勒索软件是网络世界里常见的瘟疫——它已经存在超过25年了,在过去的十年里变得越来越普遍。
但是,直到最近,它更多地针对组织或个人计算机,而不是设备。这种情况正在改变。随着物联网(IoT)的爆炸式增长——预计到2020年将有多少联网设备被使用——专家们表示,这将在消费者层面变得更加普遍。如此广泛和脆弱的攻击面对网络罪犯来说是不可抗拒的。
[也:许多受害者勒索恳求与袭击者]
到目前为止,大多数的头条新闻仍然是关于组织上的违规——这是最多的违规之一最近是在好莱坞长老会医疗中心在洛杉矶,它支付了$ 17,000名赎金由谁安装了恶意软件,它的一些设备的加密文件,黑客要求。
即使公安部门已跻身于受害者,通常最终支付了赎金没有被削弱,但一种不祥的提醒,在这种攻击的加密通常是非常结实坚固,甚至专家都无法打败它。
在消费者层面,个人的赎金要求也不会很高,因为潜在受害者的数量为精明的罪犯提供了巨大的财富。
一些专家已经预测对于一年多来,消费者勒索将变得非常普遍,它可能成为生活费用的麻烦,但日常工作的一部分。
They say people could end up paying $20 to $100 or more a month in “rent” to digital mobsters just to make sure their car will start in the morning, their doors and windows won’t get unlocked remotely, their electric bill won’t show twice the actual energy use, their appliances won’t go haywire and their TV won’t turn into a spy camera. There is the realistic possibility that a ransom could be demanded to keep an embedded medical device from turning lethal.
事实上,连接消费电子设备范围从电视到汽车,网络游戏,玩具,枪,可穿戴健身追踪器,智能家电,恒温器,灯,墙壁开关,沙发,牙刷,运动传感器,车库门,婴儿凸轮,家庭安全系统,工具监控,烟雾报警器,嵌入式医疗设备 - 几乎任何可以连接。
孙达拉姆Lanskmanan,技术副总裁,CipherCloud
正如Social-Engineer的创始人、首席执行官和首席人类黑客克里斯•哈德纳吉(Chris Hadnagy)当时所说的那样,“想象一下这样一个世界:一台咖啡机就能破坏整个网络——你不必想象——我亲眼见过。”支持网络的设备意味着,如果有人想要改变、调整、监视、监听和使用该设备,他们可以随意改变、调整、监听和使用该设备。”
即使有了所有这些警告,妥协仍然容易得令人担忧。大多数甚至没有基本的内置安全。而且,当发现漏洞时,并不总是很容易甚至不可能更新或修补它们。
因此,毫不奇怪,尽管它没有成为头条新闻,但消费者层面的违规行为和勒索软件的增长正在统计数据中显现出来。联邦调查局发布了声明去年6月,它已记录992个与刚刚一个变体勒索,CryptoWall的投诉,2014年4月和2015年6月之间,1800万$结合的损失。
预计情况会变得更糟。“我们将看到更多的基于碘的入侵,”CipherCloud的技术副总裁Sundaram Lanskmanan说。“如今推出的每一款设备似乎都有互联网连接。从生产到固件更新,在生产阶段结束后的任何时候都可能发生黑客攻击。”
超过金钱或数据只是损失危在旦夕为好。“有丢失计算机数据和涉及房屋或汽车的安全风险之间有很大的区别,”在卡耐基梅隆大学软件工程研究所的CERT部门的高级漏洞分析师Will杜曼说。
他说:“当你连接更多的真实世界设备时,可能会有涉及人类生活的风险,而这些风险显然要严重得多。”
将Dormann卡耐基梅隆大学软件工程研究所CERT部门高级漏洞分析师
In-Q-Tel公司的CISO专家、美国情报机构的顾问丹·吉尔(Dan Geer)提出了另一种不祥的可能性。他说,金钱可能是物联网攻击早期阶段的主要动机,“但从长远来看,传感器网络中的虚假信息很可能会引起人们的兴趣,就像把东西编组成僵尸大军一样。”
正如海瑟薇在《60天》中所说“网络空间政策评估”在奥巴马的第一任期一开始,在国家一级的主要目标是国防工业基础以及与全球主导地位的高科技公司;次级目标是上述的对手;和第三是可以为在二次攻击平台的任何设备,”他说。
这也带来了潜在的法律噩梦。Lanskmanan指出,虽然根据联邦法规,汽车必须具备类似尾灯的操作功能,但“如果一个物联网黑客在高速公路上破坏了尾灯,谁将为此负责?”
