10月發生了大事。物聯網設備被網絡罪犯利用并成為了一支兇猛惡毒的攻擊大軍。在一系列的分布式拒絕服務(DDoS)攻擊下,和基于云服務的互聯網績效管理公司DYN相連接的網站都受到了影響,比如亞馬遜、推特、Reddit、Spotify和貝寶。這一事件很可能是個轉折點。
“我們都見識了互聯網的價值,現在互聯網已經成了美國和其他許多國家關鍵基礎設施中不可或缺的部分。網絡攻擊可以造成的大規模的破壞性影響,而實施攻擊的人卻無法立刻查明。”來自咨詢安全公司ESET的斯蒂芬·科布在分析這一事件時總結說。
現在,變化不斷的世界市場前所未有的依賴在線交易,所有的人都極力地想阻止重復攻擊。
1.什么是物聯網?
定義各不相同,但是物聯網指的是智能設備,比如能提醒我買牛奶的冰箱。但是,許多小型的,不那么奇怪的智能物件被安裝在設備上,比如恒溫控制器,咖啡機和汽車。這些物件與電子設備、軟件、傳感器以及網絡連通性相結合,并由此與互聯網連接。
2.問題出在哪兒?
任何和互聯網連接的東西,就算不包含你的醫療記錄,也同樣是危險的。10月21日的攻擊就是由于大量無擔保的數字設備與互聯網連接,比如家用路由器和監控攝像頭。
攻擊者用惡意代碼感染了數以千計的此類設備,形成了一個僵尸網絡。現在,這已經不是什么高深的攻擊手段,但是數量多力量大。它們可以擊潰目標服務器,尤其是當如此多的設備同時進攻的時候。
3.攻擊是怎么發生的?
請記住遵守安裝手冊,按照要求修改默認密碼。如果你不這么做,你的物聯網設備就很可能變成網絡僵尸。DDoS攻擊者知道許多物聯網設備的默認密碼,并利用這些密碼浸入設備。這就好比把你家的鑰匙放在花盆下面,任人自取。
不論誰把物聯網路由器、攝像頭、電視或冰箱連入網絡而不改變初始密碼,都是在助長此類攻擊的發生。最近ESET公司的研究表明,至少有15%的家庭路由器是不安全的,也就是大約1.05億個路由器有可能失控。
4.我需要物聯網設備嗎?
有人說物聯網不過就是玩弄概念,其他人相信再過些年我們就可以擁有智能櫥柜,可以告我我們晚飯能吃些什么。但是物聯網還有許多不易察覺的好處,比如在智能手機和智能手表中的傳感器,可以提供真實的個人健康信息。或者是汽車中的“黑箱”遠程信息處理,可以檢驗我們的駕駛行為是否安全并幫助處理保險索賠。
5.這是一個新問題么?
不。此類攻擊的可能性,從物聯網的孕育時期,就已經很清楚了。但是,我們沒有意識到自身的脆弱性直到發生了10月的事件。如ESET公司的研究所示,用惡意代碼感染路由器不是新鮮事。
修改這類設備默認密碼的建議早已有之且被重復強調了多次。你可以把馬牽到河邊,但是你沒法強迫它喝水。兩年前,WeLiveSecurity公司報告說,7.3萬監控攝像頭仍然使用默認密碼。
6.物聯網的歷史有多長?
物聯網的歷史可以追溯到20世紀80年代。但是這個說法有點《回到未來》的味道。1982年,卡耐基梅隆大學的研究人員首先提出了將可樂販賣機和互聯網相連接的想法。
7.網絡巨頭有能力阻止攻擊么?
當然,他們有這個能力。但是這不意味著他們沒有空子可鉆。去年的黑帽安全大會上,中佛羅里達大學做安全研究的學生演示了在15秒內侵入谷歌恒溫器。
丹尼爾·布恩特洛,研究團隊的一員,引用了2014年的一段話:“這個電腦無法安裝反病毒程序。更糟糕的是,還有一個秘密后門,壞人可以利用并長期霸占,長期窺視。”
8.我個人能做什么來阻止攻擊?
把物聯網設備當成任何其他的電腦。立刻更改默認密碼并定期檢查安全補丁,并堅持使用HTTPS界面。當你不用這個設備時要關機。如果這個設備還有其他不使用的連接協議,立刻禁用。
這些事情說來簡單,但是在簡便和正確判斷之間,你會驚訝的發現人們往往選擇了簡便。根據ESET公司的調查,只有大約一般的受訪者更改了路由器的初始密碼。
9.公司可以做什么來阻止攻擊?
你可能會想:“什么意思?如果一個攻擊者攻破了亞馬遜網站,那我的公司還有什么指望?”先別失去希望。各機構可以通過許多方法來防御DDoS攻擊,包括啟動網絡基礎設施,確保進出網絡的數據都完全可視。這可以幫助檢測DDoS攻擊,并確保他們有足夠的DDoS止損容量和能力。最后,預備一個DDoS防御計劃,保持更新并定期演練。
把這想像成你的網絡要進行防火演習。同時,留心那些遠程登陸服務器,由于太容易被利用,在數字宇宙中,它們就像是恐龍一樣,應該滅絕。千萬不要把遠程登陸服務器和面向公眾的設備連接。
10.但是……這很難,不過……
技術已經存在很久了,但是此類的攻擊卻是新出現的。并沒有被廣泛認可的保護措施最佳實踐可以阻止物聯網的背叛。
至少,專家們在這方面還沒有形成一致意見。有些人認為你應該在家里或辦公室安裝防火墻,監管授權用戶對物聯網設備的控制。但是,另一個方法是進行認證,即僅允許擁有正確安全證書的用戶控制設備,并自動的屏蔽未得到授權的配置文件。如果還不放心,拔插頭吧。