如今,許多裝置都配備了晶片並連線到網際網路——即所謂的物聯網。智慧冰箱會在牛奶不足時提醒您,或將其新增到購物清單中——甚至可以從雜貨應用程式訂購!空調會預測您何時想讓房子涼爽以便在跑步機上跑步,但在您外出看電影時會自動調低溫度。嬰兒監視器會告訴您何時該儲備出牙凝膠:小傢伙翻來覆去有點太頻繁了。
這聽起來既實用又奇妙。然而,您的聯網嬰兒監視器很可能昨晚與數百萬其他裝置(攝像頭、印表機、路由器、揚聲器、空調、數字錄影機等)聯合起來,審查記者;撤下音樂、社交媒體或電影網站,例如 Twitter 或 Netflix;破壞開源軟體專案;使近一百萬德國家庭斷線;或導致賴比瑞亞的手機通訊癱瘓。由於所有這些額外的隱秘活動,它還在增加您的電費。
等等……什麼?問題非常簡單但又極其棘手,它與全球化、法律和責任以及技術息息相關。我們的大多數小工具都依賴於通用硬體,其中大部分產自中國,並在全球消費品中使用。為了完成它們的工作,這些裝置執行軟體並具有使用者配置檔案,可以登入以進行配置。不幸的是,相當多的製造商選擇允許簡單且廣為人知的密碼(如“password”、“pass”、“1234”、“admin”、“default”或“guest”)來訪問裝置。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們今天世界的發現和想法的具有影響力的故事的未來。
在一個簡單但具有破壞性的攻擊中,有人整理了一個包含 61 個此類使用者名稱/密碼組合的列表,並編寫了一個程式來掃描網際網路上使用它們的產品。一旦進入,該軟體會立即安裝自身,並且在一個狡猾的轉折中,掃描裝置以查詢其他知名的惡意軟體並將其擦除,以便它可以成為唯一的寄生蟲。這個名為 Mirai 的惡意程式隨後將數百萬個易受攻擊的裝置連結在一起形成一個殭屍網路——一個受感染計算機的網路。當成群的殭屍嬰兒監視器、印表機和攝像頭同時 ping 他們的受害者時,除非目標站點採用昂貴的保護措施,否則它將不堪重負,因此無法訪問。
更糟糕的是,Mirai 的作者在首次對網際網路安全調查記者布萊恩·克雷布斯的網站進行審查攻擊後不久就釋出了原始碼。現在,即使是編碼技能初級的人也可以組裝自己的巨型殭屍網路。還有一些“偷窺湯姆”網站隨機掃描並輕鬆找到具有這些簡單、已知密碼的攝像頭,並將它們的饋送流式傳輸到全世界。
有什麼解決辦法?您可能已經注意到,手機或筆記型電腦偶爾需要軟體更新。這些更新引入了新功能,但它們通常也修補錯誤並修復軟體漏洞。唉,大多數容易受到 Mirai 攻擊的裝置在出廠時也沒有可行或簡便的方法來更新或修復它們。
我曾經做過各種計算機網路的臨時管理員來支付大學學費,而 Mirai 使用的密碼與我在面對登入名未知的裝置時會嘗試的組合相同。這麼多年後仍然如此,這指出了實際問題:沒有人管事。的確,為什麼要管呢?對於晶片或裝置製造商而言,安全性差通常沒有什麼壞處。
沒有有牙齒的權威機構,也沒有明確的法律概述由這種公然疏忽的安全實踐造成的損害的責任。Mirai 的原始作者似乎是最終認罪後被捕的美國大學生,但這在很大程度上無關緊要。只要有大量裝置使用“admin/admin”使用者名稱/密碼組合,最終就會有人這樣做。壞訊息是,除了等待現有的易受攻擊的裝置退化之外,Mirai 沒有真正的解決方案。好訊息是,如果一些出廠時配備“admin/admin”小工具的裝置製造商被迫支付鉅額罰款,或者如果被駭客入侵的嬰兒監視器的父母可以起訴製造商或銷售商,安全性可能會迅速提高。
物聯網向我們承諾了偉大的奇蹟,但我希望它們不那麼令人興奮。現在是時候讓嬰兒監視器再次變得無聊了——並回到擔心小傢伙的出牙,而不是擔心他或她的安全攝像頭加入殭屍網路並在全球範圍內造成嚴重破壞。