物聯網十大不得不防的安全威脅
物聯網(IoT)可能給現代生活帶來了莫大的好處,但它也有一大缺點:安全威脅。 弗雷斯特研究公司在其2018年物聯網預測中指出:“安全漏洞是部署物聯網解決方案的公司深為擔憂的一大問題――事實上,這也是在考慮部署物聯網解決方案的企業最關注的問題。然而,大多數公司并沒有始終如一地應對物聯網安全威脅,業務壓力壓倒了技術安全問題。” 在消費者方面,物聯網安全風險可能還要大,因為個人常常未認識到潛在威脅、該如何對付這些威脅。安全廠商金雅拓(Gemalto)贊助的2017年物聯網安全現狀調查發現,接受調查的消費者中只有14%認為自己對物聯網安全有所了解。鑒于54%的調查對象平均擁有四個物聯網設備,這個數字尤其令人不安。 而那些物聯網安全威脅不僅僅是理論上的。黑客和網絡犯罪分子已經找到了危及許多物聯網設備和網絡的方法,專家表示得逞的攻擊可能會增加。弗雷斯特研究公司預測:“2018年,我們會看到更多與物聯網有關的攻擊......只不過它們在規模和影響方面會有增無減。”
2018年企業和消費者將面臨哪種類型的物聯網安全威脅?借鑒歷史經驗,以下是最有可能的10種攻擊。
1. 僵尸網絡和DDoS攻擊 許多人在2016年9月聽說Mirai僵尸網絡時才首次意識到物聯網安全威脅。據一些人估計,Mirai感染了約250萬個物聯網設備,包括打印機、路由器和聯網攝像頭。僵尸網絡的創建者用它來發動分布式拒絕服務(DDoS)攻擊,包括攻擊網絡安全博客KrebsonSecurity。實際上,攻擊者利用被Mirai感染的所有設備,企圖同時連接到目標網站,希望搞垮服務器,防止任何人訪問網站。 自Mirai首次見諸媒體以來,攻擊者已發動了其他物聯網僵尸網絡攻擊,包括Reaper和Hajime。專家表示,未來可能會有更多的此類攻擊。
2. 遠程拍錄 黑客有可能在主人毫不知情的情況下,黑入物聯網設備,拍錄主人的活動,公眾知道這一點還要感謝中央情報局(CIA),而不是感謝黑客。維基解密網站披露的文件表明,這個情報機構早就知道物聯網設備的眾多零日攻擊,但沒有透露這些漏洞,原因是希望利用這些漏洞秘密錄下會揭露美國敵人的活動的對話。除了Android和iOS智能手機的漏洞外,文件還提到了智能電視的漏洞。很顯然,犯罪分子也可能會利用這些漏洞實施不法勾當。
3. 垃圾郵件 2014年1月發生了有史以來已知針對物聯網設備的一起攻擊,攻陷了10多萬個聯網設備,包括電視機、路由器和至少一臺智能電冰箱,每天發送30萬封垃圾郵件。攻擊者從任何一個設備發送的消息也就10條,因而很難阻止或查明攻擊源頭。 這起早期的攻擊絕非最后一起。由于Linux.ProxyM物聯網僵尸網絡,去年秋天物聯網垃圾郵件攻擊繼續肆虐。
4. APT 近年來,高級持續性威脅(APT)已經成為安全專業人員關注的一大問題。APT的背后是一群本領高超的攻擊者,比如國家或企業,它們發動復雜的網絡攻擊,難以預防或對付。比如說,摧毀伊朗核離心機的Stuxnet蠕蟲和2014年索尼影業黑客事件就歸咎于敵對國家。 隨著更多的關鍵基礎設施接入互聯網,許多專家警告,APT可能會對電網、工業控制系統或其他聯網系統發起物聯網攻擊。有人甚至警告,恐怖分子可能會發動使全球經濟陷于癱瘓的物聯網攻擊。
5. 勒索軟件 勒索軟件在家用PC和企業網絡上已變得非常普遍。現在專家表示,勒索軟件攻擊者開始盯上智能設備只是個時間問題。安全研究人員已經演示了能夠將勒索軟件安裝到智能恒溫器上。比如說,他們可以將溫度調高到95度,拒絕調回到正常溫度,除非受害者同意支付用比特幣支付的贖金。他們還能夠對聯網的車庫門、車輛甚至家電發動類似的攻擊。早上你肯付多少贖金來解鎖自己的智能咖啡壺?
6. 數據竊取 獲取敏感數據仍然是網絡攻擊的主要目標之一,比如客戶名稱、信用卡號碼、社會保障號碼及其他個人身份信息。據波耐蒙研究所聲稱,數據泄露事件讓公司平均損失362萬美元,相當于每條被竊取的記錄141美元。在想方設法入侵企業網絡或家庭網絡的犯罪分子看來,物聯網設備就是一條全新的攻擊途徑。比如說,如果一個保護不當的物聯網設備或傳感器連接到企業網絡,這可能為攻擊者提供了進入網絡的新方法,有可能找到他們覬覦的寶貴數據。
7. 入侵住宅 隨著智能鎖和智能車庫開門器變得更常見,網絡犯罪分子也更有可能成為現實世界中的小偷。面對手頭擁有高級工具和軟件的犯罪分子,如果沒有得到妥善的保護,家庭系統可能岌岌可危。令人不安的是,安全研究人員已證明,很容易黑入幾家不同廠商的智能鎖,智能車庫門的安全性似乎并沒有大大提高。
8. 偷偷與孩子溝通 物聯網安全最令人不安的故事之一就是黑入嬰兒監視器。一對夫婦曾發現,一個陌生人不僅用他們的嬰兒監視器窺視其三歲大的兒子,還一直通過監視器與孩子說話。這位母親曾聽到陌生的聲音說:“醒來,小男孩,爸爸在找你”,孩子說他嚇壞了,因為有人在晚上通過監視器與他說話。 隨著更多的兒童設備和玩具連接到互聯網,這種可怕的情景可能會變得更司空見慣。
9. 遙控車輛 由于車輛變得更智能,并連接到互聯網,它們也容易受到攻擊。黑客已證明,他們可以控制吉普車,將空調設到最高數值、換廣播電臺、開啟雨刷器,最終讓車輛停下來。這個新聞導致車企召回了140萬輛車,但是這個漏洞背后的白帽研究人員表示,他們發現了另外的安全漏洞,克萊斯勒為召回車輛所打的補丁堵不了這些漏洞。雖然專家表示,汽車業在確保車輛安全方面有所改進,但幾乎可以肯定的是,攻擊者會在聯網汽車中發現新的漏洞。
10. 人體攻擊 有時候物聯網不僅僅包含物件,還包括聯網醫療設備植入到體內的人。電視連續劇《Homeland》的劇集圍繞利用植入體內的醫療設備搞暗殺活動展開,美國前副總統Dick Cheney對于這種場景深為擔憂,于是他關閉了植入其體內的除顫器的無線功能。這種類型的攻擊在現實生活中還沒有發生,但隨著更多的醫療設備成為物聯網的一部分,這種可能性仍然存在。
