網上有很多關于盒子pos機安全,芯片工程師如何做物聯(lián)網安全的知識，也有很多人為大家解答關于盒子pos機安全的問題，今天pos機之家(www.shineka.com)為大家整理了關于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、盒子pos機安全

盒子pos機安全

2001 年 9 月 11 日，兩架被恐怖分子劫持的民航客機撞向美國的的世界貿易中心大樓，一個國家的安全感被嚴重削弱了。

同一天，在英特爾上海工作的中國工程師李嵩乘機到達舊金山機場。

飛機徐徐降落，他看著空無飛機的機場，不明白發(fā)生了什么，以為美帝飛機的數量竟連上海也比不上。當日，他從舊金山轉機到達西雅圖，計劃赴華盛頓大學研究 AI 芯片的算法。

2013年，斯諾登事件引爆。相較于大國在經濟與政治的安全感上的較量，“網絡安全感”的缺乏強烈地引起了民眾的不安。

李嵩亦不會想到，西雅圖之旅給自己的網絡安全從業(yè)生涯埋下了伏筆。

本文作者：李勤，雷鋒網網絡安全專欄作者，微信：qinqin0511

90年代，李嵩在上海交大念計算機專業(yè)，畢業(yè)后去了英特爾，因為“特別想搞高性能計算機”。他在英特爾搞了兩個虛擬機系統(tǒng)，項目做完后，因為了解了芯片的核心構造，以至他后來總能發(fā)現(xiàn)芯片里有各種各樣的后門。當時他做的項目和微軟也有諸多合作，又順手發(fā)現(xiàn)了Windows 里相當多的安全漏洞，貢獻了全組 60 %的指標。

李嵩趕緊給微軟的聯(lián)系人打電話，結果對方說：“無所謂，我們就這樣。”李嵩驚呆了，大家這么不重視嗎？看來安全沒什么搞頭。加上英特爾當時提議，花錢送他去美國讀書，于是李嵩飛到了華盛頓大學搞 AI 芯片研究。

在踏進華大科幻式大樓的一刻，李嵩感受到了計算機未來三十年的發(fā)展。

他坐在辦公室收發(fā)郵件，有什么東西發(fā)出了聲音，一扭頭一個油桶大的機器人盯著他，原來研究所的師兄看到來了新人，派機器人過來看看新人長什么樣。

研究秘書鄭重地對他說：“注意不要被機器人踩到了?！睕]想到，這種在華大大樓里跑來跑去的機器人在幾年間從“不要踩到你”變成了“你不要踩到我的機器人”的大小。

彼時，李嵩在試圖造出一種高性能計算的芯片，至少要超過奔騰 4 的處理能力。

芯片到底造出來了嗎？李嵩沒有提，但是他了解了計算機系統(tǒng)的整體構造，發(fā)現(xiàn)“安全這個東西越來越重要，以前它可能只是整個系統(tǒng)里面的很小一塊，慢慢變成了整個計算機里必須要解決的問題?！?/p>

不過，這僅是個一閃而過的思考，對當時的他而言，搞芯片才是正經事，他來不及想其他，匆忙地投入到解決實際生活問題的漩渦中，按部就班地到硅谷的芯片公司工作。

做著做著，野心起來了。李嵩想干點更大的事兒，但芯片行業(yè)太成熟了，只能從細分行業(yè)入手，客戶就那么幾個，要是別人不用你了，你就沒戲了。

加上硅谷生活成本太高，2008 年李嵩決定跑回西雅圖試試運氣，一邊做創(chuàng)業(yè)協(xié)會，一邊在 ebay 做云。

當時，ebay出了一個安全問題，老板當著全公司 200 多號人問，誰知道這是怎么回事。把安全研究作為業(yè)余愛好的李嵩和一個俄羅斯同事舉了手，一個惺惺相惜的“蘇維埃聯(lián)盟”建立了。

“他、我，加上ebay的老大——一個印度的哥們兒，我們三個人變成一個委員會，自此以后，ebay 所有的互聯(lián)網服務需要我們三個人要簽字，確認沒有已知的問題才能發(fā)布?！?/p>

這事挺有成就感的，也許能在“安全”領域成點事兒的念頭在李嵩腦中萌芽了。

還有一件事激勵了他。2011 年，李嵩給 costco 做App 提了一些建議，結果 costco 拿走這些建議后自己找人做了App。他有點不服氣：憑什么用了我們的想法，又不讓我們做。

懷著一絲“邪惡”的念頭，他決定用實力“黑”進這個App，證明“你們做的 App 不太行”。結果，他向 costco 報告了自己發(fā)現(xiàn)的漏洞后，把 costco 嚇得不輕，找了一個團隊修復。他覺得對方弱爆了：“代碼沒寫對，我給你改就好了，用得著找一個團隊？”

