智能電視是趨勢，但大家也要注意其安全性

lokieking · 發(fā)表于 2014-8-7 11:57

如今，智能電視在走過2013年這個發(fā)展的元年之后，正在國內逐步崛起，產品性能、網絡服務能力、核心[color=#444444 !important]應用能力、用戶接受程度等逐步提高，應用化與智能化正走在成為主流的道路上，整個智能電視系統呈現出演進成為復雜信息系統的趨勢。

　　有一個著名的Murphy定律，說的是Iftherearetwoormorewaystodosomething,andoneofthosewayscanresultinacatastrophe,thensomeonewilldoit（如果有兩種選擇，其中一種將導致災難，則必定有人會做出這種選擇）。

　　一種偶然或必然，同《周易》、《老子》等一樣，Murphy定律也具有很高的普適性。比如用Murphy定律思考信息系統的相關問題，可以得出：復雜的信息系統一定會發(fā)生信息安全事件，不是在今天就是在明天，合情合理。一次事件之后，總需要積極尋找事故原因，以防止下一次事件再次發(fā)生，這是人的一般理性都能夠理解的；否則，或者從此放棄信息安全事業(yè)，或者聽任下一次事件再次發(fā)生，這都絕對不是能夠得到接受的結果，安全是相對的，不安全才是絕對的。

　　綜上，智能電視最終將演進為一個復雜的信息系統，必然會一直面臨信息安全問題。

　　2、最近關于智能電視信息安全的一個實例

　　哥倫比亞大學網絡安全實驗室曾經對HbbTV規(guī)范及實際部署的HbbTV商用系統進行了詳細分析，發(fā)現HbbTV這個混合電視系統并不安全，很容易遭受攻擊，而且攻擊成本很低（方式是本地無線射頻插播。用于攻擊的設備，硬件成本很低，而且使用的是開源[color=#444444 !important]軟件，很容易量產）、非常不容易檢測出攻擊源（理論上無法溯源）。

　　按照哥大的說法，這些黑客技術的復雜度較低，而且實施成本很低、攻擊效果較顯著，所以它們很實用，實施起來也很現實（尤其是居住人口很密集的區(qū)域。在這樣的區(qū)域，攻擊者僅需450美元就可以完成對超過20000臺應用了HbbTV的智能電視機的單次攻擊）。

　　據悉，這種攻擊方式除了上述的隱秘性高、性價比高等特點，還有一個最大的亮點：現在的絕大多數黑客對信息物理系統或物聯網的攻擊都是在數據網絡側實施的，以此來影響物理網絡，而哥大對HbbTV的攻擊試驗則表明，通過物理網絡（如數字電視廣播網絡）也可以攻擊數據網絡（如Internet），即實現了攻擊源及目標域的逆轉。

　　正是電視廣播網絡的獨特物理特性，使得成千上萬的HbbTV終端及用戶的其他聯網終端可以很容易地遭到攻擊——只要用戶一打開HbbTV終端，而且被攻擊時可以完全處于毫無察覺的狀態(tài)。同樣地，由于是通過電視廣播網絡發(fā)起的攻擊，所以黑客無需使用源IP，這樣就幾乎無法溯源，隱秘性相當高。

　　哥大經過研究和實踐后認為，HbbTV的整體架構使得其存在“漏洞”，通過這些漏洞，黑客可以讓成千上萬的HbbTV終端接入任何一個站點、盜用存儲于HbbTV終端里的用戶賬號與密碼（社交網絡、電子郵件、電商平臺等），也可以完成一些傳統的攻擊（比如：點擊欺詐、插入評論、插入用于投票的垃圾郵件、在家庭網絡內執(zhí)行視頻監(jiān)視、發(fā)起本地或遠程拒絕服務攻擊、甚至可以控制家庭網絡內的其他設備或HbbTV用戶的其他遠程設備），黑客甚至還可以直接控制HbbTV終端所呈現在電視屏幕上的內容、進行網絡釣魚和其他社會工程攻擊（一般很難被人們發(fā)現——尤其是那些很信賴電視網絡安全的用戶）。

　　3、保衛(wèi)智能電視信息安全六法則

　　在國內，確保智能電視的信息安全有著很大的政治意義、社會意義等。

　　1）保衛(wèi)智能電視的信息安全要記得“返祖”

　　智能電視將逐漸演進成互聯網的第三大入口，其中包括計算系統、存儲系統、傳輸系統、采集系統等在內的所有要素都是人類文明精華的最先進成果，但是，互聯網是最“返祖”的野蠻社會，在這里，甚至連文明社會的最基本的道德準則、關系準則、秩序準則都是空白的，弱肉強食司空見慣、損人利己天經地義、損人不利己甚至損人損己也比比皆是。

