围绕物联网产品开发的安全薄弱,美国参议员马克·r·华纳(弗吉尼亚州民主党)今天发出了一份信向联邦通信委员会(FCC)、联邦贸易委员会(FTC)和国土安全部(DHS)询问原因和可以做什么来解决这个问题。
参议员马克·华纳(Mark Warner)
在这封信中,华纳是参议院情报特别委员会成员和两党联合创始人参议院网络安全会议,提出如下问题:互联网服务提供商应对DDoS威胁的网络管理措施有哪些?isp将不安全的网络设备指定为“不安全”,从而拒绝它们连接其网络,包括不分配设备IP地址,这是否合理的网络管理实践?
+更多关于网络世界有个足球雷竞技app:司法部:怎样才能起诉联邦计算机犯罪?+
“弱者安全连接的许多新消费设备为攻击者提供了一个有吸引力的目标,利用带宽和数以百万计的设备的处理能力,他们中的许多人没有隐私和安全措施,沼泽互联网网站和服务器的压倒性的体积流量,”参议员华纳在一份声明中说。“我感兴趣的是,就新的和改进的工具,以更好地保护美国消费者、制造商、零售商、互联网网站和服务提供商,听取专家意见和采取有意义的行动。”
华纳表示,许多物联网产品的薄弱安全特性可以让黑客访问用户数据,为家庭或工作网络创造容易的入口,并允许黑客劫持设备进入庞大的僵尸网络,这些僵尸网络用来向特定的互联网网站和服务器发送大量数据。“僵尸网络通常被称为‘僵尸电脑’,这个比喻是恰当的:恶意分子用恶意软件感染毫无戒备的电脑和网络设备,向大量受到攻击的电脑发送远程命令,恶意地破坏互联网的某些部分。专家表示,这就是上周五发生的事情,暂时影响了Twitter、Netflix、PayPal和其他热门网站。”
+更多关于网络世界有个足球雷竞技app:你的机器人医生大人现在要见你了+
华纳参议员给联邦通信委员会(FCC)的信是这样的:
2016年的10月25日
尊敬的汤姆·惠勒
主席
联邦通信委员会
西南12街445号
20554年华盛顿特区。
亲爱的主席惠勒,
在过去的两个月里,我越来越担心地看到,一个越来越大的受感染设备网络被用来实施有史以来最大的分布式拒绝服务(DDoS)攻击。据全球电信供应商Level 3 Communications称,“Mirai僵尸网络”的源代码自10月1日首次公开以来,已经增长了一倍多。Mirai僵尸网络通过控制高度不安全的设备,如“物联网”(IoT)产品,并使用它们将削弱网络流量从这些受影响的设备发送到特定网站、web主机服务器和互联网基础设施提供商。通过用这种恶意软件感染消费者设备,攻击者可以劫持用户设备的通信能力,使用大量的设备以压倒性的流量淹没网站和服务器。作为参议院网络安全核心小组的联合主席,我希望你们对这些事件提出的一些重要问题做出迅速回应。
虽然Mirai攻击的确切形式并不新鲜,但这种大规模攻击的规模却是前所未有的。许多物联网设备的薄弱安全性为DDoS攻击者提供了一个有吸引力的目标,利用数百万连接设备的带宽和处理资源。僵尸网络通常被称为“僵尸电脑”,这个比喻很贴切:恶意程序用恶意软件感染毫无戒备的电脑和网络设备,向大量受到攻击的电脑发送远程命令。分析人士还注意到Mirai命令和控制(C&C)服务器(攻击者用来向僵尸网络发送这些远程命令的平台)的动态特性,恶意运营商切换C&C服务器的速度远远快于过去的僵尸网络攻击。美国计算雷竞技比分机应急准备小组(US-CERT)在其警告中指出,Mirai源代码的发布增加了创建类似僵尸网络的风险,承认至少有一个新的独立恶意软件家族以类似Mirai的方式利用物联网漏洞。
Mirai的有效性在很大程度上取决于大量网络设备固有的低安全水平。攻击者对IP地址进行广泛扫描,搜索安全性较差的设备,如出厂默认或硬编码(即不可更改)密码,公开可访问的远程管理端口(类似于开门),以及容易受到暴力破解攻击。在我6月6日写给美国联邦贸易委员会(FTC),我发现了一些严重问题,这些不安全的扩散连接消费产品,注意的是,“提过数字存储成本和网络连接可以连接一个难以想象的范围的互联网产品和服务,“可能没有足够的市场激励来采取适当的隐私和安全措施。瞻博研究公司(Juniper Research)预计,到2020年底,物联网设备的数量将从134亿件增长到385亿件,但目前还没有要求设备包含哪怕是最低水平的安全。互联网的开放架构一直是其增长的催化剂,允许大量设备和服务连接到一个全球性的、可互操作的网络。然而,缺乏闸门功能可能会对互联网的弹性造成系统性风险。
