随着互联网和智能设备(手机、平板电脑、智能家电、智能机器人和智能查询终端)的快速发展,传统企业信息化必然向物联网过渡。第一,会节省企业的建设和运营成本(比如部署WiFi/IP摄像头可以减少传统网络布线中的人员和财产消耗)。第二,智能设备的引入确实可以进一步降低人工成本(人力资源和财务部门最喜欢这样)。但是,这种转变真的安全吗?特别是在一些新建的设施和工业园区。作为物联网的初学者,今天我介绍一个简单的近源渗透的例子。被“猥亵”的是国内刚成立不久的知名网络安全公司。我声明:我是一个讲“武功”的年轻人,所有操作都是“点到为止”。相关截图和操作记录已保存。如果贵公司要进行安全审查或请公安机关介入调查,我会全力配合。
小白最近参加了一次技术培训,并根据组织者的安排参观了宜宾临港经济技术开发区。就在这时候,我带着一个大团队去拜访了一家网络安全公司,还参加了一个网络安全公司内部的讨论组。全程大概一个小时,包括近10分钟的步行(从公园入口到公司门口)。团队正在转向物联网环境下的网络安全研究,因此网络接入是我们无法回避的技术课题。
一到校园,他就用一个关键的APP(由他的职业和研究兴趣驱动)扫描了共享的无线网络。在进入公司大楼之前,小白发现了一个名为“AAAAAAAA”的无线热点,编码器只是在开玩笑,他共享的一个手机热点给他妹妹买了化妆品,还追了一部剧什么的,这个WiFi名字真的很无聊。出乎意料的是,当小白用手机查看密码时,他大吃一惊。在这个近源渗透测试案例中,小白无法访问公司的物理线路他一直在访问,最后坐在会议室里,周围没有插座,更不用说网络电缆接口了。但令人惊讶的是,这个WiFi热点在这家公司里充满了热血。
这个密码里的admin太刺眼了!!!因为WiFi密码里有这家网络安全公司的名字,出于年轻人应该有的“武德”,我把二维码和公司名字编码在了WiFi密码里。在此,友好地提醒所有大、中、小型企业和党政军团体的安全运营、维护和网络管理人员:在年底保住工作非常重要。下班后不要走得太早。用手机在公司和单位的地板上扫来扫去,看看有没有员工悄悄安装AP“连线”你管理的内网。其实企业网本身的建设一般都是安全的,只是很多安全事件背后并没有太多的bug,有时候只有一个S(super)B(ug)就足够了。请看一下著名的意大利黑客团队“黑客团队”。由于整个参观不到一个小时,只在公司内部的演示中心和会议室呆了很短时间,所以还有机会进一步验证公司内部是否真的安装了WiFi热点。不幸的是,在整个参与过程中,这个WiFi热点信号总是满的,甚至在他们公司的厕所里(也许,是内部网管理员)。
还没有评论,来说两句吧...