火花一點一點在積累。

2015年，李嵩與他的鄰居吳志雄成立了青天科技，老吳出任 CEO，他做 CTO，準備在安全領域找一個點開拓。

“技術人員做公司，只想到自己有什么技術，但沒考慮過這玩意兒將來怎么賣?！痹谶@樣的原始沖動下，吳和李開始做了一個“給 App 找漏洞”的App。他們胸有成竹地找上門，結果開發(fā)人員愛搭不理：“有漏洞怎么了？我的老板不是讓我寫一個沒有漏洞的App，而是讓我明天就交付?！?/p>

吳和李面面相覷，艱難地把這個App 賣給了一家運營商后，發(fā)現(xiàn)再也賣不動了。

這種 App 只能給開發(fā)人員用，受眾面太小了。而且，“找漏洞”是其付費需求。李嵩意識到出發(fā)點錯了——應該是先找一個付費的需求，再想辦法實現(xiàn)它，而不是手里有什么技術，然后做出來讓別人付錢。

不過，這次試水雖然沒成功，運營商身上應該有潛在的機會點。

經歷了市場調研后，他們決定在物聯(lián)網安全領域創(chuàng)業(yè)?？勺龅狞c太多了，究竟是做醫(yī)療、移動端還是什么？

幾乎在同一年，中國深圳有一個安全創(chuàng)業(yè)同行老畢在他的第二次創(chuàng)業(yè)上，也押寶了物聯(lián)網安全，因在商業(yè)上很難落地，老畢快速調整了航向，轉向了打擊黑灰產的數據情報領域。

這一次青天科技的兩人決定先找這些行業(yè)的資深人士探探需求，結果一瓢冷水下來，有個在醫(yī)療行業(yè)從業(yè)多年的資深人士告訴李嵩，你們想做醫(yī)療物聯(lián)網的安全？至少還得等十年。大洋彼岸的兩人執(zhí)拗地走下去，跌跌撞撞地找賺錢的點。

摸清到底誰愿意付錢不是一件容易的事。

物聯(lián)網安全網絡涉及了設備制造商、系統(tǒng)集中商、運營商以及最終用戶，最終用戶又包括企業(yè)用戶和個人用戶。設備制造商是造盒子的人，系統(tǒng)集中商是買盒子的人，造一個云，把盒子連到云上，再把系統(tǒng)拿出來賣給運營商。運營商有一張網，它不造系統(tǒng)，而是把系統(tǒng)放到網里跑，對最終用戶提供服務。

以攝像頭為例，李嵩和吳志雄先找了生態(tài)鏈中的底層——攝像頭廠家，攝像頭廠商的態(tài)度是“關我毛事”，后來，他們才明白，造盒子的設備制造商過得很苦，還有1000 件事情要操心，哪怕盒子模具出個問題，都頭疼得不得了。或者，某一種產品里用到了幾個特殊的螺絲，螺絲怎么也到不了貨，也很操心。甚至，廠商買芯片，芯片如果拖了6個月再用，可能就不管用了。

1000 件煩心事做完后，制造商還要面臨被系統(tǒng)集中商壓制的問題，毛利率特別低，可能一個模具稍微貴了一點，就虧了一單生意。如果一批攝像頭被曝出了安全問題，制造商這批貨可能就砸在手里了，但它也沒辦法花錢來處理，“所以這幫人碰到報告安全漏洞這種事情，第一反應就是你趕緊走，誰知道你說的是真的假的，不要說了”。他們轉而找到系統(tǒng)集中商，系統(tǒng)集中商就開始說有點興趣，但轉眼間就把鍋甩給了設備制造商。最后，他們只好找上了運營商。

“消費者是不關心安全的，消費者說我花錢買了服務，這個服務就應該在里面。我哪怕一分錢不花，免費的你也要有。出了安全問題，運營商很擔心，因為中美的運營商都具備企業(yè)和政府的雙重屬性，會有壓力在，我們發(fā)現(xiàn)，它才是愿意為安全付費的?！崩钺哉f。

確定了誰能付錢后，青天在 POS 機、區(qū)塊鏈安全、車聯(lián)網、智能家居等垂直安全領域一一試水。

這三年的嘗試讓李嵩越來越認識到，物聯(lián)網安全與傳統(tǒng)安全的思路大不相同。

如果說，黑客拿著槍攻上門來，傳統(tǒng)安全企業(yè)是收集材料和打造盾牌的話，李嵩希望，自己在物聯(lián)網安全領域做的新東西是“主動躲避子彈”的非防御型快速反應的產品。

“我們的方案是，黑客實施了一種攻擊，我們馬上就能學會，在幾秒鐘內就能部署上去。”

