我们正被数十亿的物联网设备包围着。我们能相信他们吗?
3762字
2019-10-28 17:21
72阅读
火星译客

2009年,就在消费者开始购买可无线上网的恒温器、前门摄像头和其他如今构成“物联网”的早期设备时,计算机科学家崔昂(Ang Cui,音译)产生了一个想法,即扫描网络,以构建“极其脆弱的”嵌入式设备。

他之所以称其琐碎是指那些设备仍带有用户名和密码,这些用户名和密码是在工厂里编好的,比如“name”和“1234”。这些代码中有许多都可以在那些免费适用的互联网手册中看到,并且很容易通过计算机程序自动扫描出来,所以甚至不需要猜测。

当他进行扫描时,崔发现在144个国家有超过100万台易受攻击的公共设备。从这个样本中,他估计所有连接到互联网的设备中大约有13%基本上没有设置登入密码,就等待着黑客“破门而入”。更令人担忧的是,四个月后,96%的设备出现了同样的安全漏洞。

崔的警告同样令人恐惧:“广泛部署的嵌入式网络设备,时常出现配置错误,已经成为黑客眼中极具吸引力的攻击目标。

从那以后的十年间,易受攻击的联网设备的数量增加了七倍。这一爆炸式增长来自对智能设备日益增长的需求,而这种需求是由炒作推动的。现在,制造商们似乎正努力将每一个普通的物体嵌入到微型计算机中,这些微型计算机可以愉快地与周围的世界进行无线通信。在这场“智能”革命中,几乎任何带有开关或上/下按钮的设备都可以通过手机或语音传感器进行远程控制。你是否想要在不离开沙发的情况下,只要对着亚马逊的回声系统说出你的愿望,就可以把暖气调大,把灯调暗,自动打开烘干机?你想让你的烤面包机在百吉饼爆掉的时候将信息传输到电视端吗?你想让你的烤箱告诉你,厨房里的砂锅已经在350度的温度下煮了20分钟,现在已经冷却到200度的吗?所有这些事情物联网都可以一手完成。

november-01-2019-cover.jpg?w=480&f=aae1fe02ea90dbe04041727c60811b63

body>你能相信你的烤面包机吗?布里特·斯宾在《新闻周刊》里所配的插图;Toaster by ballyscanlon/Getty; Toast by Jeffrey Coolidge/Getty

在享受这场以无线为驱动的革命带来便利的同时,我们同样感受到了它们带来的危害,这已经不能简单地定义为黑客破坏行为。传统的“计算机互联网”被封闭在有限的数字“虚拟”世界中,而物联网则与真实世界有直接的联系。这引发了一系列令人不安的问题:如果我们新发明的烤面包机、安全摄像头或智能城市里的电脑和我们处于敌对关系时,会发生什么?我们真的能相信物联网吗?对于最后一个问题,大多数网络安全专家的回答都很明确。Rambus公司负责产品管理和密码学的高级总监本•莱文(Ben Levine)表示当然不能。Rambus任职于一家桑尼维尔(sunnyvale)的技术公司,专门从事数据的性能和保护,他说,“对于这个问题,我现在言简意赅的回答你,'不能’。”

“计算机互联网”是由具备信息技术或计算机科学背景的技术人员创建的,与其相反的是,目前许多设备制造商都缺乏构建密封系统所需的专业知识。而有些人并没有意识到这件事情的严重性。因此,网络世界充满了无限的恶搞行为——崔和其他网络安全专家已经在多个场合证明了这一点。

你的振动器在欺骗你吗?

近几个月来,阿尔瓦罗•卡德纳斯(Alvaro Cardenas)的实验室进行了一些更有创意的尝试。去年,卡德纳斯要求达拉斯的得克萨斯大学(University of Texas)的学生们破解一系列物联网设备。除此之外,他们还设法打开并劫持了一架无人机,实验证明他们可以像神风敢死队那样利用这架无人机来袭击无辜的受害者,或者播放邻居的视频和音频。他们还侵入了一个会说话的热门恐龙玩具,通过网络将小恐龙连接到互联网,就可以接收或更新信息。然后,他们展示了如何控制玩具,让它对孩子实施侮辱性的行为或言语,挑起不合时宜的对话(通过让玩具发出具有信服力的声音)或告诉孩子该做什么。他们表示,他们可以控制联网摄像头监视住户。他们甚至发现了振动器这类“敏感器件”的存在,海外军事人员有时会用它与其伙伴们建立远程虚拟联系。他们能够依靠振动器获取私人可读的信息,但同时也警告人们与其连通的“可信任的伙伴”可能会利用假身份“实施远程性侵犯”。

