随着今年节日礼品季的临近,快速增长的“物联网”(IoT)——上周五被利用来帮助关闭部分网络——即将变得更大、更快。圣诞节和光明节的愿望清单上肯定会摆满智能手表、健身追踪器、家庭监控摄像头和其他Wi-Fi连接的设备,这些设备连接到互联网,将照片、视频和锻炼详情上传到云端。不幸的是,这些设备也很容易受到病毒和其他恶意软件(malware)的攻击,这些恶意软件可以用来将它们变成虚拟武器,而无需其所有者的同意或知情。
上周的分布式拒绝服务 (DDoS) 攻击——其中数千万被黑客入侵的设备被利用来阻塞和瘫痪互联网计算机服务器——对物联网来说是一个不祥之兆。DDoS 是一种网络攻击,其中大量设备被编程为同时请求访问同一网站,从而造成数据流量瓶颈,切断对该网站的访问。在这种情况下,身份不明的攻击者使用了名为“Mirai”的恶意软件入侵设备,他们可以猜出这些设备的密码,因为所有者要么无法更改,要么没有更改设备的默认密码。
物联网是一个庞大且不断增长的虚拟世界,包括汽车、医疗设备、工业系统和越来越多的消费电子设备。这些包括视频游戏机、智能扬声器(如 Amazon Echo)和联网恒温器(如 Nest),更不用说将这些设备连接到互联网和彼此的智能家居中心和网络路由器。根据消费者技术协会的数据,在过去 15 年中,科技产品占美国每年节日礼品支出的 73% 以上。今年,CTA 预计约有 1.7 亿人购买为物联网做出贡献的礼物,研究和咨询公司 Gartner 预测,到 2020 年,这些网络将扩展到全球 500 亿台设备。距离黑色星期五还有不到一个月的时间,这些设备的制造商不太可能在假期前修复导致上周攻击的安全漏洞。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
在物联网攻击暂时瘫痪了美国东北部大部分地区以及美国其他广阔区域的网络之前,已经有迹象表明如此大规模的攻击即将发生。9 月,一个由受 Mirai 感染的物联网设备组成的网络,或“僵尸网络”,发起了 DDoS 攻击,击垮了由调查网络安全记者 Brian Krebs 运营的 KrebsOnSecurity.com 网站。几周后,有人在互联网上公开发布了 Mirai 的源代码,供任何人使用。几天之内,Mirai 就成为了上周针对美国动态网络服务公司 Dyn(一家域名系统 (DNS) 服务提供商)攻击的核心。Dyn 的计算机服务器就像互联网交换机,通过将网站地址转换为其对应的互联网协议 (IP) 地址来发挥作用。Web 浏览器需要该 IP 地址才能查找并连接到托管该网站内容的服务器。
周五的攻击使索尼 PlayStation Network、Twitter、GitHub 和 Spotify 的 Web 团队整天忙碌,但对被劫持用于发起攻击的设备的所有者几乎没有影响。Panopticon Laboratories 公司联合创始人 Matthew Cook 说,大多数摄像头和其他数字设备被卷入其中的人永远不会知道。Panopticon Laboratories 是一家专门为在线游戏开发网络安全的公司。库克周一在纽约市的网络安全会议的小组讨论会上发言。
安全软件制造商 ESET 北美区首席执行官 Andrew Lee 是另一位会议发言人,他表示,当消费者意识到有人可能通过入侵他们家中的网络摄像头来监视他们时,他们可能会开始更加关注。Lee 补充说,攻击者可以使用网络摄像头来了解居住者的日常作息——从而知道何时家中无人——甚至记录下他们在电脑或移动设备上键入密码的过程。
物联网的扩展速度超过了设备制造商对网络安全的兴趣。国家网络安全联盟和 ESET 周一发布的一份报告显示,在接受调查的 15,527 名消费者中,只有一半表示,对物联网设备网络安全的担忧让他们放弃购买。略多于一半的受访者表示,除了电脑和智能手机外,他们还拥有最多三个连接到家庭路由器的设备,另有 22% 的人拥有 4 到 10 个额外的连接设备。然而,43% 的受访者表示,他们要么没有更改其默认路由器密码,要么不确定是否更改了。此外,某些设备的密码难以更改,而另一些设备则具有永久编码的密码。
由于联网设备制造商几乎没有时间在假期前修复安全问题,许多网络安全研究人员建议消费者至少确保他们的家庭互联网路由器受到安全密码的保护。