隨著今年節日禮品季的臨近,快速增長的“物聯網”(IoT)——上週五被利用來幫助關閉部分網路——即將變得更大、更快。聖誕節和光明節的願望清單上肯定會擺滿智慧手錶、健身追蹤器、家庭監控攝像頭和其他Wi-Fi連線的裝置,這些裝置連線到網際網路,將照片、影片和鍛鍊詳情上傳到雲端。不幸的是,這些裝置也很容易受到病毒和其他惡意軟體(malware)的攻擊,這些惡意軟體可以用來將它們變成虛擬武器,而無需其所有者的同意或知情。
上週的分散式拒絕服務 (DDoS) 攻擊——其中數千萬被駭客入侵的裝置被利用來阻塞和癱瘓網際網路計算機伺服器——對物聯網來說是一個不祥之兆。DDoS 是一種網路攻擊,其中大量裝置被程式設計為同時請求訪問同一網站,從而造成資料流量瓶頸,切斷對該網站的訪問。在這種情況下,身份不明的攻擊者使用了名為“Mirai”的惡意軟體入侵裝置,他們可以猜出這些裝置的密碼,因為所有者要麼無法更改,要麼沒有更改裝置的預設密碼。
物聯網是一個龐大且不斷增長的虛擬世界,包括汽車、醫療裝置、工業系統和越來越多的消費電子裝置。這些包括影片遊戲機、智慧揚聲器(如 Amazon Echo)和聯網恆溫器(如 Nest),更不用說將這些裝置連線到網際網路和彼此的智慧家居中心和網路路由器。根據消費者技術協會的資料,在過去 15 年中,科技產品佔美國每年節日禮品支出的 73% 以上。今年,CTA 預計約有 1.7 億人購買為物聯網做出貢獻的禮物,研究和諮詢公司 Gartner 預測,到 2020 年,這些網路將擴充套件到全球 500 億臺裝置。距離黑色星期五還有不到一個月的時間,這些裝置的製造商不太可能在假期前修復導致上週攻擊的安全漏洞。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
在物聯網攻擊暫時癱瘓了美國東北部大部分地區以及美國其他廣闊區域的網路之前,已經有跡象表明如此大規模的攻擊即將發生。9 月,一個由受 Mirai 感染的物聯網裝置組成的網路,或“殭屍網路”,發起了 DDoS 攻擊,擊垮了由調查網路安全記者 Brian Krebs 運營的 KrebsOnSecurity.com 網站。幾周後,有人在網際網路上公開發布了 Mirai 的原始碼,供任何人使用。幾天之內,Mirai 就成為了上週針對美國動態網路服務公司 Dyn(一家域名系統 (DNS) 服務提供商)攻擊的核心。Dyn 的計算機伺服器就像網際網路交換機,透過將網站地址轉換為其對應的網際網路協議 (IP) 地址來發揮作用。Web 瀏覽器需要該 IP 地址才能查詢並連線到託管該網站內容的伺服器。
週五的攻擊使索尼 PlayStation Network、Twitter、GitHub 和 Spotify 的 Web 團隊整天忙碌,但對被劫持用於發起攻擊的裝置的所有者幾乎沒有影響。Panopticon Laboratories 公司聯合創始人 Matthew Cook 說,大多數攝像頭和其他數字裝置被捲入其中的人永遠不會知道。Panopticon Laboratories 是一家專門為線上遊戲開發網路安全的公司。庫克週一在紐約市的網路安全會議的小組討論會上發言。
安全軟體製造商 ESET 北美區執行長 Andrew Lee 是另一位會議發言人,他表示,當消費者意識到有人可能透過入侵他們家中的網路攝像頭來監視他們時,他們可能會開始更加關注。Lee 補充說,攻擊者可以使用網路攝像頭來了解居住者的日常作息——從而知道何時家中無人——甚至記錄下他們在電腦或移動裝置上鍵入密碼的過程。
物聯網的擴充套件速度超過了裝置製造商對網路安全的興趣。國家網路安全聯盟和 ESET 週一釋出的一份報告顯示,在接受調查的 15,527 名消費者中,只有一半表示,對物聯網裝置網路安全的擔憂讓他們放棄購買。略多於一半的受訪者表示,除了電腦和智慧手機外,他們還擁有最多三個連線到家庭路由器的裝置,另有 22% 的人擁有 4 到 10 個額外的連線裝置。然而,43% 的受訪者表示,他們要麼沒有更改其預設路由器密碼,要麼不確定是否更改了。此外,某些裝置的密碼難以更改,而另一些裝置則具有永久編碼的密碼。
由於聯網裝置製造商幾乎沒有時間在假期前修復安全問題,許多網路安全研究人員建議消費者至少確保他們的家庭網際網路路由器受到安全密碼的保護。