就安全性而言,物联网的发展正如大多数计算机安全专家预测的那样糟糕。事实上,大多数供应商并没有充分意识到物联网设备带来的潜在威胁。任何连接到互联网和运行代码的东西都可能被恶意接管。考虑到互联网连接设备的加速扩散,我们可能正在走向灾难。例如,个人安全摄像头被用来进行监控世界上最大的拒绝服务攻击更不用说让陌生人监视摄像头本应保护的人了。
更糟糕的是,对于物联网设备,漏洞所造成的后果可能远远超出数字领域。即将到来的物联网攻击浪潮包括那些可能致人受伤或死亡的攻击。这不是假设。我说的是今天已经可能发生的真正的袭击。没有人做过任何事情来降低这些袭击发生的可能性。
以下是即将到来的下一波黑客攻击。
你的心脏监视器会被黑
黑客们早就知道,他们可以破坏几乎所有拥有可编写软件、无线工作或连接互联网的医疗设备。计算机科学家和黑客已经利用心脏起搏器,心脏监测器,静脉滴注装置,医学分配器,诊断机械所有这些都有可能杀死病人。这些威胁经常引起我们的注意。
但这并不是说医疗技术供应商不担心漏洞和黑客。新的医疗设备需要长达10年的时间来制造、测试和批准。美国医疗设备制造商必须遵守近12个重叠监管机构的指导方针和法律,包括食品和药物管理局(FDA)、联邦通信委员会(FCC)和卫生与公众服务部(Department of Health and Human Services)。此外,医疗设备制造商特别避免使用最新和最好的软件。通过放慢流程,使用更老、更可靠、更稳定的软件,制造商认为他们可以在设备向公众发布之前更好地解决潜在问题。
尽管如此,医疗设备还远没有达到防黑客的水平。在过去十年中,有数百起医疗设备召回事件,其中很大一部分是由于网络安全问题。
具有讽刺意味的是,围绕医疗器械的缓慢审查程序和法规可能是它们的毁灭。软件和代码一旦被引入审查周期并向公众发布,就不能进行显著的更新。因此,医疗设备在运行时总是使用非常旧的技术。没有人能利用计算机安全防御的最新进展;更糟糕的是,它们通常包含许多年前从普通计算机中删除的众所周知的漏洞。当我在医疗设备上执行渗透测试时,我总是从那些在普通电脑上打过补丁的攻击开始。我的策略从来没有失败过。这里有些东西必须放弃。当涉及到医疗设备时,如此容易被黑客攻击的风险太大了。
你的汽车会失控地倾侧着
如今,汽车制造商不仅会宣传汽车的引擎、性能和造型,还会宣传他们为汽车添加的新功能。如果被发现比竞争对手的功能更少,你就会失去每一个千禧一代的买家——这似乎是你的想法。
问题是汽车现在可以打开远程,关掉他们的引擎,被指示失控坠毁.直到最近,汽车制造商才开始专注于严密保护这些系统。大多数参与其中的专家告诉我,要说汽车是“不可破解的”,我们还有很长的路要走。正如一位汽车安全专家告诉我的那样,“在尝试了30多年之后,我们仍然无法确保计算机的安全,你认为我们为什么会在汽车领域取得成功?”
好问题。尽管如此,许多业内人士说,完全保护汽车的整个系统不受黑客攻击甚至不是主要目标。更现实的目标是使生命攸关的系统,如引擎和刹车,无法破解。“如果他们换了你的立体声频道,改变了你的GPS语音个性,谁会在意呢?”但我们绝对需要能够阻止坏人做任何可能威胁人类生命的事情。我认为我们可以做到,”一位汽车安全专家告诉我。
只要按一下按钮,你的房子就会被破门而入
小偷开始关注我们的联网家庭了。你家里任何可以通过网络或无线控制的设备都可能被黑客控制。前门的锁现在可以远程打开吗、报警系统可以得到释放、车库门可以打开,恒温器可以操作.就连冰箱也已经如此被黑客攻击以发送垃圾邮件.
