勒索是在网络世界中一个熟悉的瘟疫 - 它已经存在了超过25年,在过去十年中变得越来越普遍。
但是,直到最近,它的目标更多的是组织或个人电脑,而不是设备。这种情况正在改变。随着物联网(IoT)的爆炸式增长——估计到2020年将有多少联网设备投入使用,将达到2000亿——专家表示,它将在消费者层面变得更加普遍。如此广泛和脆弱的攻击面对网络罪犯来说是不可抗拒的。
[也:许多受害者勒索恳求与袭击者]
大多数媒体的头条至今仍对组织破坏 - 一个最最近是在好莱坞长老会医疗中心在洛杉矶,它支付了$ 17,000名赎金由谁安装了恶意软件,它的一些设备的加密文件,黑客要求。
即使公安部门已跻身于受害者,通常最终支付了赎金没有被削弱,但一种不祥的提醒,在这种攻击的加密通常是非常结实坚固,甚至专家都无法打败它。
在消费者层面,个人索要赎金的数额预计也不会很大,因为潜在受害者的数量为精明的犯罪分子提供了巨额财富的保证。
一些专家已经预测对于一年多来,消费者勒索将变得非常普遍,它可能成为生活费用的麻烦,但日常工作的一部分。
They say people could end up paying $20 to $100 or more a month in “rent” to digital mobsters just to make sure their car will start in the morning, their doors and windows won’t get unlocked remotely, their electric bill won’t show twice the actual energy use, their appliances won’t go haywire and their TV won’t turn into a spy camera. There is the realistic possibility that a ransom could be demanded to keep an embedded medical device from turning lethal.
事实上,连接消费电子设备范围从电视到汽车,网络游戏,玩具,枪,可穿戴健身追踪器,智能家电,恒温器,灯,墙壁开关,沙发,牙刷,运动传感器,车库门,婴儿凸轮,家庭安全系统,工具监控,烟雾报警器,嵌入式医疗设备 - 几乎任何可以连接。
正如社会工程师公司的创始人、首席执行官和首席人类黑客Chris Hadnagy当时所说的那样,“想象一下这样一个世界,整个网络都可以被一台咖啡机破坏——你不必去想象——我亲眼目睹了。”联网设备意味着,如果有人破坏了设备,他们可以以任何方式修改、调整、监视、监听和使用设备。”
即使所有这些警告,危及他们仍然惊人地容易。建在连基本的安全最不具备的。而当漏洞被发现,它并不总是容易的,甚至可以更新或修补它们。
所以,毫不奇怪,尽管尚未取得重大头条,消费级漏洞和勒索的增长没有显示在统计数据。联邦调查局发布了声明去年6月,它已记录992个与刚刚一个变体勒索,CryptoWall的投诉,2014年4月和2015年6月之间,1800万$结合的损失。
预计情况会变得更糟。“我们将看到基于信息技术的入侵增加,”密云的技术副总裁Sundaram Lanskmanan说。“现在推出的每一款设备似乎都能联网。黑客可以在任何时候发生,从生产阶段到生产阶段之后的固件更新。”
超过金钱或数据只是损失危在旦夕为好。“有丢失计算机数据和涉及房屋或汽车的安全风险之间有很大的区别,”在卡耐基梅隆大学软件工程研究所的CERT部门的高级漏洞分析师Will杜曼说。
“当你拥有更真实的设备连接,有可能是一个涉及人的生命风险,这显然要严重得多,”他说。
美国情报机构顾问、In-Q-Tel首席信息官丹•吉尔(Dan Geer)提出了另一种不祥的可能性。他说,在物联网攻击的早期阶段,金钱可能是主要动机,“但从长远来看,传感器网络中的虚假信息很可能会引起人们的兴趣,就像将东西集结成僵尸军队一样。”
正如m·海瑟薇在《60天》中所说的那样“网络空间政策评论”在奥巴马的第一任期一开始,在国家一级的主要目标是国防工业基础以及与全球主导地位的高科技公司;次级目标是上述的对手;和第三是可以为在二次攻击平台的任何设备,”他说。
它还创建潜在的法律恶梦。Lanskmanan指出,虽然由联邦法规要求汽车有东西像操作尾灯,“如果物联网黑客禁止上高速公路是尾灯,谁负责?”
