导读 | 物联网正朝着大多数计算机安全专家预测的糟糕方向飞奔。事实上,大多数厂商都没能完全理解IoT设备引入的潜在威胁。更糟的是,IoT设备中的漏洞,还会造成远超数字范围之外的种种后果。 |
生活中方方面面的不安全设备组合,终将产生超出数字王国之外的种种影响。
物联网正朝着大多数计算机安全专家预测的糟糕方向飞奔。事实上,大多数厂商都没能完全理解IoT设备引入的潜在威胁。鉴于联网设备的激增,我们可能会急速撞上难以想象的灾难。举个例子,个人安全摄像头,就曾被用来执行迄今为止全球最大型的拒绝服务攻击,更不用提这些本应保护我们的摄像头还能被利用来监视我们自身了。
更糟的是,IoT设备中的漏洞,还会造成远超数字范围之外的种种后果。迎面而来的IoT攻击浪潮,包括了那些可能伤人,乃至杀人的。这可不是什么猜测或者假说。这里讨论的,是今日现实世界中已经成为可能的真实攻击。然而,没人对此做点什么来减少这些攻击发生的可能性。
下面9种黑客攻击新浪潮,就是不远的将来人们将要面对的。
任何医疗设备,只要有可写软件,无线工作,或者接入互联网,黑客就可以染指其上。计算机科学家和黑客已经攻破了心脏起搏器、心脏监测器、静脉滴注设备、喂药器和诊断设备——所有这些设备都有可能杀死病人。此类威胁经常引起我们的关注。
但,医疗技术厂商似乎并非不担心这些漏洞和黑客。新医疗设备的研发、测试和批准过程一般需要10年时间。美国医疗设备厂商必须遵守十几个相互重叠的监管机构制定的指南和法律,包括食品药物管理局(FDA)、联邦通信委员会(FCC)、卫生与公众服务部。而且,医疗设备厂商有意避免使用最新最好的软件。通过减缓产品投放过程,使用更老更稳定的经验证软件,厂商觉得他们可以在设备面向大众之前更好地根除潜在的问题。
尽管如此,医疗设备远未脱离被黑的风险。过去十年,发生了数百起医疗设备召回事件,其中大部分都是源于网络安全问题。
讽刺的是,缓慢的审查程序和围绕医疗设备的监管规定,可能就是这些问题的祸根。一旦进入审查环节并向公众发布,设备中的软件和代码就不能大幅更新。因此,医疗设备总是采用非常陈旧的技术。没有医疗设备会利用计算机安全防御领域的最新进展;不仅如此,普通计算机中多年前就已清除的已知漏洞,也往往会在医疗设备中继续留存。对医疗设备做渗透测试时,从普通计算机上早就被修复的漏洞利用开始,往往会有很好的效果。
现在的汽车制造商,都喜欢把新奇的网络功能,当成汽车本身的引擎、性能、风格之类的大打广告。他们似乎觉得,如果比竞争对手功能少,就会失去千禧一代的买家。
其中问题在于,汽车如今可以遥控开门,远程制动引擎,甚至接收指令失去控制造成车祸。直到最近,汽车生产商才开始注意严密保护这些系统。该产业的多数专家表示,我们距离保证汽车“不会被黑”,还早得很。“尝试了30多年,我们至今不能防护住计算机,有什么理由觉得我们在汽车上就能做到?”