李嵩手上戴了一塊手表?！斑@表本身很便宜，但在 30 年以前，我小時候那會兒，一塊手表是非常非常貴的。如果它出了問題，大家第一反應是——我要修它?，F(xiàn)在這塊表如果出了問題，我第一反應是把它扔了買塊新的?！?/p>

20 年前，計算機也是這樣“昂貴的一塊表”，如果遭遇了安全風險，大家第一反應是如何修復。隨著技術發(fā)展，以傳感器為代表的物聯(lián)網設備如果出了問題，因為其承載的只是數據傳遞的功能，硬件的價值降低，大家的第一反應是“替換它”。

看待問題的方式發(fā)生了變化，安全防護的方法也變了。

它成了簡單的兩步：

第一，判斷設備好壞，而且只有非 0 即 1 的兩種簡單選擇；

第二，如果“壞了”，上備份的方案。

但是，如何判斷是“0”還是“1”？

李在 2017 年才真正想清楚這一點：因為物聯(lián)網設備呈現(xiàn)非常碎片化的特點，現(xiàn)在不需要多樣化的殺毒軟件一個個分析，只需要從設備的網絡行為判斷即可。從網絡行為層面，可以把所有計算機都看成同一種計算機，只要看 IP 包的行為就行。這樣的話，只要有一個解決方案，就可以對所有能聯(lián)網的計算機進行判斷。

他們終于搞清楚了，要做一套基于機器深度學習，在網絡層面上進行行為的跟蹤、監(jiān)控和預警的系統(tǒng)，通過對網絡層面行為的跟蹤、檢測、預警，判斷什么樣的行為屬于黑客的攻擊，或是漏洞的利用和病毒、僵尸網絡上面惡意的行為。再根據機器學習的建模，大數據分析的方法，來達到整體上對網絡層面的自動跟蹤、檢測和預警。

落實到具體如何依據數據判斷，李嵩認為，他們已經有了設備正常運轉的“好標簽”，剩下的就是搜集“壞標簽”。如何捕捉這些“壞”數據？青天利用了部署在各地的蜜罐系統(tǒng)監(jiān)測黑產活躍度、攻擊事件以及攻擊方式，實時地收集。

為了盡可能地仿真，他們和礦機提供商合作，下載熱門礦機的軟件部署在蜜罐里，吸引黑客打過來。

除了上蜜罐與之較量，潛伏到地下論壇搜集情報也是常規(guī)動作。

不過，這是個危險的活，他們派出的臥底也曾暴露過。一個論壇里一共就十幾個 ID，如果“分享”了一些核心數據，卻被安全公司知曉，肯定是其中某個人漏出去的，黑客們就會一個一個查。

一個黑客尋蹤找到了潛伏的青天科技安全研究員的真實郵箱，先說明自己要攻擊青天科技的來意，然后讓研究員寫博客為其“散播名聲”。

研究員哭笑不得：“你打我們，還要我給你寫博客求名聲？怕不是有點傻？”求名的黑客果真把青天的主站打趴了，然后又反復地聯(lián)系安全研究員。

研究員有點急了，想打回去，被李嵩制止了——打了他以后，他再打過來，沒完沒了，小小的創(chuàng)業(yè)公司還干不干活了？

李嵩的潛臺詞是，雖然大家都有想要做的事，但是一個公司如果沒有專注點，被分散了注意力，在拼命跑的路上哪怕浪費幾天的時間，可能都會活不下去。

這個道理同樣適用于青天科技目前對主賽道的選擇上。

2018 年1月，青天科技開始尋求 A 輪融資，按照李嵩的說法，現(xiàn)在青天仍在燒錢的路上。之前提到，他們把精力分散在了POS 機、區(qū)塊鏈安全、車聯(lián)網、智能家居等各個垂直領域上。

到底哪個是他們未來會下猛力的點？會是近日來青天科技動作頻頻的區(qū)塊鏈安全業(yè)務嗎？雷鋒網宅客頻道（微信公眾號：letshome）了解到，青天科技正有將區(qū)塊鏈安全業(yè)務單拎出來成立一個獨立業(yè)務公司的計劃。

李嵩沒有正面回答這個問題：“我們也可能是打些煙霧彈。一個好的公司是一個利益共同體構筑的陰謀。只要把這個陰謀做成了，公司就成了。如果把這個東西放到太陽下面去曬，那就做不成?！?/p>

西雅圖的安全從業(yè)者李嵩在努力構建“網絡安全感”，而創(chuàng)業(yè)者李嵩亦有不安全感。

via 雷鋒網宅客頻道（微信公眾號：letshome）。

以上就是關于盒子pos機安全,芯片工程師如何做物聯(lián)網安全的知識，后面我們會繼續(xù)為大家整理關于盒子pos機安全的知識，希望能夠幫助到大家！