物聯(lián)網(wǎng)信誓旦旦的美好前景是否讓你感到興奮?好吧,黑客們也一樣興奮。至少,他們應(yīng)該會很興奮,這是計算機巨頭惠普公司所說。
惠普公司的應(yīng)用程序安全防御部門對市場上十個最受歡迎的消費物聯(lián)網(wǎng)產(chǎn)品進行了分析,發(fā)現(xiàn)了250個安全漏洞,平均每個產(chǎn)品25個。不幸的是,惠普還沒有辦法識別出每個產(chǎn)品的具體漏洞,他們只是籠統(tǒng)地描述:這些漏洞涉及各種設(shè)備廠商,包括電視,網(wǎng)絡(luò)攝像頭,家庭恒溫器,電源插座,中控設(shè)備,門鎖,家庭報警器,電子稱,以及車庫門開關(guān)。
就像有“潛規(guī)則”一樣,物聯(lián)網(wǎng)設(shè)備往往運行Linux操作系統(tǒng)的簡易版本。換句話說,不管你是在一臺服務(wù)器上運行,還是在其他計算機上運行,物聯(lián)網(wǎng)設(shè)備都會存在許多相同的安全問題。此外,人們在構(gòu)建物聯(lián)網(wǎng)時,也沒有像傳統(tǒng)電腦那樣考慮太多安全因素。
惠普安全防御部門副總裁兼總經(jīng)理Mike Armistead表示,之所以出現(xiàn)這種情況,是因為制造商們太著急了,他們急著想把自己的產(chǎn)品迅速推向市場,沒有考慮太多安全問題,有些產(chǎn)品甚至無法抵御最基本的黑客攻擊。
更嚴(yán)重的是,某個產(chǎn)品受到了攻擊后,重疊的安全漏洞可能導(dǎo)致其他設(shè)備被攻擊。這不是在危言聳聽,最近Target公司被黑客攻擊,超過7000萬人的資料被竊取。而黑客的攻擊手段或許你都想象不到,Target有一套專門管理和維護店內(nèi)通風(fēng)設(shè)備的系統(tǒng),而黑客就是利用這個系統(tǒng)進入到后臺,我們不妨先來看看Target這個反面教材吧。
八臺設(shè)備的密碼都是“1234”,每臺設(shè)備、甚至對應(yīng)的網(wǎng)站都是弱密碼。
經(jīng)測試,在連接到互聯(lián)網(wǎng)或本地網(wǎng)絡(luò)時,八臺設(shè)備中有七臺沒有加密,也就是說,無論他們發(fā)送任何數(shù)據(jù),所有信息都是“透明的”。
六臺設(shè)備接口安全性極差,無法抵御黑客跨站腳本攻擊,默認(rèn)簽名證書極弱,發(fā)送含密碼的簽名證書幾乎也是“透明的”。
六臺設(shè)備的加密軟件沒有下載更新,這點極其危險,因為黑客會開發(fā)出一個看似“合法的”軟件更新,一旦用戶上當(dāng)下載安裝后,軟件改變設(shè)備程序,為所欲為。同樣,用戶家里的網(wǎng)絡(luò)攝像頭和車庫開門設(shè)備通常都是連接到互聯(lián)網(wǎng)上的,遭到類似攻擊的后果是不是會很危險?
此外還有一個問題,公司內(nèi)部的十臺電腦中,有九臺或多或少存儲了一些用戶信息,包括電子郵件,家庭地址,姓名,出生日期等。
為了完成本次安全威脅調(diào)研,惠普公司安全防御部門的研究人員下了很大工夫,他們用惠普的“Fortify on Demand”服務(wù)對各種物聯(lián)網(wǎng)設(shè)備進行測試,以了解安全問題。
那么,未來物聯(lián)網(wǎng)的規(guī)模會有多大呢?根據(jù)研究公司Gartner的推測,到2020年全球物聯(lián)網(wǎng)設(shè)備將會暴增至260億臺。對黑客們來說,物聯(lián)網(wǎng)將會是一個巨大的攻擊目標(biāo)。