每个人都听说过一些企业主被迫向暴徒支付“租金”,以确保他们的建筑不会“意外”被烧毁或遭受其他一些故意的不幸。
But it could soon be average consumers who have to shell out $20 or more in Bitcoin every month to various digital “mobsters”, just to make sure their car will start in the morning or the brakes won’t fail on the highway, or so their home will stay locked during the day when they’re at work.
上个月早些时候,一群专家在一个小组讨论会上设想了一个反乌托邦式的未来讨论题为“明天的高科技犯罪” - 标题,乔治敦法学院会议的一部分“网络犯罪2020:网络犯罪和调查的未来。”
他们已经看到了消费者网络犯罪的未来,它的名字是“勒索软件”。
勒索软件并不是什么新鲜事——它现在就存在,但主要是在企业或政府层面。“我们已经在网络存储设备中看到了它,”小组成员迪诺·戴·佐维说,他是纽约大学理工学院的常驻黑客。
在这种情况下,黑客通常会侵入系统,对数据进行加密,然后要求赎金,以换取解锁数据的钥匙。
赛门铁克事件响应高级经理Robert Shaker(不在讨论小组中)认为这是企业层面的一个大问题。“我无法告诉你有多少客户因为这个问题打过电话,”他说。“这是猖獗。”
但现在预计渗透到消费者层面,Dai Zovi预测支付需求很小,更多的麻烦比严重的财务损失,但为罪犯提供巨大的潜在利润,考虑到数十亿美元每年智能设备连接到互联网。
小组成员说,犯罪策略的预测转变有几个原因。首先,美国终于开始着手提高其信用卡系统的安全性EMV或“芯片密码”技术。这将使信用卡欺诈更加困难。
用户勒索软件是“一种将要扩大规模的商业模式,特别是当我们控制了更传统的网络犯罪商业模式,”Dai Zovi说。“他们(网络罪犯)基本上是企业家,当一个新市场给他们带来比现有市场更好的回报,或者现有市场消失时,他们就会改变。”
另一个原因是,正如一段时间以来已经清楚的那样,仅仅因为一个设备是“智能的”,并不意味着它是安全的。众所周知,物联网(IoT)中的嵌入式设备是不安全的。
另一个小组成员,Rick Howard, Palo Alto网络公司的首席技术官,观察到即使像微软这样擅长安全的公司,他们的软件也有问题。“汽车制造商不知道该怎么做,”他说。
这是从克雷格Heffner,漏洞研究员战术网络解决方案的消息,一年前。在一个讨论一年前,在联邦贸易委员会(FTC)主办的一次会议上,他谈到了“联网家庭”,他说:“消费设备通常没有任何安全性,至少以今天的标准来看是没有的。”
最后,联邦贸易委员会预测,到2020年,嵌入式传感器或设备的数量将达到500亿个或更多,很明显,它们可以提供几乎无限的攻击面。
到目前为止,这还不是一个大问题。但专家说,它即将到来。
Shaker说,今天在你发动汽车之前被劫持勒索的几率“非常小”。但他说,黑客攻击的脆弱性已经很明显,因为“我们已经看到,人们可以通过移动设备启动汽车攻击。”
正如social engineer的创始人、首席执行官兼首席黑客Chris Hadnagy所说,“任何连接到互联网或使用加密不严密的蓝牙的设备都容易受到攻击。”
“想象一下,在一个咖啡机的影响下,整个网络都被破坏了,”他说。“你不必这样——我亲眼见过。联网设备意味着,如果有人破坏了设备,他们可以以任何方式修改、调整、监视、监听和使用设备。”
霍华德,乔治城面板上发言时说,至少一个汽车制造商拥有,不仅提供了访问像潘多拉和社交媒体,如Facebook音乐服务,而且还控制着刹车和安全气囊仪表板上的Linux机器。“我无法想象一个DoS攻击会做,当两个您的Pandora和你的刹车停止工作,”他说。
利维坦安全集团(Leviathan Security Group)风险和咨询服务主管詹姆斯·阿伦(James Arlen)表示,他认为可以从家庭自动化系统开始。他表示:“需要注意的是恒温器的脆弱性——它会带来直接的安全和财务成本。”“让温度上下循环是一个很好的场景,作为海因莱茵1966年出版的小说《月亮是严厉的情妇》的一部分,这种场景效果非常好。”
当然,不是每个人都必须有一个家庭自动化系统,这使控制一切,从恒温到门,窗锁和大家电到互联网。
但消费者可能很难购买一辆没有联网的新车。
Arlen说:“如果不求助于‘侵入汽车并希望它一直被侵入’,现代汽车的黑箱功能是很难摆脱的。”
霍华德在一次采访中说,关闭汽车的连接功能“对普通人来说太复杂了”。
他说:“作为一个行业,我们还没能说服普通消费者把他们的密码从‘password’改成一些有意义的东西。”“我们说服他们在行驶的汽车上运行互联网服务的危险可能比在他们的音响系统上收听潘多拉的便利更重要的可能性有多大?”我觉得不高。”
未来并不一定是那么暗淡。但专家表示,制造商和消费者必须提高安全意识,双方都必须愿意为此投资。
霍华德说,他看到,“对于那些能够建设物联网基础设施运行的企业家来说,这是一个巨大的机会。”这可能会落在像AT&T和Verizon这样的大公司头上。他们可以为所有的物联网制造商提供安全可靠的连接服务。”
阿伦说,创造一个更安全的网络世界是可能的,但这需要钱。“有很多公司能够帮助确保从硅到服务的安全,”他说。“这只需要他们预先决定投资。目前,这不是天使投资者或种子投资者施加的压力。”
消费者也可以采取措施避免成为所谓的“低垂的果实”,他们说。
“你不必屈服于这个世界的小偷,”Shaker说。“如果消费者使用终端安全解决方案来保护自己,不要玩弄设置,保持它正常运行,你被泄露的几率就会大大降低。”大多数(消费者恶意软件)是自动的,而不是目标。
阿伦也有类似的建议,但他指出,这是要付出代价的。“不要满足于‘便宜等于好’,”他说。“当消费者需要‘5个9’,(99.999%可用性)双广域网冗余防火墙/路由器,UPS(不间断电源),商用规模/等级WiFi,以及类似的东西时,我们达到了可以实现良好安全的程度。”
“这将变成一个2000美元的投资和200美元一个月服务,但相比WiFi盒子你在沃尔玛为14.95美元,永远不会被修补,或者电信给你做一切都放在一个盒子里,没有修补,这之间的区别不是人质,你最好擅长使用比特币从你邻居的电脑。”
但霍华德说,他认为制造商和消费者都不会到那个地步。他说:“在这种情况发生改变之前,太空必须发生一些重大的变化,比如很多人口受到影响的事件。”“例如,如果人们开始死亡,因为黑客入侵移动的汽车,这可能会导致行业采取一些行动。”
或者,它可能只会让被索要赎金的人群受到打击,即使他们相对较小。
“勒索软件会狠狠地打击你,”霍华德在讨论会上说。“消费者会感觉到的。我们将会看到更多的抱怨,一次EMV减少银行卡欺诈,这是由银行覆盖。等着瞧吧,他们开始每个月向你要20美元来启动你的汽车。”
这篇文章,“被数字‘暴民’勒索”最初发表于方案 。