上周各大網站紛紛因黑客攻擊,而服務中斷。最特別的地方是攻擊方竟然用物聯網設備發動 DDoS 攻擊,阻斷 Dyn 的服務,意味連上網絡的網絡攝影機、智能電視、智能冰箱甚至烤箱,都成為發動攻擊的來源,背后追根就底是廠商沒有注重信息安全。
Business Insider 訪問多位業界的信息安全專家,談談物聯網設備的安全性問題。盡管是在 Dyn 攻擊事件之前的事情,但得到的答案相當恐怖,簡單的答案是:物聯網目前相當不安全。
F-Security 的首席研究長 Mikko Hypponen 說:“不要期待消費者或是沒有信息安全概念的廠商,因為這次黑客攻擊而改變他們的行為。”
▲ F-Security 首席研究長 Mikko Hypponen
“許多人說這次事件是物聯網信息安全的醒鐘,但這并不是,這不會改變任何事情。為什么呢?因為人們并不關心他們的電視發動 DDoS 攻擊。”
“他們并不在乎,即使你跟他們說:‘嗨,你的電視讓地球另一端的網站掛掉了。’他們說:‘耶 OK,好酷,我并不在乎,我仍然可以看電視,電視仍正常運作。’”
Hypponen 表示人們買家用電器,資訊安全并不是首要考量因素,你要買烤面包機還是洗衣機,一定是先考量價錢,再來是外型。廠商會花很少的資源在信息安全上,而隨著市面上物聯網產品越來越多,信息安全的隱憂也越來越大。
但 Hypponen 對政府管制的態度很兩難。如果政府真要祭出管制措施,可能是要求廠商提高信息安全水準,具體的管制措施大概是不要漏電、不要容易著火,不能輕易泄漏 WiFi 密碼這類事情。
不過黑客和信息安全研究者 Rob Graham 與 Hypponen 意見就不同了,盡管美國可以規畫物聯網設備的信息安全標準,不讓不安全的物聯網設備在市面銷售,只要其他國家沒規范,那還是會造成問題。
Graham 在 Twitter 上寫到:“白癡都會想到美國應該頒布軟件可靠性的法令,能夠規范中國制造賣到烏克蘭的設備。”
“但是這么做會讓想用 Kickstarter 提物聯網項目的人無法變有錢,并不能阻止(漏洞)。適當的回應作法應該是 NSA 修補所有發瘋的設備。我的辦法能解答問題?當然呢!你的辦法呢?那可行不通。”
不過 Graham 在其他方面是同意 Hypponen 意見。
Hypponen 在推特說:“物聯網是明顯而且存在眼前的危機。”
目前美國國土安全部要插手制訂戰略原則,確保物聯網的安全,但仍在擬定的狀況。
這次 Dyn 事件因為是第一起廣為人知用物聯網設備發動攻擊的事件,但如果再不好好嚴加看管物聯網的信息安全標準,那就不會是最后一起,以后仍不時會在新聞版面上看到相關的消息,物聯網的發展埋下陰影。甚至 NSA 情報部門會拿物聯網的弱點收集情報也說不定。
京公網安備 11010502049343號