上周各大网站纷纷因骇客攻击,而服务中断。最特别的地方是攻击方竟然用物联网装置发动 DDoS 攻击,阻断 Dyn 的服务,意味连上网络的网络摄影机、智慧电视、智慧冰箱甚至烤箱,都成为发动攻击的来源,背后追根就底是厂商没有注重资安。
Business Insider 访问多位业界的资安专家,谈谈物联网装置的安全性问题。尽管是在 Dyn 攻击事件之前的事情,但得到的答案相当恐怖,简单的答案是:物联网目前相当不安全。
F-Security 的首席研究长 Mikko Hypponen 说:“不要期待消费者或是没有资安概念的厂商,因为这次骇客攻击而改变他们的行为。”
▲ F-Security 首席研究长 Mikko Hypponen
“许多人说这次事件是物联网资安的醒钟,但这并不是,这不会改变任何事情。为什么呢?因为人们并不关心他们的电视发动 DDoS 攻击。”
“他们并不在乎,即使你跟他们说:‘嗨,你的电视让地球另一端的网站挂掉了。’他们说:‘耶 OK,好酷,我并不在乎,我仍然可以看电视,电视仍正常运作。’”
Hypponen 表示人们买家用电器,资讯安全并不是首要考量因素,你要买烤面包机还是洗衣机,一定是先考量价钱,再来是外型。厂商会花很少的资源在资安上,而随着市面上物联网产品越来越多,资安的隐忧也越来越大。
但 Hypponen 对政府管制的态度很两难。如果政府真要祭出管制措施,可能是要求厂商提高资安水准,具体的管制措施大概是不要漏电、不要容易着火,不能轻易泄露 W-iFi 密码这类事情。
不过骇客和资安研究者 Rob Graham 与 Hypponen 意见就不同了,尽管美国可以规划物联网装置的资安标准,不让不安全的物联网装置在市面贩售,只要其他国家没规范,那还是会造成问题。
Graham 在 Twitter 上写到:“白痴都会想到美国应该颁布软件可靠性的法令,能够规范中国制造卖到乌克兰的装置。”
“但是这么做会让想用 Kickstarter 提物联网专案的人无法变有钱,并不能阻止(漏洞)。适当的回应做法应该是 NSA 修补所有发疯的装置。我的办法能解答问题?当然呢!你的办法呢?那可行不通。”
不过 Graham 在其他方面是同意 Hypponen 意见。
Hypponen 在推特说:“物联网是明显而且存在眼前的危机。”
目前美国国土安全部要插手制订战略原则,确保物联网的安全,但仍在拟定的状况。
这次 Dyn 事件因为是第一起广为人知用物联网装置发动攻击的事件,但如果再不好好严加看管物联网的资安标准,那就不会是最后一起,以后仍不时会在新闻版面上看到相关的消息,物联网的发展埋下阴影。甚至 NSA 情报部门会拿物联网的弱点收集情报也说不定。
(首图来源:elhombredenegro on Flickr, CC-BY 2.0)
相关连结
- The government needs to step in and save the internet from hacked toasters