每个人都听说过这样的事:企业主被迫向暴徒支付“租金”,以确保他们的大楼不会“意外”被烧毁或遭受其他一些蓄意的不幸。
但它可能很快就会平均消费者必须每个月支付20美元或更多的比特币各种数字“暴徒”,只是为了确保他们的汽车将开始在早上或刹车不会失败在高速公路上,左右他们的家将保持锁定在白天当他们在工作。
上个月早些时候,一组专家在一个小组会议上设想了一个反乌托邦的未来讨论这是乔治敦大学法学院“2020年网络犯罪:网络犯罪和调查的未来”会议的一部分。
他们已经看到了消费者网络犯罪的未来,它的名字是“ransomware”。
并不是说勒索软件是新的——它现在就存在,但主要是在企业或政府层面。“我们已经在网络存储设备中看到了它,”纽约大学理工学院的常驻黑客Dino Dai Zovi说。
在这些情况下,黑客通常会闯入一个系统,对数据进行加密,然后要求赎金,以换取解锁数据的密钥。
赛门铁克(Symantec)事件响应高级经理Robert Shaker(不在讨论小组中)也认为,这在企业级是一个大问题。“我无法告诉你有多少客户打电话来询问这个问题,”他说。“这是猖獗。”
但现在预计渗透到消费者层面,Dai Zovi预测支付需求很小,更多的麻烦比严重的财务损失,但为罪犯提供巨大的潜在利润,考虑到数十亿美元每年智能设备连接到互联网。
小组成员说,预测的犯罪策略转变有几个原因。首先,美国终于朝着使其信用卡系统更安全的方向发展,即所谓的EMV或“芯片密码”技术。这将使信用卡诈骗更加困难。
消费者勒索软件是“一种有规模的商业模式,特别是当我们控制了更传统的网络犯罪商业模式时,”戴左维说。“他们(网络罪犯)基本上是企业家,当一个新市场给他们带来比现有市场更好的回报,或者现有市场消失时,他们就会转移。”
另一个原因是,正如一段时间以来已经明确的那样,仅仅因为一个设备是“智能的”,并不意味着它是安全的。物联网(IoT)中的嵌入式设备是出了名的不安全。
另一位小组成员,帕洛阿尔托网络公司的首席技术官里克·霍华德观察到,即使是像微软这样擅长安全的公司,他们的软件也会出现问题。“汽车制造商不知道该怎么做,”他说。
这是一年前战术网络解决方案公司(Tactical Network Solutions)脆弱性研究员克雷格·赫夫纳(Craig Heffner)发出的信息。在一个讨论在美国联邦贸易委员会(FTC)主办的一次会议上,他表示,“消费电子设备通常没有任何安全保障,至少以今天的标准来看是这样。”
最后,联邦贸易委员会预测,到2020年,嵌入式传感器或设备的数量将达到500亿个或更多,显然它们可以提供几乎无限的攻击面。
到目前为止,这还不是一个大问题。但专家表示,它即将到来。
Shaker说,今天在你发动汽车之前被勒索赎金的可能性“非常小”。但他说,黑客攻击的脆弱性已经很明显,因为“我们已经看到,人们可以用他们的移动设备启动汽车。”
正如Social-Engineer的创始人、首席执行官兼首席黑客克里斯•哈纳吉(Chris Hadnagy)所说,“任何连接互联网或使用加密功能较弱的蓝牙的设备都很容易受到攻击。”
他说:“想象一下这样一个世界,一台咖啡机可以破坏整个网络。”“你不必——我亲眼看到过。网络设备意味着,如果有人破坏了它,就可以以任何他们想要的方式改变、调整、监视、监听和使用它。”
霍华德在乔治敦大学的小组讨论会上说,至少有一家汽车制造商在仪表盘上安装了一个Linux盒子,它不仅可以访问潘多拉这样的音乐服务和Facebook这样的社交媒体,还可以控制刹车和安全气囊。“当你的潘多拉和刹车都停止工作时,我无法想象DoS攻击会造成什么后果,”他说。
利维坦安全集团(Leviathan Security Group)风险和咨询服务主管詹姆斯•阿伦(James Arlen)表示,他认为可以从家庭自动化系统开始。他说:“值得注意的是恒温器的一个弱点——它与直接的安全性和财务成本相关。”“让温度上下波动是一个很棒的场景,在海因莱因1966年出版的小说《月亮是一个严厉的情妇》(the Moon is a Harsh Mistress)中运用得很有效果。”
当然,并不是每个人都必须有一个家庭自动化系统,把从恒温器到门窗锁和主要电器的控制都放到互联网上。
但消费者可能很难购买一辆没有联网的新车。
“现代汽车的黑匣子功能很难摆脱,除非诉诸于‘黑掉汽车,希望它一直被黑下去,’”阿伦说。
霍华德在一次采访中说,禁用汽车的联网功能“对普通人来说太复杂了”。
“作为一个行业,我们还没能说服普通消费者把他们的密码从‘密码’换成有意义的东西,”他说。“我们说服他们,在行驶中的汽车上运行互联网服务的危险可能比在他们的音响系统上收听潘多拉(Pandora)的便利更重要的几率有多大?”我觉得不高。”
未来不一定非得如此黯淡。但专家表示,制造商必须提高安全意识,消费者必须提高安全意识,双方都必须愿意在这方面投资。
霍华德说,他看到了“对一些能够建立物联网基础设施的企业家来说,这是一个巨大的机会。这可能会落到像AT&T和Verizon这样的大公司的头上。他们可以为所有这些物联网制造商提供安全可靠的连接服务。”
阿伦说,创造一个更安全的网络世界是可能的,但这需要钱。“有很多公司能够帮助确保从芯片到服务的安全,”他说。“这只是要求他们事先决定投资。目前,天使投资者或种子投资者还没有施加这种压力。”
他们还表示,消费者也可以采取措施,避免成为所谓的“容易摘到的果实”。
“你不必向世界上的小偷屈服,”Shaker说。“如果消费者使用终端安全解决方案来保护自己,不要玩弄设置,并保持其正常运行,你被妥协的几率将大大降低。大多数(消费者恶意软件)是自动化的,不是针对目标的。
阿伦也提出了类似的建议,但他指出这是有代价的。“不要满足于‘便宜等于好’,”他说。“当消费者需要‘5个9’(99.999%可用性)、双广域网冗余防火墙/路由器、UPS(不间断电源供应)、商业规模/等级的WiFi等类似的东西时,我们就达到了良好安全的临界点。
“这将变成2000美元的资本投资和每月200美元的服务,但与你在沃尔玛花14.95美元买到的永远不会被修补的WiFi盒子,或电信公司(Telco)给你的‘在一个盒子里做所有事情’、永远不会被修补的东西相比,这是不被劫持和你最好在邻居的电脑上真正擅长使用比特币之间的区别。”
不过霍华德说,他认为无论是制造商还是消费者都还没有到那个程度。他说:“在这种情况改变之前,太空必须发生一些重大的事情——一些会影响大部分人口的事件。”“例如,如果有人因为黑客破坏行驶中的汽车而死亡,这可能会促使行业采取行动。”
或者,它可能只会让大众受到赎金要求的打击,即使这些要求相对较小。
“勒索软件会让你深受打击,”霍华德在讨论会上说。“消费者会感觉到的。我们将会看到更多的抱怨,一次EMV减少银行卡欺诈,这是由银行掩盖的。等着瞧吧,他们开始每月付给你20美元来启动你的车。”
这篇题为《被数字“暴徒”劫持索取赎金》的文章最初是由方案 .