当然也可以为市场拒绝买成为闻名被轻易破解的产品惩罚的安全故障供应商。
但多曼表示,实际现实情况是,大多数消费者不会太多考虑安全问题时,他们购买的“智能”设备 - 他们专注于功能和价格。“安全性通常不是购买决策的一部分,”他说。
或者,正如加密大师、“弹性系统”(Resilient Systems)的作者兼首席技术官布鲁斯•施奈尔(Bruce Schneier)不止一次说过的那样,“人们不在乎,是因为他们不知道该怎么在乎。”
然而,Cylance研究总监扎克•拉尼尔(Zach Lanier)等专家表示,现实并不都是暗淡的。他指出,许多消费者设备“可能没有存储足够的本地数据,因此不值得锁定用户,更不用说重置工厂可以解决这个问题——假设攻击者没有篡改或闪现恶意的、后台的固件。”
此外,鉴于对日益增长的威胁的认识,各国加大了应对其安全风险的努力。这些措施包括BuildItSecure.ly中,云安全联盟物联网工作组,对BSIMM和开放Web应用安全项目(OWASP)。
拉尼尔是BuildItSecure的负责人。ly表示,其目标是“识别组成物联网设备的各种组件,以及支持服务,以及它们各自的弱点和威胁;并帮助培训供应商和客户采取必要步骤,确保这些产品和平台的安全。”
另一个例子是报告本月早些时候,IEEE安全设计中心发布了题为《WearFit:可穿戴健康跟踪器的安全设计分析》的报告,指出了可穿戴设备行业应该解决的安全缺陷,并提出了针对这些设备的安全指南。
和布赖恩·威滕,高级主管,物联网,赛门铁克表示,他的公司正在推动其所谓的“安全的四大基石”为物联网设备,其中包括具有用于现场更新的能力。
“如果没有更新您的设备的能力,你有没有办法来预测他们将在未来几年被攻击而来,攻击者都相当灵活,”他说。
然而,实地更新也有风险。吉尔,戴着黑帽主题演讲指出,如果设备具有远程管理界面,“技能的对手将集中在,一旦突破得以实现,将使用这些自相同的管理功能,以确保他不仅保留控制权的间隔较长,但是,还有,你将不可能知道他是存在的。”
格尔建议嵌入式系统变得越来越像人类一样 - 在他们,“肯定不晚于某个固定时间死”,因此被替换。
然而,所有这些都可以被描述为更好的物联网消费者安全的“胡萝卜”激励措施——它们提供帮助和鼓励,但不会制裁松懈的安全措施。
而且目前没有法律,对于物联网消费设备任务的具体安全要求。There is not even an established seal of approval from an Internet organization comparable to Underwriters Laboratories (UL) which, as Dormann put it, tests and certifies products so, “a consumer has some amount of certainty that it won’t burn your house down.”
但“大棒”激励正在发展,如果逐步显现。美国联邦贸易委员会(FTC),在报告发行超过一年前,建议国会通过,“强劲,灵活和技术中立的联邦立法,以加强其现有的数据安全性的执法手段,并提供通知给消费者时,有一个安全漏洞。”
除此之外,该机构表示,物联网设备开发人员,“应该在一开始就构建安全他们的设备,而不是作为一种事后”,而这个过程应该包括“推出自己的产品前,测试他们的安全措施。”
谁不这样做,供应商可以通过FTC的针对性。就在本周,台系电脑硬件厂商华硕电脑答应了沉降该机构指控其家用路由器存在安全漏洞,“将数十万消费者的家庭网络置于危险之中。”
大多数的路由器是出了名不安全的,但FTC在这种情况下,操作可能是第一信号,有可能是因为它的政府的后果。
Jarad布朗,保护消费者的FTC局的律师指出,即使没有具体的法律,提供安全的设备故障可能达到“不公平或欺骗” - 这可能会导致FTC制裁的做法。
格尔推荐一些变化,将促进更好的安全性,包括对开发人员的严格责任,以取代“100页的EULA(最终用户许可协议)”,其中,消费者不得不同意,几乎所有的问题是不是开发商的过错或制造商。
他还表示,“独立的、具有破坏性的测试”将会有所帮助,并补充说,这实际上可能正在进行中,因为UL以及像Zurich和GenRe这样的主要再保险公司“正在发出一些有用的声音”。
拉尼尔是乐观的情况会好转。他指出,挑战的一部分只是紧跟科技步伐 - 许多公司都生产的产品,如烟雾报警器,温控器和玩具甚至几十年来从未有过的互联网连接,而现在他们做的。
“不过,缓慢但稳步地,这是总的变化,”他说。“供应商一般都具有成为安全开发规范,漏洞处理的详细熟悉,等等。”
威滕同意。“我们正在与多家机构合作,使客户更容易知道多少保障已建成的设备,他们考虑购买的系统,”他说。
这个故事,“勒索软件崛起”最初是由CSO 。