gtag('js', new Date()); gtag('config', '118983626-1');

物聯網存在被黑客大規模入侵的危險性

加州Novato市的Tara Thomas有一個將近3歲的女兒。從她孩子出生以後不久,Thomas就在小床對面的牆上安裝了一個Nest Cam監控嬰兒。最近,孩子好幾次指着攝像頭上的綠燈說:“我的房間里有個怪物。”Thomas以為她女兒只是做噩夢,沒有太在意。直到有一天,她走進女兒的房間,看到Nest Cam里正在播放着色情片。顯然,她家的Nest無線遙控攝像機被黑客襲擊了。

Nest公司在2013年被Google收購以後成為Google公司的一部分。Nest的軟件工程負責人兼Google Home副總裁Nik Sathe表示,安全和方便永遠是一對矛盾。為了加強安全措施,就需要使登錄過程比較繁瑣,但這樣做會給合法用戶帶來不便,用戶會因為使用過程中的不良體驗而疏遠他們的產品。他說,Nest Cam的標準加密措施是採用雙因素身份驗證。除了密碼,用戶還必須輸入通過短信發送的六位數字代碼才能登錄。可是,Thomas家的Nest Cam從來沒有激活這一身份驗證功能。其結果是,黑客使用互聯網上最古老的伎倆,即所謂的認證填充(credential-stuffing)技術就輕易地黑入了他們家的攝像頭。

據說,全國各地的地方新聞電視台上都出現過類似Thomas家的Nest Cam遭遇黑客攻擊的報道。有些黑客闖入Nest Cam取樂;一個黑客用Nest Cam告訴舊金山郊區的一個家庭,北朝鮮即將發動導彈襲擊;有人通過Nest Cam向伊利諾斯州的一個家庭發送種族歧視信息。另有報道說,Nest公司的另一種產品——學習型恆溫器也曾遭到黑客侵襲,使室內溫度忽高忽低,無法捉摸。專家們認為,被公之於眾的黑客行為只是少數,大多數用戶可能甚至沒有意識到他們的Nest Cam受到了黑客攻擊。

被安全行業稱為“認證填充”的做法就是尋找用戶丟棄在互聯網站或網絡服務器上的用戶名和密碼,然後到其它網站上嘗試是否有效。由於互聯網絕大多數用戶都在多個賬戶上使用相同的用戶名和密碼,所以他們的登錄信息基本上已不是秘密。任何一個擁有互聯網連接和基本技能的人,都有能力入侵這些設備。而一些新型的認證填充軟件可以讓幾乎沒有計算機技能的人在幾分鐘內完成數以百萬計的用戶登錄認證嘗試。

加拿大Calgary的安全研究員Hank Fordham做了一個試驗。他花20美元從網上下載了一個名為Snipr的認證填充軟件。瞬間,他在他的控制盤上就看到數百台Nest設備。如果他願意,就可以輕易黑入這些設備。這使他感到非常擔憂。他登錄了其中一些Nest Cam,開始主動警告那些易受攻擊的用戶,懇求他們更改密碼。這些互動過程中的一個最終被攝像機另一端的人記錄下來,當地一家電視台播放了這段視頻。Fordham說,他對Nest賬戶的脆弱性感到驚訝。Nest的母公司Google以擁有阻止偽造證件攻擊的最佳方法而聞名,它的系統可以用來判斷試圖登錄帳戶的是人還是機器。但是卻沒有用在Nest的產品上。

Nest公司的Sathe說:“我們在2017年末、2018年初就看到了大規模的認證填充這種情況。”作為回應,該公司開始收集網絡上可用的被盜密碼,並將它們與自己的記錄交叉引用,使用了一種加密技術,確保Nest無法真正看到密碼。Sathe說,Nest使用了很多先進的技術來阻止偽造認證,比如機器學習算法,它會根據用戶的可疑程度對用戶的登錄進行評分,並阻止相應的用戶登錄。例如,如果來自相同IP地址的計算機試圖登錄到10個Nest帳戶,該算法將阻止該地址登錄到任何其它帳戶。Sathe說:“我們有多層次的安全措施,以及業界認為的最佳做法。”

黑客利用認證填充入侵網站已經造成嚴重後果。2016年發生的Dyn Hack動員了物聯網上數百萬台被黑客入侵的設備,偽造認證,實施大規模網絡攻擊,導致Twitter、Spotify等網站關閉。Gartner研究公司的數據顯示,預計到2020年將有200億件產品聯網上線,確保這些設備的安全具有重大的公共安全意義。多年前,科技公司就已經意識到認證填充的威脅,但隨着這個問題越來越嚴重,科技公司看待這個問題的方式也在演變。曾經有一種說法,用戶應該為自己的安全負責,避免在多個網站上使用相同的密碼。但隨着大量密碼的頻繁泄露,科技公司發現,並非只有少數粗心大意的客戶,而是大多數在線用戶都在不同的賬戶上重複使用相同的密碼。

今年1月,日本國會通過了一項修正案,允許日本政府從實質上做黑客所做的事情,就是搜索互聯網上被盜的密碼,並測試它們是否在其它平台上被重用。這個修正案的目的是希望日本政府能夠迫使各大科技公司認真解決這個問題。密碼管理公司Dashlane的首席執行官Emmanuel Schalit說:“我們看到的問題大約90%都是由認證填充造成的。”他說,他們公司生產的密碼管理器允許人們在一個地方存儲唯一的、隨機的密碼。但是,目前只有大約1%的互聯網用戶使用某種形式的密碼管理器。前美國國家安全委員會(National Security Council)成員、FTI Consulting網絡安全全球主管Anthony Ferrante說,對於普通的在線用戶來說,停止重複使用密碼變得更加重要了。

 

 

記者 湯毅堅

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.