增强物联网设备安全的责任在于设备制造商,而不是购买这些产品的用户。
Illustration: iStockphoto
刚过去不久的十月份,一家美国网络域名服务商Dyn遭到了一系列的DDoS攻击,使得一些用户无法登陆包括Github、Twitter、Netflix在内的部分网站。之后不久,基本确定了这次的一系列攻击是由于数百万存在安全漏洞的物联网设备发起的。
在纽约举行的美国国家网络安全联盟网络安全峰会上,安全公司、互联网服务提供商和设备制造商的高层们纷纷提出了对此事的担忧。参会人员表示,如果物联网领域的公司仍然不能增强设备的安全性或将继续面临着威胁,同时成员们还讨论了提高物联网生态系统安全性的方法。
美国本土一家安全公司CEO,Andrew Lee表示,“这次的攻击就好比打开了潘多拉的魔盒,这或许给制造商们敲响了警钟,提醒他们严肃对待这个问题。”
然而到目前为止仍不清楚是谁实施了本次的攻击,Dyn公司发布声明,黑客利用Mirai僵尸网络聚集了数千万个IP地址来策划实施此次攻击,通过恶意软件扫描了网络上存在漏洞的设备,然后将这些设备组成了一个大型的全球性的僵尸网络。随着数量越聚越多,黑客便利用僵尸网络发起攻击,这种攻击会让大量设备在同一时间内对目标进行攻击,使得网站崩溃从而阻止普通用户进入相应网站。
DDoS攻击这种攻击形式几十年前就有了,但是黑客却能通过Mirai病毒利用物联网设备组件一个大型僵尸网络,是因为大量的物联网设备安全性比手机或者笔记本电脑更低。黑客经常可以通过输入设备出厂默认的账号信息来入侵,而这些默认的账号在数百万设备上都是相同的。这种投机取巧的方法,跟本田汽车批量发放2017款Civics汽车验证密钥事件非常类似。
9月份,Mirai病毒的创造者公开了此病毒的源代码,如此一来几乎所有黑客都能使用此病毒。安全专家预计,不久或许会有比这次更大、影响范围更广的物联网僵尸网络出现。病毒出现后不到一个月,Dyn公司首席战略官就在公司网站中发布了一篇帖子,称周五受到的攻击规模是“史无前例”的。
担心物联网设备易受攻击的不仅仅是消费者,这个问题还影响着工业领域。思科安全部门高级总监表示,思科39%的客户因为顾虑到物联网安全性而终止过一个相关项目。
很显然,目前许多制造商仍然没有在他们的产品中集成足够的安全保护措施,而且现在业内也还没有达成一个物联网设备安全标准的共识。出售这些易受攻击的设备必定会伤害到这个产业:Dyn公司被攻击事件中,被利用的摄像头的生产厂商中国杭州雄迈科技公司,已经召回了相关网络摄像头组件。
ESET和国家网络安全联盟周五发布的一个调查显示,1527位美国成年人中50%的人因为顾虑物联网设备的安全因素,放弃过购买相应产品。
但是,目前看来,单靠市场的力量还不足以让制造商愿意投入额外时间或者财力用于确保其产品安全。另一个增强安全性的方法,就是立法者或者政府通过制定相关法律或者政策,强制要求物联网设备生产商在设备中加入安全措施,并提供日常更新升级和漏洞补丁。
然而,ESET北美的工作人员Lee表示,政府法规很难应用于网络安全。政策、法规更新的速度必然比不上威胁和解决方案更新的速度。
美国国家标准与技术研究所建立了一个自愿性的网络安全框架协议,公司和相关机构可以用作鉴别和预防网络风险。然而,这个协议主要是针对关键基础设施的,例如电力网络和水处理厂,并没有对于物联网设备提出详细建议。
周一的峰会中,NXP半导体公司负责网络安全的副总 Sami Nassar,建议引入第三方机构的认证:通过一个独立的组织,为那些符合最低安全标准的设备发放标识或者是认证。这种方法类似美国公平贸易认证,或者美国农业部对有机食品的管理方法。Sami认为,所有物联网产品都需要达到最低安全标准方可连入网络。
一些业界自己定义的方案也已经出现,例如,苹果HomeKit套件包含了不同厂家生产的风扇、锁具、加湿器、恒温控制器等组件,而这些组件都符合苹果的安全标准。Lee同时认为,保险业也应该在推动提高联网车辆安全上出一份力,拒绝为易受攻击车辆承保。
但是,电子游戏安全公司Panopticon Labs合伙人Matthew Cook指出,以上这些解决方案都需要基于一个前提:网络安全专家为物联网产品建立一套完整的安全标准。现实情况是,一个产品的威胁模型从设计到生产销售可能会发生很大改变。
专家们认为,不管是何种方法,增强物联网设备安全的责任在于设备制造商,而不是购买这些产品的用户。任何一个还需要普通消费者操作的步骤(例如修改默认密码)都存在潜在被攻击威胁,因为无法确保每个消费者都会去操作。身份识别保护公司LifeLock首席信息安全官Neil Daswani表示:如果生产厂商希望消费者真的愿意使用,就需要做的像是用电视遥控器一样简单。