智能電視是趨勢，但大家也要注意其安全性

lokieking · 發(fā)表于 2014-8-7 11:57

如今，智能電視在走過2013年這個發(fā)展的元年之后，正在國內(nèi)逐步崛起，產(chǎn)品性能、網(wǎng)絡(luò)服務(wù)能力、核心[color=#444444 !important]應(yīng)用能力、用戶接受程度等逐步提高，應(yīng)用化與智能化正走在成為主流的道路上，整個智能電視系統(tǒng)呈現(xiàn)出演進(jìn)成為復(fù)雜信息系統(tǒng)的趨勢。

　　有一個著名的Murphy定律，說的是Iftherearetwoormorewaystodosomething,andoneofthosewayscanresultinacatastrophe,thensomeonewilldoit（如果有兩種選擇，其中一種將導(dǎo)致災(zāi)難，則必定有人會做出這種選擇）。

　　一種偶然或必然，同《周易》、《老子》等一樣，Murphy定律也具有很高的普適性。比如用Murphy定律思考信息系統(tǒng)的相關(guān)問題，可以得出：復(fù)雜的信息系統(tǒng)一定會發(fā)生信息安全事件，不是在今天就是在明天，合情合理。一次事件之后，總需要積極尋找事故原因，以防止下一次事件再次發(fā)生，這是人的一般理性都能夠理解的；否則，或者從此放棄信息安全事業(yè)，或者聽任下一次事件再次發(fā)生，這都絕對不是能夠得到接受的結(jié)果，安全是相對的，不安全才是絕對的。

　　綜上，智能電視最終將演進(jìn)為一個復(fù)雜的信息系統(tǒng)，必然會一直面臨信息安全問題。

　　2、最近關(guān)于智能電視信息安全的一個實例

　　哥倫比亞大學(xué)網(wǎng)絡(luò)安全實驗室曾經(jīng)對HbbTV規(guī)范及實際部署的HbbTV商用系統(tǒng)進(jìn)行了詳細(xì)分析，發(fā)現(xiàn)HbbTV這個混合電視系統(tǒng)并不安全，很容易遭受攻擊，而且攻擊成本很低（方式是本地?zé)o線射頻插播。用于攻擊的設(shè)備，硬件成本很低，而且使用的是開源[color=#444444 !important]軟件，很容易量產(chǎn)）、非常不容易檢測出攻擊源（理論上無法溯源）。

　　按照哥大的說法，這些黑客技術(shù)的復(fù)雜度較低，而且實施成本很低、攻擊效果較顯著，所以它們很實用，實施起來也很現(xiàn)實（尤其是居住人口很密集的區(qū)域。在這樣的區(qū)域，攻擊者僅需450美元就可以完成對超過20000臺應(yīng)用了HbbTV的智能電視機(jī)的單次攻擊）。

　　據(jù)悉，這種攻擊方式除了上述的隱秘性高、性價比高等特點(diǎn)，還有一個最大的亮點(diǎn)：現(xiàn)在的絕大多數(shù)黑客對信息物理系統(tǒng)或物聯(lián)網(wǎng)的攻擊都是在數(shù)據(jù)網(wǎng)絡(luò)側(cè)實施的，以此來影響物理網(wǎng)絡(luò)，而哥大對HbbTV的攻擊試驗則表明，通過物理網(wǎng)絡(luò)（如數(shù)字電視廣播網(wǎng)絡(luò)）也可以攻擊數(shù)據(jù)網(wǎng)絡(luò)（如Internet），即實現(xiàn)了攻擊源及目標(biāo)域的逆轉(zhuǎn)。

　　正是電視廣播網(wǎng)絡(luò)的獨(dú)特物理特性，使得成千上萬的HbbTV終端及用戶的其他聯(lián)網(wǎng)終端可以很容易地遭到攻擊——只要用戶一打開HbbTV終端，而且被攻擊時可以完全處于毫無察覺的狀態(tài)。同樣地，由于是通過電視廣播網(wǎng)絡(luò)發(fā)起的攻擊，所以黑客無需使用源IP，這樣就幾乎無法溯源，隱秘性相當(dāng)高。