当然,市场可能会因为安全问题而惩罚供应商,比如拒绝购买那些以容易被黑客入侵而闻名的产品。
但多曼表示,实际现实情况是,大多数消费者不会太多考虑安全问题时,他们购买的“智能”设备 - 他们专注于功能和价格。“安全性通常不是购买决策的一部分,”他说。
或者,正如加密专家、弹性系统的作者和首席技术官布鲁斯•施奈尔(Bruce Schneier)不止一次地指出的那样,“人们不在乎,因为他们不知道该在乎什么。”
然而,Cylance的研究主管扎克•拉尼尔(Zach Lanier)等专家表示,现实并非完全暗淡。他指出,许多消费设备“可能无法在本地存储足够的数据,因此不值得锁定用户,更不用说工厂重置可能会解决这个问题——假设攻击者没有篡改或以其他方式显示恶意的、不可靠的固件。”
扎克尼尔, Cylance公司研究部主任
此外,鉴于人们对日益增长的威胁的认识,应对其安全风险的努力也越来越多。这些措施包括BuildItSecure.ly中,云安全联盟物联网工作组BSIMM和开放Web应用安全项目(OWASP)。
参与BuildItSecure的拉尼尔说。他说,目标是“识别组成物联网设备的各种组件,以及支持服务,以及它们各自的漏洞和威胁;并帮助对供应商和客户进行必要的培训,以确保这些产品和平台的安全性。”
另一个例子是报告本月早些时候,IEEE安全设计中心(IEEE Center for Secure Design)发布了题为《穿戴式健康追踪器的安全设计分析》(WearFit: Security Design Analysis of a Wearable Fitness Tracker)的报告,指出了可穿戴设备行业应该解决的安全缺陷,并提出了针对这些设备的安全指南。
和布赖恩·威滕,高级主管,物联网,赛门铁克表示,他的公司正在推动其所谓的“安全的四大基石”为物联网设备,其中包括具有用于现场更新的能力。
布莱恩·威滕,物联网高级总监,赛门铁克
他说:“如果没有更新设备的能力,你就无法预测未来几年它们将如何受到攻击,而攻击者非常敏捷。”
然而,字段更新本身也有风险。哦,戴着黑帽子主题演讲指出,如果设备远程管理接口,“技能将关注的对手,一旦取得突破,将使用这些同一管理功能,确保他不仅保留控制长间隔,但是,你将不可能知道他是。”
Geer建议嵌入式系统变得更像人类——因为它们“一定会在某个固定的时间内死去”,因此会被取代。
然而,所有这些都可以被描述为改善物联网消费者安全的“胡萝卜”激励——它们提供帮助和鼓励,但对松懈的安全没有制裁。
目前还没有法律规定物联网消费者设备的具体安全要求。甚至没有一个互联网机构的认可印章可以与美国保险商实验室(UL)相媲美,正如多尔曼所说,UL负责对产品进行测试和认证,因此,“消费者有一定的把握,它不会烧毁你的房子。”
但“大棒”激励正在发展,如果逐步显现。美国联邦贸易委员会(FTC),在报告发行超过一年前,建议国会通过,“强劲,灵活和技术中立的联邦立法,以加强其现有的数据安全性的执法手段,并提供通知给消费者时,有一个安全漏洞。”
除此之外,该机构还表示,物联网设备开发商“应该在一开始就在他们的设备中建立安全机制,而不是事后才考虑”,这个过程应该包括“在发布产品之前测试他们的安全措施”。
谁不这样做,供应商可以通过FTC的针对性。就在本周,台系电脑硬件厂商华硕电脑答应了沉降与机构对指控在其家用路由器的安全漏洞,“把成千上万的消费者处于危险的家庭网络。”
大多数家用路由器都是出了名的不安全的但联邦贸易委员会的行动可能是第一个信号,表明政府可能会为此承担后果。
美国联邦贸易委员会消费者保护局的律师Jarad Brown指出,即使没有具体的立法,未能为设备提供安全保护也可能构成“不公平或欺骗”——这种行为可能导致联邦贸易委员会的制裁。
Geer推荐了几项可以提高安全性的修改,其中包括要求开发人员严格负责替换“100页的EULAs(最终用户许可协议)”,在该协议中,消费者必须同意,任何问题都不是开发人员或制造商的错。
他还表示,"独立的破坏性测试"可能会有所帮助,并补充称,UL和诸如Zurich和GenRe等大型再保险公司"正在发出一些有用的声音",因此可能会有这样的举措。
拉尼尔是乐观的情况会好转。他指出,挑战的一部分只是紧跟科技步伐 - 许多公司都生产的产品,如烟雾报警器,温控器和玩具甚至几十年来从未有过的互联网连接,而现在他们做的。
“不过,缓慢但稳步地,这是总的变化,”他说。“供应商一般都具有成为安全开发规范,漏洞处理的详细熟悉,等等。”
威滕同意。“我们正在与多家机构合作,使客户更容易知道多少保障已建成的设备,他们考虑购买的系统,”他说。
这篇文章,“勒索软件崛起”最初是由方案 。