据国外媒体报道,最近,借助相机、视频录像机、打印机、无线路由器和扬声器等日常设备发动的网络攻击,对物联网潜在的风险敲响了警钟。
设备厂商存在的问题是,它们还没有做好挫败黑客的准备。
中国台北地区视频设备厂商AV Tech的处境,揭示了10年前硬件工厂和目前的差距。来自中国大陆地区的市场竞争,使得AV Tech利润被压缩至当初的约十分之一。与同行一样,AV Tech产品也开始“触网”,使其摄像头、视频录像机连上互联网,方便用户远程访问它们。
但是,它们并不擅长网络安全,使得其产品对黑客“不设防”。互联网安全厂商Covata首席执行官特伦特·泰尔福特(Trent Telford)说,“残酷的现实是,网络安全甚至不在许多厂商的考虑中,安全最终将受到更多重视,但对于这一代物联网用户来说可能太迟了。”
到2020年,预计至多300亿台设备将会触网——它们都可能存在受到攻击的风险。当数以十万计消费设备受到控制,组成所谓的僵尸网络,对PayPal、Spotify和Twitter等目标网站发动攻击,这一危险就突显出来了。
网络安全专家称,这只是个开始。他们已经发现旨在寻找和感染不安全设备的新版恶意件。据互联网安全咨询公司IOActive高管丹尼尔·米斯勒(Daniel Miessler)称,僵尸网络可以用在广告欺诈和电子邮件勒索等恶意活动中。
网络安全咨询公司Flashpoint表示,发动上个月大规模网络攻击的僵尸网络的一部分,本周被用来对美国两党总统候选人网站发动拒绝服务攻击。不过,两名候选人网站均没有因此而宕机。
虽然研究人员在僵尸网络中没有发现AV Tech设备的踪影,他们发现了造成这些设备容易受到攻击的问题。
匈牙利安全公司Search-Lab高管杰尔杰伊·埃伯哈特(Gergely Eberhardt)发表博文称,他用一年时间向AV Tech通报其产品中的14个安全漏洞,但没有得到任何回应。上个月,埃伯哈特披露了这些缺陷。
这和其他分布式拒绝服务攻击的消息,给AV Tech敲响了警钟。AV Tech总裁办公室特别助理迪克·李(Dick Lee)说,“说实话,过去,AV Tech就没有在意过攻击和发现这类缺陷。这次经历极大提升了我们内部的警惕水平,这是监控设备厂商必须认真面对的问题。”
在被安全专家点名后,中国监控摄像头厂商雄迈召回了数千台设备,不过它也威胁将对诽谤该公司的人或公司采取法律措施。
高通表示,它在考虑采用包括机器学习在内的新技术提高物联网设备安全性。高通执行董事长保罗·雅各布(Paul Jacobs)当地时间周一向路透社表示,“我们将在硬件中植入一些基本技术,监视设备是否在执行非计划任务?访问内存是否异常?使用户能保证安全和对设备进行更新,对物联网是非常重要的。”
位于英国的物联网安全基金会成员包括ARM、华为和飞利浦。物联网安全基金会创始人约翰·摩尔(John Moor)表示,其主要目标是简化相关文档,使工程师会真正阅读这些文档。它发布了首版文档,将原来300-400页的内容简化为30页。
对于AV Tech来说,更高的安全性可能是实现与大陆地区对手差异化竞争的一个途径。迪克·李说,“这是一个好机会。对于这些监控产品来说,对安全的要求是最重要的”,由此带来的成本“也不会太高”。
本文转自d1net(转载)