物联网带来网络安全新威胁
作者:LarryGreenemeier
上周,利用物联网设备发动的网络攻击是对物联网产业的一记警钟,而这一新兴产业的规模,在即将到来的假日购物季将迅速扩大。
上周,一些网站一度陷入瘫痪状态,而在这次网络攻击中扮演主力军角色的正是新兴的物联网设备,随着今年圣诞节礼品购物季的临近,人们的心愿单上必然写满了着智能手表、健身追踪器、家用监视摄像头等各种新奇的物联网设备,而这一正在飞速发展的产业未来将进一步扩张,物联网产品的销量也将直线上升。物联网设备的一大特点就是能通过wi-fi网络连接到互联网,将照片、视频和运动数据等信息上传至云端,极大地方便了人们的生活和娱乐,然而不幸的是,这也是物联网设备易受病毒和其他恶意软件攻击而被挟持利用的原因,一旦被病毒感染或被恶意软件挟持,物联网设备就在用户未察觉的情况下成为了网络攻击的武器。
回到上周发生的网络服务器瘫痪事件,是一次分布式拒绝服务(distributed denial of service,DDos)攻击,即黑客通过控制数以千万计被入侵感染的设备对网站发动攻击导致服务器过度繁忙进而瘫痪。DDos的原理比较简单,就是通过计算机病毒感染进而控制大量他人设备,使其不断地对同一网站发起访问请求,从而导致网络服务器出现数据通信阻塞,这样其他的正常用户就无法访问这一网站了。在这起事件中,目前还无从可知的攻击者使用名为“Mirai”的恶意软件,侵入了那些使用设备默认密码的用户的物联网设备,至于这些用户为何没有使用更安全的密码,既可能是因为他们无权修改密码,也可能是因为他们缺乏修改密码的意识。
物联网设备,构建起一个庞大并且正不断扩大的虚拟世界,涵盖了汽车、医疗设备、工业系统以及飞速发展的消费电子产品,其中包括游戏主机、智能扬声器(比如Amazon Echo)和网络恒温调节器(比如Nest),当然也包括智能家居枢纽(smart home hub)和网络路由器这些将物联网设备接入互联网的设备。根据消费者技术协会的统计,在过去的15年内,美国民众每年用于购买科技产品的开销占节日礼品消费总额的比例都超过了73%。今年,该协会的预测是,约1.7亿人将购买与物联网相关的产品作为圣诞节礼物,调查咨询公司Gartner则预测到2020年,将有整整500亿个物联网设备接入这一庞大的网络。圣诞节前的传统购物日黑色星期五距今还有不到一个月,要让这些设备的生产商在这之前完成设备中安全漏洞的修复几乎是不可能的,这就意味着类似上周这样的袭击今后也许还会发生。
在上周出现的物联网设备攻击使得互联网陷入瘫痪的事件之前,其实已经有暗示表明这样的威胁早已经迫在眉睫了。在今年九月,一个由众多被“Mirai”病毒感染的物联网设备构成的僵尸网络(botnet)发动了对KrebsOnSecurity.com网站的DDos攻击,造成该网站一度瘫痪,而这家网站是由网络安全方面的专业记者Brian Krebs建立的。几个星期之后,“Mirai”病毒的源代码在网络上被公布出来,任何人可以使用。很快,“Mirai”病毒就在上周针对美国动态网络服务系统(Dynamic Network Services,Dyn,一家域名服务供应商)的攻击中扮演了重要角色。Dyn的服务器提供域名服务,就像是一个网络转接总机,将网址转译为其对应的IP地址,网络浏览器软件需要知道网站的IP地址而非网址名才能连接到网站的服务器获取相关内容。
上周五发生的这次攻击,使得包括Sony PlayStation、Twitter、Github和Spotify在内的网站团队手忙脚乱,而被挟持发动攻击的物联网设备的使用者并没有受到影响。Panopticon Laboratories(一家为网络游戏开发网络安全技术的公司)的联合创始人Matthew Cook于本周一在纽约举行的一次网络安全会议的讨论会上表示,实际上大多数人根本不会察觉到他们的相机等电子设备遭遇了黑客的挟持。
而安全软件供应商ESET North America公司的CEO,Andrew Lee认为,当消费者们意识到他们身边的设备,比如家中的网络摄像头等,可以被用来窃取他们的个人隐私,他们很可能会对此类威胁提高警惕。Lee还补充道,网络攻击者可以通过挟持控制他人家中的网络摄像头来了解他们的日常作息,从而掌握类似何时无人在家这样的信息,甚至是在他们键入计算机和手机密码的时候记录下这些重要的私人信息。
物联网的发展速度,远远超过了设备制造商对于设备网络安全的研发进度。在国家网络安全联合会(National Cyber Security Alliance)和ESET公司本周一发布的一份报告中提到,在一项15527位消费者参与的调查中,只有半数受访者表示对于物联网设备网络安全方面的担忧使他们不会购买这些产品,略微超过一半的受访者拥有少于三件的连接到家庭路由器的物联网设备(不包括计算机和智能手机),另有22%的受访者拥有4至10件物联网设备。而有43%的受访者或没有修改网络路由器的默认密码,亦或对此并不确定。另外,有些物联网设备的密码修改方法非常复杂,有些则干脆无法修改。
既然设备生产商在圣诞假期之前没有足够的时间进行产品的安全升级,众多网络安全专家建议消费者至少应当确保家庭网络路由器是由安全的密码保护着的。
原文地址:https://www.scientificamerican.c ... ility-to-defend-it/
翻译:刘卓 审稿:王舟
留言