真是个好问题。而且,很多业内人士也说,完全护住汽车的整个系统不受黑客攻击,甚至不是他们的主要目标。更现实的目标是,让关系生命安全的系统,比如引擎和刹车,不会被黑。“谁关心黑客会不会改了你的音响频道或者修改GPS声音风格啊?但我们绝对要能够阻止坏人染指可危及人类生命的东西。这一点我们还是能做到的。”一位汽车安全专家说。
窃贼开始关注我们的智能家居。家里能通过网络或无线控制的任何设备,同样可被黑客操控。大门锁如今可以遥控打开,警报系统可被停用,车库门可以开启,恒温器可以被操纵。甚至冰箱都已经可以被黑来发送垃圾邮件了。
随着智能家居越来越流行,可以预想到窃贼对这股风潮的利用。可以按个按钮就打开前门或车库门,又何必费事破窗而入呢?传统罪犯很擅长采纳更低风险的方法的,尤其是在感觉有一堆智能设备的家里更有可能摆着昂贵物品可偷的时候。基本上,厂商在电子锁安全方面没比当前技术有大幅提高的话,暂时还是不要把自家的安全交托给这些电子锁头为妙。
一对夫妻辛苦驾车一整天,终于来到了度假胜地基韦斯特岛。他们之前就签署了租屋协议,汇款后隔天就受到了租屋的钥匙。但当他们来到时,钥匙却开不了门。无奈之下,只好敲门。
不一会儿,睡眼惺忪的屋主打开了门。从这对夫妻身后堆满行李的汽车,她就看出发生了什么。她家房子“又”被“虚假租赁”出去了。这一回,屋主女士能够告诉被骗旅客遭遇了什么,然后留给他们当地警署的电话了。这次的结果至少比上一次好。上一次她是休假回来才发现自家后院泳池竟然有一家古巴人在聚会玩乐。
这种事每天都有数百起。欢欣雀跃去度假的家庭,终于到了梦想中的度假小屋,却发现人家根本不是出租屋,而自家已经耗尽钱财。有时候这些虚假假期诈骗犯会专门弄个网站来干这事,租赁协议和流程看起来都特别官方。也有的夫妻到达自己一生之旅的度假小屋时,发现已经有另一对夫妻在一周前就进驻了,已付款的所有配套设施均被用过。Airbnb之类个人自助租屋网站的兴起,结合上传统的Craigslist型站点,让此类租屋骗局更容易实现。
专家建议:去信誉良好的公司和专业网站,他们有预防虚假租赁骗局的措施;特别注意那些让你电汇而不是使用信用卡的人。其他反诈骗网站则建议,可能的话还是在付款前亲自确认一下假期租赁房屋,虽然有些诈骗犯实际上就在合法租屋公司工作,交易这些凭证。
我们的电视机也越来越智能了。有限、Netflix、亚马逊、Hulu、YouTube都能看,还能上网冲浪,用遥控器就行。但随着我们的智能电视越来越像是大屏计算机,他们也继承了计算机固有的恶意软件和黑客风险。事实上,至少有一台TV已经被“砖”了。“砖”是用来描述计算设备状态的一个术语,表示该设备如果没有重写固件,就不能正常操作,而写固件这种事,除了制造商,其他人很难,乃至不可能做到。
反恶意软件厂商趋势科技去年就警告过,有勒索软件可以“砖”了电视机。勒索软件就是加密数据索要赎金的恶意软件程序。仅仅一个多月,趋势科技就检测到其发现的某勒索软件程序的7,000多个变种。幸运的是,该恶意软件只能感染特定类型的已停产智能电视。但,这无疑仅仅是第一波智能电视勒索。恶意软件作者会编写出更多的智能电视攻击代码。没人想花 $500 解锁公司电脑,但锁定家里的娱乐系统?恨不得分分钟付钱找回在追的剧。
如果你觉得勒索软件已经很恐怖了,恶意软件编写者会用隐私勒索软件(doxware)再刷一次你的三观。隐私勒索软件会锁定计算机或手机,威胁要向公布机主机密文档或隐私聊天记录。觉得出轨什么的很隐秘?小心隐私勒索软件。不想让公司顶级秘密知识产权被泄露给竞争对手?最好还是付款吧。
黑客早就知道定期离线备份可以打败普通勒索软件了,但威胁曝光羞辱性或有价值信息,盗取流行信用卡广告语,就是无价的了。
黑客正往流氓僵尸网络中聚集成千上万的用户设备以完成他们的邪恶任务。安全摄像头和IoT设备被用于发送垃圾邮件,执行大规模拒绝服务攻击,盗取数字货币。黑客通过精心设计的僵尸主机寻找并图片预定义的IoT设备。这一领域,无人能出Mirai其右。这个基于Linux的僵尸网络在2016年初出江湖,其源代码当年10月公布,并立即被其他很多犯罪团伙利用。
Mirai尝试登录使用Telnet(TCP 23 端口)和预定义弱口令列表(“admin” 、“12345” 、“password”)的脆弱IoT设备。如果成功,先禁用其他远程管理登录方式(SSH、HTTP等等),然后尝试连接其命令与控制服务器,获取下一步指令和目标。研究人员以及发现了数百万台潜在脆弱设备。人们不知道自己的无线路由器、互联网摄像头和冰箱被用于攻击其他人。所有普通用户都可能注意到的,是自己设备变得迟缓,但是计算世界里延迟本就是个常态,谁又回去怪罪IoT僵尸网络呢?