卡德纳斯向设备制造商和CERT协调中心报告了其研究结果。CERT协调中心是一个由联邦政府资助的非营利性研发组织,旨在与企业和政府进行合作提高互联网的安全性。然后他向IEEE(电子工程和电气工程专业协会)提交了一篇论文,并在今年秋天的一期特刊上发表了他们的发现。

文中写到:“这些“攻击”表明,物联网技术正试图推翻我们对网络安全和个人隐私的文化假设,并有望促使物联网开发者和设计师对安全和隐私实践有足够的重视。”(论文发表后,除了无人机公司外,所有的制造商都做出了回应,并试图修复漏洞)。

力量的扩展器

fe-toaster-05-1128700145.jpg?w=480&f=14d953f5401757b63d59125c14d0efa5

2016年的Mirai僵尸攻击事件(Mirai利用类似蠕虫的方式感染(与传统蠕虫感染方式不同),但实际上是一款僵尸程序。)表明,物联网在黑客攻击面前是多么脆弱。这类Mirai僵尸最初是针对用于玩电子游戏《我的世界》(Minecraft)的小型服务器的分布式拒绝服务攻击。(DDoS,Distributed Denial of Service attack,是一种通过使目标电脑的网络或系统资源耗尽,从而导致其服务暂时中断或停止无法继续对目标客户正常提供服务的攻击方式。)Georg Wendt/picture alliance/Getty

截至2018年底,全球共安装物联网设备230多亿台。许多购买这些智能设备的消费者目前都懒得把它们连上WiFi,这意味着它们基本上处于离线状态,黑客无法触及。但随着制造商们继续兜售网络连接的好处,这种情况可能会有所改变。到2025年,全球智能手机的数量预计将增加两倍多,达到750亿部。

易受攻击设备的绝对数量给了黑客强大的影响力。2016年的Mirai僵尸攻击事件,可能是受到崔的论文原稿的启发,这也说明此类网络侵袭对我们构成了更危险的威胁。帕拉斯·杰哈(Paras Jha)是新泽西州一名文静、不善社交的大学辍学生,他靠着把私人电脑服务器租给别人使用,赚取了不少的租金。这听起来很棒,但其实竞争很残酷。杰哈和他的竞争对手惯用的伎俩之一就是侵入那些毫无戒心的人的家用电脑,利用恶意软件他们的系统,并指导他们发送大量垃圾信息和数据到其竞争对手的设备端,耗尽他们的资源从而导致其服务停止,这一过程就是所谓的分布式拒绝服务攻击(DDoS)。戒备心较弱的用户会对这种“不可靠”的服务感到失望,因此很容易成为黑客们偷猎的目标。

2016年,杰哈和他在网上结识的《我的世界》的两名玩家决定联合起来使其对手遭受更猛烈的攻击。他们不仅入侵了台式电脑,还入侵了无数的安全摄像头、无线路由器、数字录像机、家用电器和其他物联网设备。像之前的崔一样,杰哈和他的朋友们编写了一个程序,可以通过扫描互联网来定位易受攻击的设备。但与崔不同的是,他们实际上在机器上植入了恶意软件并控制了它们。借助智能设备的普及,杰哈的僵尸机器人大军的增长速度超出了他的想象——到第一天结束时,他已经攻占了65,000台设备;据估计,他的僵尸大军达到了60万人。

这次攻击以日本电视剧《我的世界》(Minecraft)命名,代号为“未来”(Mirai),其威力如此强大,以致于杰哈不满足于干掉《我的世界》里的小对手。他还把这种新武器对准了法国电信巨头OVH。OVH访问了一种大众化的工具,他的竞争对手就依靠这个工具来抵御他的攻击。最后,警察经过审查发现了蹊跷。联邦调查局对其处以860万美元的罚款并且完成2500小时的社区服务。