随着联网家庭变得越来越流行,预计小偷会利用这一点。如果你能按下按钮就能打开前门或车库,为什么要打破窗户呢?事实证明,传统的犯罪分子非常擅长采用低风险的方法,尤其是当你考虑到装有智能设备的房子更有可能有昂贵的东西要偷的时候。就我个人而言,我认为现在就把家里的安全托付给任何电子锁和开锁器还为时过早,直到我听说制造商在安全方面做得比现在好得多。
你的假期会被窃取(或欺骗)
鲍勃和利昂娜·威廉姆斯(Bob and Leona Williams)来到他们在基韦斯特(Key West)的度假出租屋里,他们开了一天的车,疲惫不堪。他们签了一份租赁协议,房子的钥匙在他们汇钱之前一夜寄给了他们。但是当他们到达的时候,钥匙不工作了。他们敲了敲门。
过了一会儿,睡眼惺忪的阿曼达·特尔诺夫打开了门。她从新客人身后那辆装满行李的车里知道发生了什么事。有人又“假租”了她的房子。这一次,她告诉了被骗的游客发生了什么,并给了他们门罗县治安部门的电话号码。这个结果比上次好多了,上次阿曼达自己度假回来,发现一个古巴家庭在她家后院的游泳池里聚会。
这一天会发生几百次。一个寻欢作乐的家庭在度假时出现在他们梦想的度假屋,只发现它不是出租的,他们是钱。有时候,这些假的度假诈骗者会建立专门的网站,回复貌似官方的租赁协议和程序。其他的夫妇在他们一生中最难得的假期出现,然后发现另一对夫妇早在一周前出现,并使用了他们支付的所有旅游套餐和设施。像Airbnb这样的个人diy租赁网站的迅速出现,加上传统的craigslist类型的网站,使这更容易实现。
专家们说,要坚持选择可信赖的公司和专门的网站,这些公司和网站有防范假冒租赁诈骗的安全措施,还要特别注意那些希望你用电汇而不是信用卡付款的人。其他反诈骗网站建议在付款前亲自确认度假房屋,尽管有些骗子在合法的租赁公司工作并利用这些证书进行交易。
为了赎金,你的电视会被砖封起来
我们的电视越来越智能了。我现在可以用电视遥控器看有线电视、Netflix、亚马逊(Amazon)、Hulu和YouTube,以及浏览互联网。但随着我们的智能电视变成大屏幕电脑,它们带来了恶意软件和黑客的固有风险。事实上,至少有一台电视机已经砌砖了吗.“Brick”是一个术语,表示计算设备的状态被恶意破坏,如果没有至少一个新的固件写入,它将无法运行,而固件写入对于供应商的制造工厂之外的人来说可能很难甚至不可能完成。
长期反软件供应商TrendMicro去年发出警告勒索软件可以把电视变成砖头.勒索软件是一种恶意软件程序,它加密你的数据,然后要求钱来解锁它。在一个月多一点的时间里,TrendMicro检测到了他们发现的这个勒索软件程序的7000多个变种。幸运的是,这个特定的恶意软件程序只能感染一种特定类型的旧的、现已停产的智能电视。但毫无疑问,这只是第一波。恶意软件作者将编写更多针对电视的攻击代码。我可能不愿意花500美元来解锁我公司的笔记本电脑,但拿走我的家庭娱乐系统,我可能愿意更快地掏钱。
你的手机会被复印
如果你认为勒索软件很可怕,恶意软件作者用doxware做得更好。doxware以一种名为doxing的黑客活动命名,它会锁定你的电脑或手机,并威胁要向全世界公布你的机密文件或聊天记录。你以为恋爱是秘密吗?小心doxware。不想让你公司的最高机密知识产权泄露给你的竞争对手?更好的支付。
黑客们已经知道,定期的离线备份可以抵御勒索软件的攻击,但威胁公开令人尴尬或有价值的信息,窃取流行信用卡广告中的一个短语,是无价的。
你的设备会攻击其他人
黑客们正在将数十万到数百万的用户设备聚集到流氓僵尸网络中,以完成他们恶意的任务。安全摄像头和物联网设备被用来发送垃圾邮件,进行大规模拒绝服务攻击,以及窃取数字货币。黑客使用专门设计的机器人来寻找和破坏预定义的物联网设备。这里,海报上的孩子是Mirai这是一款基于linux的机器人,于2016年初面世。它的源代码于2016年10月发布很快就被其他犯罪团伙利用。
Mirai试图使用Telnet (TCP端口23)和预定义的非常弱的密码(“admin”、“12345”、“password”)登录脆弱的IoT设备。如果成功,它将尝试禁用其他远程管理登录方法(SSH、HTTP等),然后尝试连接到它的命令和控制服务器,以获得它的下一个指令和目标。研究人员发现了数以百万计的潜在易受攻击的设备。人们不知道他们的无线路由器、网络摄像头和冰箱正在被用来攻击他人。一般用户可能只会注意到自己设备的一些迟缓或缓慢,如果在计算机世界中迟缓是正常的,谁会责怪物联网机器人呢。
物联网机器人正在成为最热门的新型恶意软件类型,就像之前的勒索软件和电子邮件病毒一样。问题变得如此之快,以至于世界各地的许多政府机构都在展开调查。预计2017年将出台新的物联网制造法律法规。不幸的是,在我们知道物联网僵尸网络之前,数以亿计的物联网设备已经被编码,它们正等着被利用。
你的生物识别身份将会被出售
密码正迅速成为不受欢迎的人,很快被双因素和生物识别认证所取代。许多人认为生物识别身份是最好的解决方案;毕竟,谁能伪造你的视网膜扫描?事实证明,有很多人。大多数用户没有意识到他们的生物识别身份被存储为数字文件。有时,生物特征识别是完全按原样存储的(也就是说,你的指纹印痕是完全像你的指纹一样存储的)。更常见的情况是,你的生物识别身份被存储为一个中间代表形式。例如,大多数数字指纹存储时看起来像一个星群,每个脊和值之间都有线。
无论哪种方式,因为你的生物识别身份被储存起来,以便将来进行认证,黑客可以像窃取你的密码一样轻易地窃取它。他们可以在任何使用过生物识别身份的系统上回收你的生物识别身份。唯一的区别是,如果您的密码被泄露,您可以更改您的密码。你还不能改变你的视网膜。当你的生物识别身份被窃取时,基本上你的身份将在你的余生中被窃取。
这就成了一个大问题,尤其是当大型生物特征数据库被盗时,比如2015年美国个人管理办公室抢劫案据我所知,在上世纪90年代,有人的指纹被偷,他们收到了一封政府信函,告知他们的指纹被偷。