此外,此类设备供应链的全球性要求不仅要关注最终产品集成商的做法,还要关注整个制造过程中的供应商的做法。在最近的Mirai僵尸网络中,研究人员已经确认,一个软件供应商对许多制造商产品的漏洞负有责任。Flashpoint得出结论,由于一个供应商的管理软件中有一个可利用的组件,超过50万台连接的设备对Mirai有漏洞。如今的制造商充斥着廉价、不安全的设备,几乎没有市场动机去设计考虑安全的产品,或提供持续的支持。买家似乎无法根据相互竞争的安全特性在产品之间做出明智的决定,部分原因是没有明确的衡量标准。由于这些不安全的物联网设备的生产商目前不受任何标准要求、市场反馈或责任担忧的影响,我非常担心我们正在目睹一场“公地悲剧”对互联网继续运行的威胁,由于安全对所有互联网用户都至关重要,因此没有人可以对此负责。此外,尽管买家尽了最大努力,但当安全故障发生时,他们几乎没有追索权。
根据联邦通信委员会(FCC)的开放互联网规则,isp不能禁止在其网络上安装“无害设备”。然而,在目前情况下得出结论似乎完全合理,具有某些不安全属性的设备可能被认为对“网络”有害——无论是ISP自己的网络还是它所连接的网络。在保持警惕,确保此类禁令不会成为反竞争或排他行为的借口的同时,我将鼓励监管机构在这方面向互联网服务提供商提供更明确的信息。
DDoS攻击可以成为审查、刑事勒索或民族国家侵略的强大工具。Mirai源代码之类的工具,通过全球范围内的不安全设备的嵌入式基础,实现的不仅仅是孤立的滋扰;这些能力——甚至是武器——可以削弱一系列经济活动。尽管互联网在设计时并没有考虑到安全问题,但作为其生命力原则的弹性如今正受到削弱。
我恳请您回答以下问题:
1.互联网服务提供商有哪些类型的网络管理实践来应对DDoS威胁?在FCC的《开放互联网令》中,委员会建议isp只有在解决“对特定网络基础设施构成拒绝服务攻击的流量”时才能采取此类措施。你们是否认为Mirai攻击的目标是“特定的网络基础设施元素”,以确保isp做出回应?
2.isp将不安全的网络设备指定为“不安全”的网络设备,从而拒绝它们连接其网络,包括不分配设备IP地址,这是否合理的网络管理措施?这样的实践是否需要重构路由器软件,如果需要,这是否会使这种方法的可行性变得复杂?
3.您向物联网设备零售商提供了哪些建议,或与他们直接接触,以提醒他们销售的某些设备的风险?展望未来,哪些属性可以帮助你判断某一特定设备是否向零售商或消费者发出了风险担保通知?
4.你会采取什么策略,将那些被认为对网络有害的设备从商业流中剔除?供应商是否可以采取补救措施,比如打补丁?你会采取什么策略来关闭或召回嵌入式消费类设备?
5.贵公司曾发布过哪些消费者建议,以提醒消费者注意特定设备的风险?
6.大量的报告表明,用户经常无法安装相关更新,尽管它们是可用的。在某种程度上,某些设备安全功能可以通过软件或固件更新来改进,您将如何确保这些更新得到实现?
7.消费者是否有能力根据产品的安全特性来区分产品?是否需要正式的或第三方的度量标准来为消费者建立评估产品的基线?如果是,你们机构是否采取措施建立或敦促建立这样的基线?
8.制造商是否必须遵守最低技术安全标准?贵机构是否与美国国家标准与技术协会讨论过建立有意义的安全标准的可能性?
9.设备安全测试和认证的可行性(包括制造商的额外成本)是什么?类似于目前由联邦通信委员会根据47 CFR Part 2进行的设备测试和技术标准认证?
期待您的回复。
真诚地,
马克·r·华纳
雷竞技比分美国参议员