n

所以,一家企業如果不注重安全,那就相當於裸奔。但是如何做好隱私保護呢?崔寶秋表示要從以下五大準則做起:

告知/知情n可選/同意n可控/參與n完整/安全n強制/補救n

小米IoT安全守護計劃

小米安全應急響應中心(MiSRC)成立已久,但一直都是默默做好本職工作,很少活躍在「娛樂層面」,今天是小米安全應急響應中心第一次全方位的公開他們的工作。小米首席安全官陳洋分享了小米安全應急響應中心的工作職能,怎樣為小米產品保駕護航。

據陳洋表示,小米安全應急響應中心是國內第一家為白帽子提供現金獎勵的SRC。小米安全領航人崔寶秋也表示小米IoT安全守護計劃旨在聚白帽子力量,共同打造一個良好的安全環境。小米IoT安全守護計劃已經預置了高額的獎金,單個漏洞最高獎勵高達50萬人民幣。

攻擊特斯拉有趣嗎?

第一次成功攻擊了特斯拉聯網汽車,第二次還能成功嗎?又會遇到什麼樣的挑戰呢?

今天來自的騰訊科恩實驗室車聯網安全研究員張文凱講解了他們在第一年成功入侵特斯拉聯網汽車,而第二年再次入侵特斯拉遇到的一些問題及總結。

從下圖中可以看出特斯拉在安全方面也在不斷的更新,設置了更為嚴苛的限制,在2016年被攻擊之後立馬更新了他們的linux kernel 版本。

據張開文介紹,特斯拉廠商對於安全問題的回應速度非常快,在接到安全問題之後,以1.5個小時的速度回應並緊急修復。這種速度對於國內眾多廠商來說是無法比及的,也是其他廠商應該學習的。

關於殭屍網路你知道多少

現如今,應該沒有人會對殭屍網路陌生了,前段時間美國大半個國家斷網事件震驚全球,就是因為大量智能設備被用於殭屍網路,以此發起攻擊。從那次事件之後,全民似乎對智能設備的安全有了點興趣。今天,360網路安全研究院研究員曲文集總結分享了有關殭屍網路的那些事。

他詳細分享了近兩年內出現的三款著名殭屍網路:

MIRAI

HTTP81

IOT-REAPER

除了介紹上面的三款殭屍網路,曲文集還詳細分析了Hajime的攻防技能,具體的技術細節略(對不起,嘶吼編輯真的聽不懂。。。)。

IoT固件安全的設計和攻防

在講IoT設備攻防之前,先來了解一下IoT設備的構成。IoT設備是由硬體和軟體組成的。而IoT設備的攻擊既有硬體方面的攻擊,也有軟體方面的攻擊。

IoT設備如果被黑客入侵,對於個人而言,可能會泄露個人的隱私數據,對於公司而言,可能會涉及退貨、串貨、騙保等問題出現,當然也會造成巨大的經濟損失。

其實攻擊不僅僅只有技術方面的攻擊,還有一些物理流程方面的攻擊,那麼大家知道在哪些環節會發生物理攻擊嗎?

代理商

渠道商

連鎖店

個體商戶

線上電商平台

iPhone X的人臉識別可以被破解嗎?

指紋、虹膜、指靜脈、鞏膜、視網膜等都是人體獨特的特徵,所以如今這些已經被用於科技識別中,這兩年最為常見的就是人臉識別,就連iPhone X也已經部署了人臉識別技術。

今天,曠視科技高級產品總監敖翔詳細分析了人臉識別的那些我們不曾了解的東西。人臉識別首先需要註冊人臉,然後在分析人臉,比特特徵提取,最後在做人臉比對(當然也是通過提取的特徵比對),從而完成人臉識別,人臉解鎖的操作。

人臉解鎖的核心是活體檢測,所謂的活體檢測就是對感測器感受到「真人」與攻擊的不同做出辨識。而常見的人臉識別攻擊有:

換臉攻擊n屏幕翻拍攻擊n假臉/面具攻擊n

到此,小米IoT開發者大會第一天已經基本結束了。

嘶吼編輯奔跑一天最深刻的感觸就是,這是第一次有人把開發者和安全從業者聚集在一個大會上,我們以往經常說如果開發者也懂安全,那市場上的產品就不會有那麼多安全問題了。今天這個願望終於實現,開發者和安全從業者同坐一個會場,不知道他們溝通了哪些,未來開發產品的過程中是否真的會減少安全問題……

如若轉載,請註明原文地址: 4hou.com/info/news/8804 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

5500個 WordPress站點感染Keylogger,可竊取用戶名密碼和信用卡數據
Metasploit域滲透測試全程實錄(終結篇)
如何利用Windows Defender ATP檢測反射型DLL載入
利用API NtQueryInformationThread和I_QueryTagInformation實現對Windows日誌監控的繞過
國內研究人員發現GMR-2漏洞,可實時解密衛星電話通訊

TAG:信息安全 |