國外媒體今天撰文指出,,上周,易于劫持的“智能”設(shè)備讓世界上多家最大的在線平臺陷入癱瘓,,此事引發(fā)了外界普遍關(guān)注。安全專家認(rèn)為,,這起網(wǎng)絡(luò)攻擊也給整個科技行業(yè)敲響了警鐘,,促使他們盡快采取措施,改善電子設(shè)備乃至整個互聯(lián)網(wǎng)的安全性,。
以下為文章全文:
物聯(lián)網(wǎng)還能繼續(xù)存在下去嗎,?在上周美國和歐洲互聯(lián)網(wǎng)遭到大規(guī)模攻擊后,許多人不禁提出了這個問題,。此次攻擊可能是由“智能”DVR播放機(jī)和網(wǎng)絡(luò)攝像頭引起的,讓整個科技行業(yè)都感到擔(dān)憂,。專家認(rèn)為,,除非硬件和軟件廠商迅速聯(lián)手改善開放的互聯(lián)網(wǎng)的安全性,否則還將面臨更多攻擊,。
震驚整個科技行業(yè)
黑客上周對互聯(lián)網(wǎng)服務(wù)提供商Dyn的攻擊,,讓包括Netflix、Facebook,、Twitter及《衛(wèi)報》在內(nèi)的眾多網(wǎng)站陷入癱瘓,。網(wǎng)絡(luò)安全公司W(wǎng)hite Ops首席科學(xué)家丹·卡明斯基(Dan Kaminsky)表示,這一事件應(yīng)該會促使科技行業(yè)更為嚴(yán)肅地看待互聯(lián)網(wǎng),。
早在2008年,,卡明斯基就發(fā)現(xiàn)域名系統(tǒng)(DNS)存在一個嚴(yán)重漏洞,而這個漏洞也被命名為“卡明斯基bug”,。自從曝光并幫助修復(fù)這一漏洞以來,,卡明斯基經(jīng)常會談到加強(qiáng)網(wǎng)絡(luò)安全措施的必要性。
這次黑客攻擊令美國和歐洲大陸的大量網(wǎng)站陷入癱瘓,,它是一次“分布式拒絕服務(wù)(DDoS)”攻擊,。互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)重要提供商Dyn被一個遭劫持設(shè)備的網(wǎng)絡(luò)(即無數(shù)臺遭到黑客攻擊的設(shè)備)發(fā)出的數(shù)據(jù)請求所淹沒。面臨海量數(shù)據(jù)請求,,Dyn系統(tǒng)終于不堪重負(fù),,該公司的一些客戶(包括最知名的幾家互聯(lián)網(wǎng)公司)的網(wǎng)站也因此陷入癱瘓。
卡明斯基說:“沒有任何東西能在這種情況下幸存下來,,無論是現(xiàn)有的東西還是理論上的東西,,無論是集中式服務(wù),還是分散式服務(wù),。一切努力都將化為烏有,。這件事的癥結(jié)是如何第一時間避免這種攻擊,以及在出現(xiàn)問題時,,如何改善我們回應(yīng)并進(jìn)行修復(fù)的能力,。”卡明斯基指出,,預(yù)防和補(bǔ)救也是企業(yè)在面臨那種讓Dyn陷入癱瘓的攻擊時的唯一選擇,。
卡明斯基認(rèn)為,上周的“僵尸網(wǎng)絡(luò)攻擊”將起到“叫醒電話”的作用,?!盎ヂ?lián)網(wǎng)的一個重要原則就是可靠性,但現(xiàn)在互聯(lián)網(wǎng)系統(tǒng)卻崩潰了,?!彼f,“這種問題往往會讓眾多服務(wù)商作出改善,?!绻覀儾贿@樣做,壞事就會發(fā)生’,,并不等同于‘如果我們不做這件事,,壞事會再度發(fā)生’?!?/p>
科技含量低但威脅巨大
讓安全研究人員感到沮喪的是,,一些DDoS攻擊就是科技含量最低的“數(shù)字化戰(zhàn)爭”,比如上周五讓服務(wù)器陷入癱瘓的那次攻擊,。這種攻擊并不需要攻破計(jì)算機(jī)網(wǎng)絡(luò),,只要采用很簡單的方法,搜索使用出廠默認(rèn)密碼的開放網(wǎng)絡(luò),,就能劫持大量不安全設(shè)備并展開攻擊,。然后,黑客利用被劫持的設(shè)備人為增加超出網(wǎng)絡(luò)本身所能承受的巨大流量——這種事情就相當(dāng)于計(jì)算機(jī)同時,、持續(xù)地呼叫某棟辦公大樓的每一部手機(jī),。