　　哥大經(jīng)過研究和實踐后認(rèn)為，HbbTV的整體架構(gòu)使得其存在“漏洞”，通過這些漏洞，黑客可以讓成千上萬的HbbTV終端接入任何一個站點(diǎn)、盜用存儲于HbbTV終端里的用戶賬號與密碼（社交網(wǎng)絡(luò)、電子郵件、電商平臺等），也可以完成一些傳統(tǒng)的攻擊（比如：點(diǎn)擊欺詐、插入評論、插入用于投票的垃圾郵件、在家庭網(wǎng)絡(luò)內(nèi)執(zhí)行視頻監(jiān)視、發(fā)起本地或遠(yuǎn)程拒絕服務(wù)攻擊、甚至可以控制家庭網(wǎng)絡(luò)內(nèi)的其他設(shè)備或HbbTV用戶的其他遠(yuǎn)程設(shè)備），黑客甚至還可以直接控制HbbTV終端所呈現(xiàn)在電視屏幕上的內(nèi)容、進(jìn)行網(wǎng)絡(luò)釣魚和其他社會工程攻擊（一般很難被人們發(fā)現(xiàn)——尤其是那些很信賴電視網(wǎng)絡(luò)安全的用戶）。

　　3、保衛(wèi)智能電視信息安全六法則

　　在國內(nèi)，確保智能電視的信息安全有著很大的政治意義、社會意義等。

　　1）保衛(wèi)智能電視的信息安全要記得“返祖”

　　智能電視將逐漸演進(jìn)成互聯(lián)網(wǎng)的第三大入口，其中包括計算系統(tǒng)、存儲系統(tǒng)、傳輸系統(tǒng)、采集系統(tǒng)等在內(nèi)的所有要素都是人類文明精華的最先進(jìn)成果，但是，互聯(lián)網(wǎng)是最“返祖”的野蠻社會，在這里，甚至連文明社會的最基本的道德準(zhǔn)則、關(guān)系準(zhǔn)則、秩序準(zhǔn)則都是空白的，弱肉強(qiáng)食司空見慣、損人利己天經(jīng)地義、損人不利己甚至損人損己也比比皆是。

　　因此，要想保衛(wèi)接入禽獸不如的互聯(lián)網(wǎng)的智能電視的信息安全，當(dāng)然不能只用文明手段，或也需要勇敢地向遠(yuǎn)古前進(jìn)，由“叢林法則”開始，向原始人學(xué)習(xí)，踏踏實實推進(jìn)智能電視的生態(tài)文明建設(shè)。

　　2）保衛(wèi)智能電視的信息安全，不能以君子之心度小人之腹。

　　當(dāng)今，幾乎所有的信息安全技術(shù)都以“用戶是好人，一定會遵紀(jì)守法”為前提，絕大部分信息安全技術(shù)和手段都主要在“亡羊補(bǔ)牢”，比如，若只有當(dāng)確認(rèn)某款智能電視應(yīng)用干了壞事后，才把它定為惡意代碼，才開始對其進(jìn)行封殺或補(bǔ)漏；若只有當(dāng)某個用戶已被證明危害了信息安全后，才將其定為黑客，才開始對他進(jìn)行應(yīng)急處置等。如果保衛(wèi)智能電視的信息安全采用這種后發(fā)制人的馬后炮思路，則可能永遠(yuǎn)處于被動、挨打的局面。