现年36岁的崔是Red Balloon Security公司的创始人兼首席执行官,他经常穿着t恤、戴着珠子项链、戴着男士发髻在黑客大会上演讲,并通过为公司提供如何在充满敌意的网络世界中保护自己的建议而过着不错的生活。他仍然感到惊讶的是,除了他的论文所指出的漏洞,还有许多他认为可能会造成更大损害的漏洞,而政府在修补这些漏洞方面所做的工作微乎甚微。虽然服务于资金雄厚的大型企业(如那些Mirai僵尸所侵入的目标公司)的安全公司提出了新的方法来保护客户服务器免受DDoS攻击,许多物联网设备制造商几乎没有采取任何措施来保护我们其他人免受网络骚扰,这种恶搞行为不仅包括电脑设备中的僵尸大军,还有间谍软件、系统破坏和漏洞入侵,安全专家认为这些都会引发人们对隐私和安全的深刻担忧。

崔认为,造成忽视的原因在于,人们抱着淘金热的心态,希望在蓬勃发展的物联网设备业务中抢占市场份额。在过去的五年里,物联网的炒作变得如此火热,以至于许多由风投资助的经营个人设备的初创公司,甚至一些主要的制造商,都在通过增加互联网连接将他们的产品推向市场,但在现阶段不作修复安全缺陷的打算。有些人甚至根本没有考虑过安全问题。“你必须投入时间和资源来关注网络安全,”崔说。“但对于资金充足的风投/公司来说,他们只希望很快推出一款他们认为可能受到市场欢迎的物联网产品。”

这笔钱主要用于开发新设备。卡德纳斯对《新闻周刊》说:“目前的问题是,确实没有资金激励来考虑安全问题。”“安全通常是这些产品的次要问题。”大多数消费者没有意识到这些危险,也没有要求保护。设备制造商也没有义务提供。

在乔治亚理工学院(Georgia Institute of Technology)的一个实验室里,电气与计算机工程学院(school of electrical and computer engineering)副教授马诺斯·安托纳卡基斯(Manos Antonakakis)和研究科学家奥马尔·阿拉维(Omar Alrawi)也一直在探索这一新兴物联网的安全漏洞。安托纳卡基斯指出,虽然有一类著名的供应商“至少在某些情况下会设法确保产品的安全性”,但即使是大型制造商也面临着将新的物联网产品推向当前市场的压力。他说:“这需要大量的质量保证和测试,渗透分析和漏洞分析,才能得到正确的结果。”但是,匆忙进入市场“与经过验证的安全措施产生了激烈的分歧”。

许多大型科技公司都在“智能家居”设备市场投入巨资,这是物联网设备增长最快的领域之一。亚马逊和谷歌是智能集线器市场的霸主之一。谷歌在2014年以32亿美元收购了数字恒温器制造商Nest。谷歌后来将其扩展为一个数字中心,还包括烟雾探测器和智能门铃和门锁等安全系统。三星在2014年以2亿美元的价格收购了SmartThings hub,现在它可以连接空调、洗衣机和电视。苹果有一个家庭工具包,可以通过在HomePod范围内发送语音命令来控制任意数量的设备。

fe-toaster-12-1036677292.jpg?w=480&f=5df1fe69572796509432e6ba659357f0

亚马逊设备与服务高级副主席戴夫·林普(Dave Limp)在2018年推出了Echo Dot。Grant Hindsley/AFP/Getty

巨大的漏洞

一旦安装了这些系统,来自越来越多公司的设备就可以被添加到家庭网络中,包括那些由著名家电制造商如通用电气、博世和霍尼韦尔制造的设备。贝尔金公司生产了一系列联网电器,其中包括一个Crock-Pot WeMo智能慢炖锅、一个Smart Mr.咖啡机和一个智能家用加湿器。这一行业可以大笔大笔地赚钱。物业管理咨询公司iProperty management的数据显示,到2019年底,过去12个月里售出的近20亿台消费电子设备总共将创收4900多亿美元的利润。

为了试图让人们意识到物联网的危险性以及了解在购买新的物联网产品时应该询问的问题,Antonakakis和Alrawi与教堂山北卡罗莱纳大学的研究人员合作开发了一个评级系统,并开始评估一系列物联网设备的安全性。令人惊讶的是,他们发现即使是一些技术在行的公司生产的设备和系统也存在漏洞。

