物联网为黑客、恶作剧者以及安全防守者们提供了一片全球性的对抗场地,而以下九大现实则令人深感不安。

时至今日,物联网安全问题的严重性早已不是什么秘密。我们鲁莽地全面采用大量新型永久联网设备——电器、摄像头、恒温器以及汽车等等,这给整个世界带来巨大的网络安全困扰。最重要的是,这些联网“智能”设备并不具备保护能力且极易受到入侵。根据具体情况,它们可能泄漏敏感数据、产生令人担忧的监控问题,甚至在一定程度上造成物理性危害。

物联网安全是个庞大、复杂且非常严肃的话题。通过对市场需求的深入分析,我们综合近年来最具关注度的物联网安全消息,整理出下面这些恐怖的小秘密。 

僵尸网络危机

自联网设备刚刚出现时起,劫持非安全物联网设备以驱动僵尸网络的行为就屡见不鲜。利用数量庞大的物联网装置,黑客得以接管成千上万联网设备,并利用其集体计算能力对网站及在线服务发动可怕的分布式拒绝服务(简称DDoS)攻击。

物联网僵尸网络活动在2016年迎来全面升级,当时臭名昭著的Mirai网络攻击一口气令众多高人气网站与在线服务陷入瘫痪,具体包括Twitter、CNN、Reddit以及Netflix等等。

此次服务中断由僵尸网络支持的DDoS攻击所造成。这一次,僵尸网络主要由电视以及家庭娱乐主机等看似无害的物联网设备组成。值得一提的是,这也是此类攻击活动中规模最大的一起。调查人员们估计,有数十万台物联网设备遭到劫持。

儿童玩具

017年2月,一起令人不安的物联网黑客事件浮出水面。作为一类颇为流行的联网儿童智能玩具,CloudPets制造商似乎在网络上留下了一套庞大且未受保护的用户信息数据库。

根据报道,相关帐户信息包括超过80万名用户的电子邮件地址与易被猜出的密码。此外,安全专家在对此次事件进行评估后给出结论,称黑客完全能够通过CloudPets玩具访问孩子与父母在其中录制的语音消息。(CloudPets是一类非常可爱的毛绒动物玩具,其中提供语音播放与语音录制功能。)

更可怕的是,进一步调查发现,这些毛绒玩具甚至能够作为远程监控设备使用。真是让人不寒而栗!

玩具的故事还在继续

如果说CloudPets事件听起来似曾相识,那是因为近年来这样的状况已经开始成为一种规律。从安全角度来看,任何具备联网功能的玩具都与其它联网设备拥有相同的属性。再加上麦克风与摄像头的参与,情况将变得更难以控制。

也许大家大家都听过这类传闻:身居远郊的夫妇夜里被婴儿房里的尖叫声惊醒。他们匆匆起身,并惊恐地发现有人入侵了家庭婴儿监视器与摄像系统。而在父母进入婴儿房时,具备运动追踪功能的机器人摄像头缓缓升起,盯着这对“闯入者”。

遗憾的是,这可不只是传闻。2014年确实发生过此类事件,很多人甚至将其视为玩具入侵事件的开端。2017年,联邦调查局也开始参与其中,并发布了关于联网玩具的消费者警告信息。

离奇车祸

专家们指出,我们尚处于这场危机的早期阶段,而众多物联网安全问题仍然潜伏在四周。通过网络搜索,大家会发现大量关于反黑客活动与安全演示的内容,其中也包括很多专家们尚未在现实世界中发现的潜在攻击方式。

2015年,一位勇敢的记者试图以令人钦佩的勇气通过双重验证方法解决汽车黑客问题。与安全专家Charlie Miller以及Chris Valasek合作,《连线》杂志作者Andy Greenberg以每小时70英里的速度驾驶一辆吉普车沿高速公路行驶。在此期间,安全专家们尝试劫持其仪表板控制装置——电台瘫痪、空调瘫痪、雨刷器乱摆,最终引擎熄火。

这段令人毛骨悚然的实验视频很多得到了人们的关注,促使汽车行业不断努力以解决潜在的虚拟车辆劫持难题。

横向攻击

企业最害怕物联网攻击引发哪些问题?问得好。在最近于旧金山召开后次安全会议当中,与会者们详细介绍了黑客如何通过物联网入侵获取商业机密。他们在演示文稿中展示了黑客如何实现物联网横向攻击——即在不同设备间往来跳转以渗透企业网络。

