技術(shù)
導(dǎo)讀:物聯(lián)網(wǎng)黑客每天導(dǎo)致企業(yè)和最終用戶損失數(shù)千至數(shù)百萬美元,它們也損害了用戶對(duì)核心技術(shù)的看法。現(xiàn)在是時(shí)候共同努力為硬件和軟件制定有意義的安全標(biāo)準(zhǔn)了。
物聯(lián)網(wǎng)黑客讓公司損失了大量金錢。物聯(lián)網(wǎng)黑客的總體損失取決于受影響設(shè)備的數(shù)量、發(fā)現(xiàn)問題的速度以及問題持續(xù)的時(shí)間而不同。然而,加州大學(xué)伯克利分校的研究試圖量化物聯(lián)網(wǎng)黑客對(duì)運(yùn)營商和消費(fèi)者造成的損失,它側(cè)重于涉及物聯(lián)網(wǎng)設(shè)備的分布式拒絕服務(wù)(DDoS)攻擊。無論是來自DDoS還是其他攻擊媒介,代價(jià)都可能是數(shù)十萬美元。
在2016年的一次DDoS攻擊中,安全攝像頭、連網(wǎng)錄像機(jī)是受影響最多的物聯(lián)網(wǎng)設(shè)備,這一事件導(dǎo)致KrebsOnSecurity網(wǎng)站癱瘓了77個(gè)小時(shí),并且由于消費(fèi)者設(shè)備的功耗和帶寬消耗導(dǎo)致消費(fèi)者損失超過323,000美元。
攻擊損害收入
另一項(xiàng)針對(duì)美國小型企業(yè)使用物聯(lián)網(wǎng)的研究發(fā)現(xiàn),物聯(lián)網(wǎng)漏洞造成了顯著的收入損失。該調(diào)查對(duì)來自19個(gè)行業(yè)的大約400名IT領(lǐng)導(dǎo)者進(jìn)行了調(diào)查,發(fā)現(xiàn)48%的公司至少經(jīng)歷過一次物聯(lián)網(wǎng)安全漏洞。
此外,研究表明,在收入低于500萬美元的公司中,物聯(lián)網(wǎng)黑客造成的損失占年總收入13.4%。對(duì)于較大規(guī)模的公司來說,損失高達(dá)數(shù)千萬美元。
同樣重要的是要認(rèn)識(shí)到,安全錯(cuò)誤在公司中很常見。使得不安全的密碼、被遺忘的安全程序和缺乏安全策略會(huì)導(dǎo)致各種網(wǎng)絡(luò)安全攻擊。盡管如此,為此類攻擊做好準(zhǔn)備可以最大限度地降低發(fā)生這種攻擊的風(fēng)險(xiǎn)。
黑客攻擊情境和攻擊媒介
自從幾年前烏克蘭電網(wǎng)遭到攻擊,迫使該國部分地區(qū)陷入黑暗以來,人們一直緊張地想知道這樣的襲擊會(huì)對(duì)像美國這樣人口眾多,依賴數(shù)字的國家造成什么影響。
了解停電的平均損失非常有用。根據(jù)2015年的數(shù)據(jù),電氣故障可以使運(yùn)營商和下游企業(yè)每天損失超過179,000美元。特別是依賴電力的地方,如醫(yī)療保健機(jī)構(gòu),其損失可能是平均水平的三倍以上。
根據(jù)Ponemon Institute / Emerson Network Power報(bào)告,醫(yī)療保健機(jī)構(gòu)每次停電的平均損失為690,000美元,加上潛在的生命損失,這種計(jì)算更是無法估量。----彼得·馬隆尼(微電網(wǎng)知識(shí))
研究表明,制造商受此類攻擊的影響最大。即使是一次短暫的裝配線停機(jī),也會(huì)讓工廠經(jīng)營者損失金錢——或者如果機(jī)器在操作員不知情的情況下被損壞,那么就會(huì)在機(jī)器損壞發(fā)生之前就開始損失金錢。
兩種假設(shè)情境可能讓被黑客入侵的物聯(lián)網(wǎng)設(shè)備危及能源網(wǎng)絡(luò)。第一種是侵入并同時(shí)激活與公用事業(yè)相關(guān)的物聯(lián)網(wǎng)設(shè)備,從而使電網(wǎng)不堪重負(fù)并引發(fā)停電。