他们认为,物联网设备的脆弱性远远超过密码保护上的漏洞,即被Mirai僵尸所攻击的暴露的漏洞。物联网设备也可以通过它们所连接的家庭网络实现直接接入和控制,而家庭网络的强度取决于它最薄弱的一环。这意味着即使每个设备都有唯一的密码和用户名,它也不一定是安全的。一旦黑客通过一个易受攻击的设备找到进入家庭网络的途径,那么这个途径通常对该网络的其余部分是完全开放的。

他们认为,为了保护物联网设备,制造商需要修补四个不同领域的漏洞:直接访问设备本身,常用的手机应用程序,它与家庭网络通信的方式,以及在许多情况下,制造商用来发布更新、收集用户数据或提供新服务的云端服务器。

做好这一切并不容易。Alrawi指出,一个厂商要想确保这四个部分的安全,就需要一个“懂得安全开发”的优秀移动应用开发团队、一个“了解嵌入式系统开发和安全开发的系统团队”和懂得设计安全云“后端”的云计算专家,以便允许设备在不暴露于额外风险的情况下进行管理。。最后,设备制造商需要有网络知识的人,知道如何建立有效和安全的互联网协议,以及避免什么协议。

“他们必须在所有这些安全要求和可用性之间取得平衡,”他说。当一个有好点子的创业团队想要把产品推向市场时,他们通常是一个不具备所有这些专业知识的小团队。但即便是与大型供应商合作,其中一些问题也确实很难确定和管理。”

实际上,尽管Antonakakis、Alrawi和他们的团队对像亚马逊Echo和贝尔金Netcam这些主流产品的设备安全性给出了相对较高的评价,他们为这些设备提供了Cs、Ds和Fs来保证网络安全---这是一种保护这些设备不受设法通过其他易受攻击的设备来访问家庭无线网络的入侵者入侵的措施。虽然许多与谷歌的Nest智能家居产品相关的设备(如恒温器、烟雾探测器、智能锁和门铃)接收As和Bs作为设备和网络安全,他们同时也获得了移动和云保护的Cs和Ds,这意味着一个足智多谋的黑客只要打开前门,仍然可以进入一个家庭。

云计算的类别是最令人担忧的。因为很多这些云服务是是与公司的中央服务器相连的,如果一个有决心、资金充足的黑客——比如中国、朝鲜或俄罗斯——采取他们曾经用来绕过传统电脑的互联网防火墙的那种漏洞利用手段,谁也不知道他们会做什么。

崔说:“你说的是可能进入数百万人的家庭,当这种情况发生时,想想你家里所有的麦克风、摄像头和驱动器,再乘以所有使用这些东西的人。”

“许多消费者并不完全了解在家中安装这些设备会带来的风险,”Alrawi补充道。

在他们意识到这种风险之前,情况不太可能改变。许多专家想知道,在这种情况发生之前,我们要付出多大的代价。为众多制造商设计安全系统的网络安全专家戴维•肯尼迪(David Kennedy)在国会就物联网问题作证,他表示:“情况很糟糕。””这绝对是个烂摊子,因为我们并未就安全问题将对我们的生活和安全造成怎样的影响展开过充分的讨论,所以对于如何解决这一问题其实我们无从下手。”

为了表明自己的立场,现任TrustedSec公司首席执行官的肯尼迪多年来一直在尝试入侵包括智能电视、恒温器、智能冰箱、机器人清洁工和连接能源网络的控制器等在内的一系列共享设备。但肯尼迪目前最关心的是汽车领域的安全。

已经发生过一些警示性的故事。2015年,两名安全研究人员侵入了一辆载有一名杂志记者的切诺基吉普(Jeep Cherokee)的联网娱乐系统,控制了这辆车,并对收音机和空调进行了全面侵袭,之后一条高速公路的中央地带陷入交通瘫痪。此后,菲亚特克莱斯勒(Fiat Chrysler)公司不得不发布安全召回令,召回其美国分部受影响的140万辆汽车,以便修补软件漏洞。

