前方预警:针对IoT设备的攻击浪潮正在袭来

2017-03-20 00:15 出处:PConline原创 作者:卡夫卡 责任编辑:sunziyi

  【PConline 杂谈】有预测称,至2020年全球联网设备将达501亿,遍布各个行业。联网设备的与日俱增,也让越来越多的数据上传至网络,而这也增加了数据被窃的风险。另一方面,大多数硬件厂商对IoT设备存在的潜在风险理解不够清晰,一旦出现漏洞又不能及时发现与补救,也将为真实世界带来严重后果。例如近日闹的沸沸扬扬的CIA情报丑闻,让大众陷入个人隐私与人生安全的恐慌中。可以肯定的是,针对IoT设备的攻击浪潮正在袭来。

前方预警:针对IoT设备的攻击浪潮正在袭来
前方预警:针对IoT设备的攻击浪潮正在袭来

你以为只有电脑才会被‘勒索’?

  之前我们讲“勒索软件”大多是发生在电脑端,电脑中的文件一旦被锁,受害者只得向攻击者支付赎金才能获得解锁密匙,赎回文件。尤其是在近一两年间,其低成本高收益的攻击方式,成为黑客最爱使用的攻击方式之一,攻击频率不减反增,成为最让人头疼的攻击方式之一。

  而本文我们要说的,确是发生在智能电视上的勒索案件。通过智能电视,我们不仅能够观看正常的有线节目,同时还能收看例如YouTube、Netflix上的大量片源,甚至浏览网页,只是问题也随之而来。智能电视同样存在遭受恶意软件以及黑客攻击的风险。一旦被‘砖’,除非重写固件,不然设备便不能正常操作。目前,证实至少已有一台电视被‘砖’(描述计算设备状态的术语,表示该设备如果没有重写固件,就不能正常操作)。重点是,除了制造商其他人很难甚至不可能重写固件。

  对此,安全公司早在去年就曾发出警告,已出现可以‘砖’智能电视的勒索软件,且仅在一个多月就检测到某勒索软件程序的7000多个变种。尽管该恶意软件只能感染特定类型的已停产智能电视,却足以警醒,日后智能电视将成为勒索标靶。

生物识别身份被倒卖?

  正因数字密码存有被复制和破解的风险,才使得生物密码慢慢将其取而代之,因为我们每个人的生物特征是独一无二的,难以复制更不易破解。但你可有曾想过,大多数的用户都没意识到自己的生物识别身份是以数字文件的形式进行存储的。

  既然是数字文件,就存在被黑客盗取的风险,且凡是能够使用生物识别身份的系统都可循环使用。与普通密码不同的是,生物密码无法在得知被盗后,进行修改。也就是说,一旦你的生物识别身份被盗,基本上这辈子就要跟盗用者共用身份了。

  未来,生物识别身份将成为主流的验证方式,因此其很有可能像今天的个人手机号一样,被一次一次频繁而又廉价的贩卖。因此,未来的生物识别验证方案,都应具备一种以上的多重生物特征验证,即便黑客获得了你的虹膜扫描数据,也不能为所欲为。

智能手机出卖你的隐私

  知道勒索软件,但你知道隐私勒索软件吗?攻击者先是锁定你的计算机或智能手机,然后威胁你要将主机密文或隐私聊天记录公之与众,即使开了小号也救不了你,还想着神不知鬼不觉的出轨?不想出丑,不想公司机秘到竞争对手那里,那就老老实实的交赎金吧。

  其实,大众对以‘勒索’为目的的攻击行为,也有一定得防备措施,就是及时备份。对于此点,黑客自然也是清楚的很,但是如果被曝光的是具有羞辱性(甚至更为隐私的)或是更有价值的信息,那就是无价的了,更容易让被害者就范。因此,打败你便是分分钟钟的事。

  此外,目前仍有很多智能手机用户没有采取保护手机安全。根据皮尤研究中心的一份报告显示,14%的用户表示从不升级操作系统,10%的用户表示从不更新应用;3%的用户表示不升级操作系统或应用,也不使用屏幕锁;40%的用户表示只在方便的时候升级操作系统或应用。如此这般,被黑怪得了谁?

你家大门为谁开?

  作为物联网的一部分,智能家庭也当下炒得火热的领域之一。家中的一些设备都能通过网络或无线连接,通过集成系统或手机APP便可操控家中的一切,是何等的智能。然而,连入网络的家庭设备同样也能被黑客操控。

  如今,家庭中连入互联网的设备越来越多,例如空调、智能插座、冰箱以及智能门禁、视频监控等警报系统,又或者恒温器等等,只要连网就有可能被黑客操纵。有网络的地方就有黑客,可想而知,日渐普及的智能家庭所要面临的‘防黑’问题。

“脱缰”的联网汽车

  据传,在此次曝光的“CIA病毒”中就有能够侵入汽车操控系统(可实施秘密暗杀)的病毒工具,不管是危言耸听,还是确有其事,都让我们看到了汽车联网带来的安全隐患。直到最近,汽车生产厂商才开始注意严密保护这些系统,使其不受黑客攻击。

  确切的说,是保护例如引擎、刹车等关系到人生安全的操控系统,不会被黑。尤其是未来,当有一天无人驾驶技术足够成熟并广泛应用后,如何保证驾驶系统,将直接关乎着乘坐者的生命安全。

医疗设备成易攻击对象

  我们说,只要可写软件,可无线工作,或者能够接入网络,任何医疗设备都存在被黑客染指的风险。目前,计算机科学家和黑客已经攻破了心脏起搏器、心脏监测器、静脉滴注设备、喂药器和诊断设备,所有这些设备都可能置病人于死地。

  然而,医疗设备厂商对此还并未引起足够的重视。要知道,一个新型医疗设备,其研发、测试和批准过程一般需要10年时间,设备厂商必须遵守十几个监管机构制定的指南和法律。缓慢的审查程序和围绕医疗设备的监管规定,可能就是这些问题的祸根。

  厂商有意避免使用最新最好的软件,通过减缓产品投放,使用更老更稳定的经验证软件,厂商觉得他们可以在设备面向大众之前更好地根除潜在的问题。导致在过去十年间,发生过数百起医疗设备召回事件,其中大部分都是存在网络安全问题。

  实际上, 正由于IoT设备中缺少应有的安全措施,使其处于易被攻击的劣势。为了修复IoT设备中的潜在威胁,我们其实可以通过数字证书认证设备商的软件,又或是增加访问控制,将攻击‘杀伤力’降至最低,及时为设备升级/打补丁等方式,为设备的安全性加权。未来,物联网还有很长的路要走,要发展但绝不是以牺牲安全为代价。

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品