如今,许多设备都配备了芯片并连接到互联网——即所谓的物联网。智能冰箱会在牛奶不足时提醒您,或将其添加到购物清单中——甚至可以从杂货应用程序订购!空调会预测您何时想让房子凉爽以便在跑步机上跑步,但在您外出看电影时会自动调低温度。婴儿监视器会告诉您何时该储备出牙凝胶:小家伙翻来覆去有点太频繁了。
这听起来既实用又奇妙。然而,您的联网婴儿监视器很可能昨晚与数百万其他设备(摄像头、打印机、路由器、扬声器、空调、数字录像机等)联合起来,审查记者;撤下音乐、社交媒体或电影网站,例如 Twitter 或 Netflix;破坏开源软件项目;使近一百万德国家庭断线;或导致利比里亚的手机通信瘫痪。由于所有这些额外的隐秘活动,它还在增加您的电费。
等等……什么?问题非常简单但又极其棘手,它与全球化、法律和责任以及技术息息相关。我们的大多数小工具都依赖于通用硬件,其中大部分产自中国,并在全球消费品中使用。为了完成它们的工作,这些设备运行软件并具有用户配置文件,可以登录以进行配置。不幸的是,相当多的制造商选择允许简单且广为人知的密码(如“password”、“pass”、“1234”、“admin”、“default”或“guest”)来访问设备。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们今天世界的发现和想法的具有影响力的故事的未来。
在一个简单但具有破坏性的攻击中,有人整理了一个包含 61 个此类用户名/密码组合的列表,并编写了一个程序来扫描互联网上使用它们的产品。一旦进入,该软件会立即安装自身,并且在一个狡猾的转折中,扫描设备以查找其他知名的恶意软件并将其擦除,以便它可以成为唯一的寄生虫。这个名为 Mirai 的恶意程序随后将数百万个易受攻击的设备链接在一起形成一个僵尸网络——一个受感染计算机的网络。当成群的僵尸婴儿监视器、打印机和摄像头同时 ping 他们的受害者时,除非目标站点采用昂贵的保护措施,否则它将不堪重负,因此无法访问。
更糟糕的是,Mirai 的作者在首次对互联网安全调查记者布莱恩·克雷布斯的网站进行审查攻击后不久就发布了源代码。现在,即使是编码技能初级的人也可以组装自己的巨型僵尸网络。还有一些“偷窥汤姆”网站随机扫描并轻松找到具有这些简单、已知密码的摄像头,并将它们的馈送流式传输到全世界。
有什么解决办法?您可能已经注意到,手机或笔记本电脑偶尔需要软件更新。这些更新引入了新功能,但它们通常也修补错误并修复软件漏洞。唉,大多数容易受到 Mirai 攻击的设备在出厂时也没有可行或简便的方法来更新或修复它们。
我曾经做过各种计算机网络的临时管理员来支付大学学费,而 Mirai 使用的密码与我在面对登录名未知的设备时会尝试的组合相同。这么多年后仍然如此,这指出了实际问题:没有人管事。的确,为什么要管呢?对于芯片或设备制造商而言,安全性差通常没有什么坏处。
没有有牙齿的权威机构,也没有明确的法律概述由这种公然疏忽的安全实践造成的损害的责任。Mirai 的原始作者似乎是最终认罪后被捕的美国大学生,但这在很大程度上无关紧要。只要有大量设备使用“admin/admin”用户名/密码组合,最终就会有人这样做。坏消息是,除了等待现有的易受攻击的设备退化之外,Mirai 没有真正的解决方案。好消息是,如果一些出厂时配备“admin/admin”小工具的设备制造商被迫支付巨额罚款,或者如果被黑客入侵的婴儿监视器的父母可以起诉制造商或销售商,安全性可能会迅速提高。
物联网向我们承诺了伟大的奇迹,但我希望它们不那么令人兴奋。现在是时候让婴儿监视器再次变得无聊了——并回到担心小家伙的出牙,而不是担心他或她的安全摄像头加入僵尸网络并在全球范围内造成严重破坏。