肯尼迪说,问题在于,大多数汽车都有几十种不同的技术,其中许多都直接连接到互联网上,以便传输预防性维护所需的数据。但是,这些不同的物联网设备的制造往往被分包给数十家不同的承包商,这使得在发现新的安全漏洞时,提供安全更新和实现漏洞修复从逻辑上来说难度大大增加了。(他指出,特斯拉是一个显著的例外,因为他认为,它“首先是一家软件制造商,其次才是汽车制造商”,因此知道如何构建安全的系统。)

定期推出预防性安全更新来修补新发现的iot联网汽车上的漏洞——这是微软windows和苹果iphone等产品采取的标准做法。但这仍然是一个新想法,还没有被纳入汽车行业。他说:“我不能告诉你我为哪家汽车制造商做过评估,但我可以告诉你,我为好几家这样的公司工作过,安全措施的工程量是很大的。”“他们没有给汽车进行漏洞修补工作,这使得它们极易受到特定攻击——从窃听你的车到把它们开离道路。”

fe-toaster-08-1080530618.jpg?w=480&f=28d6814893c71ac05aaf55c4f0c26f32

黑客入侵网络一般先入侵汽车或家里的一个设备,然后从那里进入整个网络。现在许多玩具都可以联网。Robyn Beck/AFP/Getty

噩梦般的场景是一名危险分子入侵了世界各地不同的汽车,整个车队都被远程控制,从而造成了大规模的混乱。肯尼迪说:“毫无疑问,现在有了这些互联汽车,这是完全可能实现的。”“有些人会因此失去生命,最终他们会下意识地去拯救整个行业。我认为这将改变汽车制造商的心态。”

一些司法管辖区的立法者开始着手物联网的监管工作。明年1月,加州将成为第一个实施物联网安全法律的州。该法案于2018年通过,截止日期为2020年1月。法案将要求制造联网设备的公司为其配备“合理的安全功能”,明确要求各个设备都必须有单独的密码或在使用前需要用户设置自己的密码,目的是修补那些被Mirai僵尸成功利用的漏洞和随之而来抄袭形式的攻击行为。除此之外,该法律似乎是故意写得含糊不清,为将来进一步的国家指导留有余地。

网络安全专家呼吁美国联邦政府介入监管该行业。美国众议院在去年3月连续第三次会议提出一项议案,要求美国商务部国家标准与技术研究所(NIST)为物联网设备制定推荐标准,并将指派管理和预算办公室(OMB)向符合NIST要求的机构提出指导意见。该法案还要求NIST就漏洞披露和物联网网络安全威胁报告提供指导。

两年半前,国家标准与技术研究所(NIST)启动了一个项目来研究这个问题,并在过去的这个夏天征求了公众对一套自愿设定的最低“基线”安全功能的意见。该研究所负责物联网网络安全的项目经理Katerina“Kat”Megas 说,“无论它是为消费者、企业还是联邦机构设计的,这一最低安全保证是任何具备互联网功能的设备都应该提供的。”

其中,每一个设备都必须对应唯一的号码或标识符,这个号码或标识符会显示在网络上,这样就可以很容易地快速定位并解决任何出现的问题——这是许多物联网设备目前没有的功能。其他功能则包括通过安全的用户身份验证方法管理对每个设备的访问;对数据进行加密保护;并提供安全更新和记录网络事件,以便调查人员能够跟踪问题的发展。

专家基本都认为依靠这些措施就能很快解决问题的想法是不切实际的。安全标准应该是自愿执行的。而且,即使国会颁布了强制执行的安全标准,一个极大的安全漏洞仍然存在:用户本身。

“不管你的系统有多强大,它的强大程度都只取决于你最薄弱的环节——而最薄弱的环节永远是人,”网络安全领先公司Casaba Security的联合创始人杰森•格拉斯伯格说。“最大的入侵,最大的攻击在很大程度上不是因为一些超常的技术性攻击。因为有人被骗了,放弃了他们的认证信息。他们被骗点击了一个安装了恶意软件的链接,或者要求他们提供密码。在物联网的世界里,这是永远不会改变的定论。

点击阅读更多:保护你的家免受黑客攻击的8种方法

我们被数十亿的联网设备包围着。我们能相信他们吗?

0 条评论
评论不能为空