IoT僵尸网络正在成为最热门的恶意软件新类型,就像勒索软件之前一样,更久远一些的热门恶意软件则是电子邮件病毒。这一问题正快速恶化,以至于全球很多政府机构都在展开调查。可以期待2017年将有新的IoT生产法律和监管规定出台。然而,不幸的是,在我们知道有IoT僵尸网络之前,就已经有上亿台IoT设备存在了——坐等被利用中。
口令越来越不受欢迎,将很快被双因子和生物识别身份验证所替代。很多人觉得生物识别身份是最好解决方案;毕竟,谁能伪造你的视网膜扫描呢?然而,能做到的人简直不要太多。大多数用户都没意识到他们的生物识别身份是存成数字文件的。有时候,该生物识别身份就是原样存储的(也就是,你的指纹印象就存成你指纹的样子)。更经常的情况是,生物识别身份被存成中间呈现的形式。比如说,大多数数字指纹都被存成看起来像是星座图的东西,每个脊和峪之间映射有线段。
无论如何,因为你的生物识别身份终要存储下来供将来身份验证使用,黑客就能像盗取口令一样也把它偷走。而且,他们能在任何使用该生物识别身份的系统上循环使用之。唯一的区别就是,如果你的口令被盗,直接改了就是了;但你改不了你的视网膜(至少现在不行)。只要你的生物识别身份被盗,基本上,余生都要跟人共用身份了。
如果大型生物识别数据库被盗,那乐子就大了,就像2015年美国人事管理局(OPM)500万指纹信息被盗一样。那次事件中,90年代被取了指纹的人收到了来自政府的“您的指纹已被盗”通知函。
周所周知的全球最大指纹库,FBI的综合自动指纹识别系统(IAFIS),包含了至少7000万枚指纹的信息。上万网站和成百上千的电脑都能访问这些文件。若说没有未授权实体访问过IAFIS并拷走了全部东西,那不是太奇怪了么?就跟说每台IoT设备都超级安全一样奇怪。因为身份验证的未来就是双因子,生物识别占主导,很有可能你的生物特征会像如今卖得正火的信用卡信息一样被出售——频繁而又廉价。
有鉴于此,大多数计算机安全专家认为,所有生物识别身份验证方案,都应该要求至少至少另一种身份验证因素,单凭生物识别特征不能访问敏感信息。黑客或许会有你的视网膜扫描,但希望他们没有你脑海中的PIN码。
这个还没发生。目前还没人往自家孩子身体里植入GPS追踪芯片。但是,我们已经开始往宠物体内植入芯片了。没准儿哪天这个世界就允许往自家孩子身上弄这种玩意儿了呢。事实上,一些非常聪明的人已经开始询问是否已经到了可以这么做的时候了。
但是,能够用GPS芯片追踪自家孩子也有个不想要的附带后果——其他人也可以追踪他们了。政府官员和芯片制造商是肯定会宣传这些芯片有多么安全的,正如病人数十年来一直被告知医疗设备有多么安全一样。然而,当芯片植入成为常规,人贩子也会利用这同样的技术来拐孩子。正如今天的普通罪犯都知道该扔掉受害者手机以避免警方追踪,未来精通互联网的罪犯自然也会挖出烦人的GPS追踪芯片。只是时间问题而已。
或许,我们可以首先有意识地拒绝进入这么个反乌托邦的未来。
无论如何,我们的世界只会变得更加联网化,供应数字设备的厂商却没能做足安全保护工作。就像现在,面对APT攻击和勒索软件,计算机安全专家无不怀念当年只有脚本小子和音乐播放宏病毒的时代,我们很快就会渴望只有计算机才会被黑的日子了。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/104832.html