　　因此，要想保衛(wèi)接入禽獸不如的互聯網的智能電視的信息安全，當然不能只用文明手段，或也需要勇敢地向遠古前進，由“叢林法則”開始，向原始人學習，踏踏實實推進智能電視的生態(tài)文明建設。

　　2）保衛(wèi)智能電視的信息安全，不能以君子之心度小人之腹。

　　當今，幾乎所有的信息安全技術都以“用戶是好人，一定會遵紀守法”為前提，絕大部分信息安全技術和手段都主要在“亡羊補牢”，比如，若只有當確認某款智能電視應用干了壞事后，才把它定為惡意代碼，才開始對其進行封殺或補漏；若只有當某個用戶已被證明危害了信息安全后，才將其定為黑客，才開始對他進行應急處置等。如果保衛(wèi)智能電視的信息安全采用這種后發(fā)制人的馬后炮思路，則可能永遠處于被動、挨打的局面。

　　所以，對于智能電視信息安全的保衛(wèi)，或應把思路調整為“人之初，性本惡”的有罪推論。

　　3）保衛(wèi)智能電視的信息安全，不要讓所有用戶都被“魔”與“道”的循環(huán)怪圈所綁架

　　當前信息安全界的邏輯是：當個別黑客的“魔”高一尺時，全體網民的“道”就必須再高一丈，如此循環(huán)往復“冤冤相報”，永無止境！好像全體網民都被逼進了露天電影場，而且，因為有人“站立”，便導致大家都不得不“踮著”受罪。為什么網民們不能舒服地坐著享受電影呢？我們也許會羅列許多理由來辯解這種無奈現象，比如，信息系統越來越復雜、黑客技術越來越先進等，因此，網民必須為信息安全付出應有的代價。

　　而對于智能電視用戶，不能讓其夜夜為自己的信息安全做惡夢，否則會帶來嚴重的后果。保衛(wèi)智能電視的信息安全，需要打破“魔”與“道”的循環(huán)怪圈，徹底杜絕上述露天電影效應的辦法有兩個，一是放映效果足夠好，使每個人都能清晰地享受，這樣就不會有“站立”者了，二是對站立者及時嚴厲懲罰。

　　4）建設智能電視信息安全別動隊隊伍——信息安全即服務

　　選用一個股民來擔任美聯儲主席，想不出金融危機都難。做個不恰當的比喻，如果把接入互聯網的智能電視比喻為金銀滿地、佳麗如云的后宮，那么最合適的管理人選應該是太監(jiān)，而不能是受某些規(guī)矩約束的眾帥哥。當前，國內外信息安全界攻守兼?zhèn)涞膸缀醵际峭慌说默F象不能再在智能電視信息安全領域發(fā)生，而是建立一支類似于聯合國維和部隊的智能電視信息安全別動隊隊伍，他們完全中立地、盡心盡力地、一視同仁地為智能電視信息系統保駕護航，由此，智能電視用戶的安全感將大幅度增強。

　　5）智能電視信息安全：實行白名單管理而非黑名單管理

　　當前互聯網的行事規(guī)則是：非禁止，即允許。該規(guī)則在信息安全的攻防雙方也是通行的，其好處是極大擴展了各自的創(chuàng)新空間，但是，卻耗費了對抗雙方難以計數的人力、物力和財力等資源。所以，對于新興的智能電視，如果將其安全規(guī)則修改為白名單管理方式，未被允許的指令均為禁令，則理論上只需要由權威機構在給定環(huán)境下預先測試某些操作的安全性，然后將安全操作寫入白名單中就行了。

　　6）增強保衛(wèi)智能電視信息安全的動態(tài)性

　　與現實社會類似，互聯網上的“人”（實體）和“事”（進程）也應該是瞬息萬變的，而且網絡社會的移動性、隱蔽性、不定性等更加嚴重，因此既不能簡單地用身份認證方法把用戶分為好人或壞人，也不能把各種操作機械地定為合法或非法，更不能以不變應萬變，必須綜合考慮時間、空間、事件等因素，提高保衛(wèi)智能電視信息安全的動態(tài)性。

　　針對新興的智能電視這個特定的信息系統，在特殊情況下，完全可以借用現實社會中的眾多直觀思路，用時間的動態(tài)性、空間的動態(tài)性、事件的動態(tài)性等來換取智能電視的信息安全。

1054814659 · 發(fā)表于 2014-8-7 18:41

哈哈。進來看看開頭講了些拋磚引玉的話但是太多了。所以沒看完?？傊畱摵臀覀儫o關。都是廠商以及運營商之類的問題。

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)