《紐約時報》撰文稱,物聯網的支持者認為它有很多好處,比如節能、用高科技來預期你的想法,甚至還能減少道路擁堵,但它卻有一些不可不防的風險,很多人目前還沒有意識到這些風險的存在。以下為原文內容:
物聯網的風險在於:一些無線連線的裝置位於同一個地方,這對駭客具有不可抗拒的吸引力。駭客可以在空中傳播惡意程式碼,就像飛機上的流感病毒一樣。
在本週四發表的一份報告中,研究人員稱他們發現了一種無線技術的缺陷,這種技術常常用於智慧家居裝置,比如燈、開關、鎖、恆溫器等等。
特拉維夫附近的魏茨曼科學院(Weizmann Institute of Science)和加拿大達爾豪斯大學(Dalhousie University)研究人員用飛利浦的Hue智慧燈泡進行了實驗,發現這個無線缺陷可以被駭客用來控制燈泡。
這聽起來好像是個小問題。但你不妨想象一下,如果有成千上萬個聯網的裝置靠得比較近,那會是什麼情況——駭客建立的惡意軟體只要感染了其中一個裝置,就可能會像瘟疫一樣傳播開來。
難以抵禦的攻擊
駭客不必直接訪問這些裝置就可以感染它們:研究人員在距離一棟建築物229英尺(約70米)的地方駕車駛過,就足以讓這棟建築物內的網路感染上了惡意軟體。
就在兩週之前,駭客發起了拒絕訪問攻擊,衝擊了新罕布什爾公司Dyn的伺服器,中斷了它們提供的DNS服務。
安全專家說,他們認為駭客透過控制一系列聯網裝置,製造了一個殭屍網路,然後利用它發起了這次攻擊。不過這些駭客並沒有使用週四這份報告中提及的方法。中國一家無線攝像頭製造商表示,其部分產品的密碼太弱是駭客本次攻擊成功的原因之一。
這已經不是駭客第一次利用物聯網來開展攻擊了,但本次攻擊的規模之大,對那些沒有意識到日常聯網裝置風險的人來說,也是一個警示。
“即使是最好的網際網路防禦技術也無法阻止這樣的攻擊,”德高望重的密碼學家Adi Shamir說。他是這份報告的作者之一。
蠕蟲感染的風險
這種新的風險和無線電協議ZigBee有關。ZigBee誕生於20世紀90年代,是一種廣泛應用於家庭消費裝置的無線標準。雖然按道理講它應該是安全的,但其實不是。
研究人員發現,ZigBee可以用來建立計算機蠕蟲,在聯網裝置之間傳播惡意軟體。
計算機蠕蟲可以不斷地從一個裝置複製到另一個裝置,近年來人們對它的關注有所減少,但是在商用網際網路起步的早期,它就已經是一個威脅。在1988年,一個蠕蟲估計感染了全部聯網計算機的十分之一。
現在,聯網裝置的數量已經增加到了數以10億計的級別,蠕蟲感染風險也大大增加。
那麼駭客可以利用這些被感染的裝置來做些什麼呢?可以用這些裝置組成殭屍網路,來發動類似於針對Dyn公司的攻擊。也可以把它們當作跳板來竊取資訊,或者僅僅是用來發垃圾郵件。
他們還可以將LED燈設定為頻閃模式,用來觸發癲癇症的發作,或者純粹就是讓人感覺不舒服。這聽起來好像有點牽強,但研究人員已經證實了這種可能性。
開展模擬攻擊
飛利浦Hue智慧燈泡的顏色和亮度可以透過計算機或智慧手機進行調整。研究人員表示,你只要感染一個燈泡,就可以在幾分鐘內感染附近的大量燈泡。蠕蟲可以把惡意軟體傳播到每個燈泡——即使這些燈泡不在同一個專用網路中。
在建立感染模型時,他們模擬了巴黎大約40平方英里區域內的燈光分佈狀況,發現那裡只需要分佈著1.5萬個聯網裝置,惡意軟體就可以感染整個地區。
研究人員說,他們已經把這件事通知了飛利浦。該公司要求研究人員在他們修復這個漏洞之後再公開論文。飛利浦在上個月釋出的補丁中修復了這個漏洞,建議客戶透過智慧手機應用安裝補丁。但是,這個問題的意義依然很重大。
“根絕我們的評估,這個問題對安全的影響比較小,因為這是一種專門硬體,軟體也沒有公開,而且理論上要開展這種攻擊,需要這些飛利浦燈泡之間的距離非常近。”飛利浦發言人貝思·布倫納(Beth Brenner)在一封電郵宣告中說。
研究人員說,為了開展模擬攻擊,他們需要克服兩個獨立的技術挑戰。首先是發現了無線通訊系統中的一個“重大錯誤”,可以把已經安裝好的燈從現有網路中“拽出來”。
然後研究人員利用“側通道”(side channel)攻擊方式,盜竊了飛利浦用來驗證新軟體的金鑰。
研究人員寫道:“我們使用的都是很容易弄到的裝置,花費了僅僅幾百美元,就找到了這個金鑰。這再次表明,即使一些大公司使用了標準的加密技術來保護拳頭產品,它們要保障安全也非常不容易。”