目录:
视频: PULCINO PIO - Il Pulcino Pio (Official video) (十一月 2024)
在过去的这个周末,由于分布式拒绝服务攻击或DDOS,美国Internet的速度有所放缓。 这是一次有趣的攻击,有两个原因。 首先,无论攻击者是谁,都不会像垃圾邮件DDOS攻击那样,用垃圾请求将单个网站泛滥成灾。 取而代之的是,他们追随DNS提供商Dyn,后者导致众多网站缓慢爬行或完全停止运营。 有关DNS基础结构过度集中的警告突然变得非常有趣。
茶壶做到了
攻击的核心是Mirai,它不是一种特别奇特的恶意软件。 它会扫描连接到Web的设备,看似看似由Linux驱动的IoT设备,显然更偏爱杭州雄脉科技有限公司的安全摄像头和家用路由器。 然后,它在表上查找默认密码并登录。一旦进入,它将设备的控制权移交给中央命令和控制服务器。
这次攻击虽然成就惊人,但不幸的是,我们没有看到即将发生的一切。 在2013年的Black Hat会议上,Craig Heffner展示了轻松接管网络连接的安全摄像机的功能。 他的演示包括您认识的知名公司,包括D-Link,Linksys,Cisco,IQInvision和3SVision。 当被问及哪些设备容易受到攻击时,他说他还没有找到无法控制的品牌。
对于他的演示,Heffner欺骗了照相机以显示循环视频,就像抢劫电影一样。 但是他的谈话的实质是可怕的。 物联网设备(例如安全摄像机,茶壶,冰箱)是的,甚至无线路由器也只是连接到Internet的微型计算机。 他说,如果攻击者想专门针对某个人或一家公司,他们可以攻击这些防御不力的设备,并将其用作抢滩受害者的其余网络的工具。 而且由于它们是微型计算机,因此可以想象诱使它们执行攻击者想要的任何代码。
这样想:您可以购买最坚固的门,用最好的防撬锁来保护房屋,但是小偷仍然可以闯入窗户。
物联网不同
在安全行业中,我们喜欢责怪人,而不是计算机。 如果人们更加警惕,他们可能在引入Heartbleed错误之前就已将其捕获。 流行的说法是,任何安全系统中最大的故障点是在计算机和椅子之间。 举个例子:希拉里·克林顿竞选主席约翰·波德斯塔(John Podesta)的Gmail帐户遭到黑客入侵-尤其是向我们介绍了他的烩饭食谱-显然是从网络钓鱼诈骗开始的。
但是,就物联网安全而言,无法以相同方式追究消费者责任。 例如,作为车主,您在驾驶时必须小心并提供合理的维护。 反过来,汽车公司必须向您提供不会真正杀死您的产品。
随着我们社会的变化,消费者的期望也发生了变化。 消费者权益倡导者指出,有些汽车“在任何速度下都是不安全的”。 就像进化中的生物一样,汽车也萌芽了新的附属物:安全带,安全气囊,以及一些不太明显的特征,例如易碎区域和经过特殊设计的材料,旨在在不断变化的世界中为消费者提供合理的安全。
当智能手机开始腾飞时,制造商和开发人员从PC时代的试验中学到了东西。 尽管移动安全在此过程中遇到了一些麻烦,但与PC的历史相比,这已经是小菜一碟了。 我们没有在Conficker上看到的那样广泛地感染智能手机,希望我们永远不会。
物联网的历史描绘了一条不同的历程,也许是使用金鱼作为导航仪的历程。 制造商没有控制设备的访问权限,而是采用了几十年来从连接数十亿台计算机和电话中学到的最佳实践,而是将廉价产品推向了市场。 在某些情况下,某些产品永远都不会被维修,升级或打补丁。 即使可以解决问题,也可以说,期望人们以与处理计算机相同的方式对待节省劳力的设备是不合理的。 绝大多数消费者正确地认为,如果设备没有屏幕或某种输入方法,则不打算由他们维修。
这不必发生
最近的DDoS攻击最令人沮丧的部分是,物联网制造商只需要研究30年的消费者技术,便可以看到墙上的谚语。 而且,如果他们不能这样做,他们可能会听从安全研究人员(无论是公司还是业余黑客)发出的警告。 这些人告诉任何听过的人,如果不仔细考虑如何使用它们,如何在互联网上放置数十亿个设备是一个坏主意。 2014年,丹·盖尔(Dan Geer)在开幕大会上说,物联网已经在我们身旁,并可能导致麻烦。
尽管我尽力保持愤世嫉俗的态度,但物联网却不可避免且引人注目。 科幻小说已向我们保证,数十年来我们一直在谈论计算机和未来派设备,也许这就是为什么Gartner预测到2020年将有64亿个设备连接到互联网听起来可行的原因。 这些设备已经在我们的家中:流媒体盒,游戏机,无线路由器。 在攻击者和自动攻击的眼中,这些只是更多可利用的IP地址。
当我们度过假期并进入新一代IoT设备时,让我们将旨在让用户理解的安全性放在首位。 如果到2020年我仍然必须为人们提供的最佳建议是断开他们的智能设备,那么该行业就不应该在创新甚至智能方面享有声誉。