隨著越來越多的設(shè)備變得“智能化”,,這些攻擊變得更加輕松;突然之間,,購買咖啡機(jī)和冰箱的人給互聯(lián)網(wǎng)增加了許多計(jì)算機(jī),。他們不可能確保這些咖啡機(jī)是否會受到惡意軟件的威脅。將那些設(shè)備強(qiáng)行接入Dyn服務(wù)的惡意軟件的源代碼只存在幾周時間,。原始程序(被稱為“Mirai”)比其他僵尸網(wǎng)絡(luò)更高效,、更復(fù)雜,但門檻卻很低,。
上周的網(wǎng)絡(luò)攻擊可能就是由DVR和網(wǎng)絡(luò)攝像頭遭劫持所引起的,,其中許多設(shè)備包含中國科技公司杭州雄邁生產(chǎn)的電路板和軟件。據(jù)安全公司卡巴斯基實(shí)驗(yàn)室(Kaspersky Lab)介紹,,杭州雄邁已經(jīng)在上周五宣布召回430萬塊攝像頭使用的電路板,。該公司將此歸咎于用戶不對設(shè)備默認(rèn)密碼進(jìn)行修改。
思科安全與信任組織高級主管安東尼·格瑞克(Anthony Grieco)參加了周一早晨在曼哈頓舉行的一個網(wǎng)絡(luò)安全大會,,期間他在接受《衛(wèi)報》記者采訪時表示,,要想確保每一件物聯(lián)網(wǎng)設(shè)備的安全,是一件非常困難的事情,?!氨Wo(hù)所有的來源是一個真正的挑戰(zhàn)?!彼f,,“尋找目標(biāo)需要耗費(fèi)大量精力?!?/p>
政府應(yīng)加強(qiáng)物聯(lián)網(wǎng)監(jiān)管
在被問到思科是否應(yīng)該或是否能夠加強(qiáng)所有路由器產(chǎn)品的安全性,,避免傳輸DDoS流量時,格瑞克表示廠商應(yīng)該確保設(shè)備本身的安全性,。“我認(rèn)為你是在討論形態(tài)和功能,,”他說,,“設(shè)備應(yīng)該做什么,設(shè)備活動是不是有些反常,,以及哪些是在那些設(shè)備上必須執(zhí)行的最佳做法——我認(rèn)為這些都是我們真正需要專注的方面,。”
這就要求科技行業(yè)以外的部門介入:許多人呼吁美國政府對物聯(lián)網(wǎng)安全進(jìn)行監(jiān)管,。游戲安全公司Panopticon Labs聯(lián)合創(chuàng)始人馬修·庫克(Matthew Cook)將當(dāng)前這種情況比作銀行業(yè)對計(jì)算機(jī)欺詐的監(jiān)管,。“銀行多年來曾努力告知消費(fèi)者計(jì)算機(jī)欺詐的危害,,最終FDIC不得不介入進(jìn)行監(jiān)管,,”庫克說,。實(shí)際上,就在上周五的網(wǎng)絡(luò)攻擊進(jìn)行之時,,一些行業(yè)代表參加了由美國全國通信與信息管理局(NTIA)召開的一次會議,。
究竟誰是發(fā)動此次網(wǎng)絡(luò)攻擊的罪魁禍?zhǔn)啄兀肯嚓P(guān)線索目前極少,,但卡明斯基表示,,他希望企業(yè)開始將安全當(dāng)作公共利益的事情,而不是私人偵探的工作,。他說,,“也許我們都很注重公共衛(wèi)生和火災(zāi)預(yù)防。但這并不是他們忽視此類問題的原因——我們?nèi)匀贿€記得‘傷寒瑪麗’,。不過,,這并不是他們的關(guān)注點(diǎn),也不是他們相對成功的根本原因,?!?/p>
“傷寒瑪麗”(Typhoid Mary)原名瑪麗·馬倫,是紐約城著名的傷寒帶菌者,,她經(jīng)常當(dāng)廚師,,從而直接傳播了51例傷寒,造成3例死亡,,間接由她傳播的病例更是難以計(jì)數(shù),。