在演示场景当中,黑客们会利用互联网角落中已经存在漏洞的物联网目标——例如办公室中的安保摄像头。以此为基础,黑客们跳转至路由器,并最终接管了建筑物中的全部摄像头。通过利用图像分析软件对摄像头进行筛选,攻击者得以越过员工的肩膀查看他们的办公桌,包括提取屏幕上显示的密码及凭证信息。

虽然这只是个完全假设出来的场景,但安全专家们警告称,这种攻击方式只需简单的现有工具即可实现,因此完全有可能真实出现。

心脏疾病

在考虑可能遭受入侵的物联网设备名单时,有两个词相信是大家不想听到的:手术、植入物。

2017年1月,美国食品与药物管理局发布声明,警告称恶意黑客有可能得以接入某些心脏植入设备——例如心脏起搏器及除颤器。这些设备能够以远程方式向医生发送患者信息,因此需要无线接入患者家中的集线器,而该集线器都通过标准的固网或无线连接接入互联网。遗憾的是,技术人员发现这类集线器设备中的某些发射装置极易受到入侵与攻击。

在最糟糕的情况下,黑客完全可以操纵目标装置并发出错误的脉冲,或者快速耗尽设备电池。得到消息之后,制造商很快开发并部署了一款软件补丁,最终没有心脏病患因此受到伤害。

酷热难耐

这是大家可能耳熟能详的另一个小故事:最近,一位被赶出家门的丈夫决定报复他的前妻。在前妻外出度假时,他调整了房屋内的智能恒温器并连续加热数天——很明显,电缆账单快速爆炸。而在她回家后,他又在夜晚偷偷关掉恒温器,让她在凌晨被生生冻醒。

虽然很难验证,但基本可以肯定的是,这也不完全属于空穴来风。(故事的内容来自亚马逊上几年前发布的一篇帖子。)而且无论是真是假,广泛存在于高科技联网房屋的智能恒温器都值得我们加以关注。

白帽黑客已经发现了针对恒温器系统的各类攻击活动,甚至包括对勒索软件的利用。黑客可能会锁定用户的炉灶,这意味着我们不支付赎金就无法正常烹饪。

不安全摄像头

家庭网络摄像头与安保摄像头长期以来一直是业余黑客、恶作剧者以及偷窥者们最喜爱的目标。只需几次点击,几乎任何人都可以访问规模庞大的全球不安全摄像头网络中的各类实时视频。大家甚至可以浏览列出已启动摄像头来源的目录网站,例如insecam.com(当然,也有少数网站是出于善意目的公开此类安全问题)。

去年年初,两名东欧黑客控制了华盛顿特区高达三分之二比例的室外监控摄像头。黑客们控制美国首都警用摄像头的行为不禁让人有种在看好莱坞大牌的感觉。不过他们选择的时机有点问题:实效攻击发生在特朗普总统就职典礼之前,因此这一事件马上引起了美国特勤局的注意。

可以想见,特勤局才不会跟他们客气。肇事者在伦敦被迅速逮捕,并排除等候引渡。事实证明,此次黑客活动与就职典礼并无关联,他们只是在为一起勒索软件攻击进行筹备。

物联网黑客攻击的艺术

在这场物联网黑客之祸中,是否存在着光明的一面?答案也许是肯定的。让我们一起来看最后一个案例:监控摄像头艺术展事件。

回到2015年,摄影师Andrew Hammerand推出了一部照片集,其中所有照片都来自同一台被劫持的安保摄像头。通过简单的谷歌搜索,Hammerand在某个美国小镇中央的蜂窝基站顶端发现了这部摄像头。利用其旋转与变焦控制功能,Hammerand花了整整一年时间拍摄这个整洁的郊区小镇以及居民们的日常生活。

低下的分辨率令图像显得有些奇怪。当然,这是Hammerand为了保护人们的身份与隐私而有意为之。事实上,他的此番行为是为了唤起整个社会对于监控状况的关注。这些照片真的很吸引人,大家现在仍然可以在开放社区基金会的纪录片摄影项目中进行查看。

本文由安全内参翻译自NetworkWorld

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。