　　所以，對于智能電視信息安全的保衛(wèi)，或應(yīng)把思路調(diào)整為“人之初，性本惡”的有罪推論。

　　3）保衛(wèi)智能電視的信息安全，不要讓所有用戶都被“魔”與“道”的循環(huán)怪圈所綁架

　　當(dāng)前信息安全界的邏輯是：當(dāng)個別黑客的“魔”高一尺時，全體網(wǎng)民的“道”就必須再高一丈，如此循環(huán)往復(fù)“冤冤相報”，永無止境！好像全體網(wǎng)民都被逼進(jìn)了露天電影場，而且，因為有人“站立”，便導(dǎo)致大家都不得不“踮著”受罪。為什么網(wǎng)民們不能舒服地坐著享受電影呢？我們也許會羅列許多理由來辯解這種無奈現(xiàn)象，比如，信息系統(tǒng)越來越復(fù)雜、黑客技術(shù)越來越先進(jìn)等，因此，網(wǎng)民必須為信息安全付出應(yīng)有的代價。

　　而對于智能電視用戶，不能讓其夜夜為自己的信息安全做惡夢，否則會帶來嚴(yán)重的后果。保衛(wèi)智能電視的信息安全，需要打破“魔”與“道”的循環(huán)怪圈，徹底杜絕上述露天電影效應(yīng)的辦法有兩個，一是放映效果足夠好，使每個人都能清晰地享受，這樣就不會有“站立”者了，二是對站立者及時嚴(yán)厲懲罰。

　　4）建設(shè)智能電視信息安全別動隊隊伍——信息安全即服務(wù)

　　選用一個股民來擔(dān)任美聯(lián)儲主席，想不出金融危機(jī)都難。做個不恰當(dāng)?shù)谋扔鳎绻呀尤牖ヂ?lián)網(wǎng)的智能電視比喻為金銀滿地、佳麗如云的后宮，那么最合適的管理人選應(yīng)該是太監(jiān)，而不能是受某些規(guī)矩約束的眾帥哥。當(dāng)前，國內(nèi)外信息安全界攻守兼?zhèn)涞膸缀醵际峭慌说默F(xiàn)象不能再在智能電視信息安全領(lǐng)域發(fā)生，而是建立一支類似于聯(lián)合國維和部隊的智能電視信息安全別動隊隊伍，他們完全中立地、盡心盡力地、一視同仁地為智能電視信息系統(tǒng)保駕護(hù)航，由此，智能電視用戶的安全感將大幅度增強(qiáng)。

　　5）智能電視信息安全：實行白名單管理而非黑名單管理

　　當(dāng)前互聯(lián)網(wǎng)的行事規(guī)則是：非禁止，即允許。該規(guī)則在信息安全的攻防雙方也是通行的，其好處是極大擴(kuò)展了各自的創(chuàng)新空間，但是，卻耗費(fèi)了對抗雙方難以計數(shù)的人力、物力和財力等資源。所以，對于新興的智能電視，如果將其安全規(guī)則修改為白名單管理方式，未被允許的指令均為禁令，則理論上只需要由權(quán)威機(jī)構(gòu)在給定環(huán)境下預(yù)先測試某些操作的安全性，然后將安全操作寫入白名單中就行了。

　　6）增強(qiáng)保衛(wèi)智能電視信息安全的動態(tài)性

　　與現(xiàn)實社會類似，互聯(lián)網(wǎng)上的“人”（實體）和“事”（進(jìn)程）也應(yīng)該是瞬息萬變的，而且網(wǎng)絡(luò)社會的移動性、隱蔽性、不定性等更加嚴(yán)重，因此既不能簡單地用身份認(rèn)證方法把用戶分為好人或壞人，也不能把各種操作機(jī)械地定為合法或非法，更不能以不變應(yīng)萬變，必須綜合考慮時間、空間、事件等因素，提高保衛(wèi)智能電視信息安全的動態(tài)性。

　　針對新興的智能電視這個特定的信息系統(tǒng)，在特殊情況下，完全可以借用現(xiàn)實社會中的眾多直觀思路，用時間的動態(tài)性、空間的動態(tài)性、事件的動態(tài)性等來換取智能電視的信息安全。

1054814659 · 發(fā)表于 2014-8-7 18:41

哈哈。進(jìn)來看看開頭講了些拋磚引玉的話但是太多了。所以沒看完?？傊畱?yīng)該和我們無關(guān)。都是廠商以及運(yùn)營商之類的問題。

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)