黑客也很有可能采取不那么直接的方法,對(duì)大量設(shè)備進(jìn)行黑客攻擊,并對(duì)它們進(jìn)行輕微控制,以至于每個(gè)節(jié)點(diǎn)的能源使用量都在增加,但總體來說卻沒有人注意到。這種攻擊的長期影響可能會(huì)帶來重大系統(tǒng)性挑戰(zhàn) ——更不用說收入損失了。
多方攻擊
正如網(wǎng)絡(luò)安全研究人員指出的那樣,物聯(lián)網(wǎng)設(shè)備令人不安的一點(diǎn)是,網(wǎng)絡(luò)犯罪分子可能會(huì)影響多個(gè)安全性差的物聯(lián)網(wǎng)設(shè)備,對(duì)每一個(gè)設(shè)備造成損害,并且越來越難以找到根本問題。而制造商經(jīng)常推遲發(fā)布安全補(bǔ)丁或者不優(yōu)先考慮制造安全設(shè)備。
物聯(lián)網(wǎng)設(shè)備相對(duì)較新,制造商缺乏工程設(shè)計(jì)經(jīng)驗(yàn),此外,物聯(lián)網(wǎng)是一個(gè)快速發(fā)展的行業(yè),其目標(biāo)是在競(jìng)爭(zhēng)對(duì)手提供類似產(chǎn)品之前搶先發(fā)布最新、最強(qiáng)大互聯(lián)設(shè)備。這種心態(tài)意味著安全成為事后想法,許多公司只考慮是否發(fā)生了大量黑客攻擊。
嚴(yán)重的黑客攻擊會(huì)抑制行業(yè)發(fā)展
2018年8月公布的統(tǒng)計(jì)數(shù)據(jù)顯示,全球有超過170億臺(tái)聯(lián)網(wǎng)設(shè)備??紤]到物聯(lián)網(wǎng)市場(chǎng)相對(duì)較新,采用率令人欣喜,這表明人們已經(jīng)為物聯(lián)網(wǎng)設(shè)備制造商的夢(mèng)想做好了準(zhǔn)備。然而,大規(guī)模令人沮喪的黑客攻擊可能會(huì)讓物聯(lián)網(wǎng)技術(shù)蒙上陰影。
2018年3月,當(dāng)Alexa智能音箱無端發(fā)笑時(shí),使用者被嚇壞了。一些亞馬遜 Echo 智能音箱用戶或其他內(nèi)嵌語音助理 Alexa 功能的設(shè)備用戶都曾在推特和論壇上發(fā)文抱怨,聲稱他們的設(shè)備會(huì)自發(fā)性大笑,但他們并沒有啟動(dòng)設(shè)備也沒有對(duì)設(shè)備下達(dá)什么指令。隨后,亞馬遜很快修復(fù)了引起咯咯笑聲的Bug缺陷。
此外,人們出于惡意原因使用了物聯(lián)網(wǎng)設(shè)備,例如在英國的一個(gè)案件中,指控丈夫通過壁掛式iPad監(jiān)視與他分居的妻子。不過,他爭(zhēng)辯說,他只使用應(yīng)用程序來改變電視音量和燈光。
在同樣場(chǎng)景中,網(wǎng)絡(luò)入侵者不一定需要黑客知識(shí)來進(jìn)行網(wǎng)絡(luò)訪問。例如,如果雙方一旦關(guān)系破裂,房主沒有改變應(yīng)用程序密碼,心煩意亂的前任或親戚可以遠(yuǎn)程登錄并從遠(yuǎn)處控制連網(wǎng)設(shè)備。這種可能性給潛在家庭虐待手段帶來了一個(gè)新的,令人擔(dān)憂的維度。
如果物聯(lián)網(wǎng)設(shè)備經(jīng)常與令人不安的后果相關(guān)聯(lián),人們可能會(huì)認(rèn)為它們不值得購買,這樣的后果將抑制消費(fèi)者在物聯(lián)網(wǎng)設(shè)備上的支出。
這些例子說明了為什么人們不應(yīng)該僅僅將物聯(lián)網(wǎng)黑客視為“有朝一日”可能發(fā)生的事情,嚴(yán)重的黑客行為已經(jīng)發(fā)生。專家表示,更嚴(yán)重的問題可能即將出現(xiàn),現(xiàn)在是硬件和軟件行業(yè)領(lǐng)導(dǎo)者面對(duì)這些系統(tǒng)性風(fēng)險(xiǎn)并讓最終用戶放心的時(shí)候了。