• <bdo id="awaww"><center id="awaww"></center></bdo>
    <xmp id="awaww"><table id="awaww"></table>
  • 樓主 | 收藏 | 舉報 2020-02-20 19:53   瀏覽:971   回復:0

    無處可藏:物聯網帶來的9種新型黑客攻擊

     

    生活中方方面面的不安全設備組合,終將產生超出數字王國之外的種種影響。

    物聯網正朝著大多數計算機安全專家預測的糟糕方向飛奔。事實上,大多數廠商都沒能完全理解IoT設備引入的潛在威脅。鑒于聯網設備的激增,我們可能會急速撞上難以想象的災難。舉個例子,個人安全攝像頭,就曾被用來執行迄今為止全球最大型的拒絕服務攻擊,更不用提這些本應保護我們的攝像頭還能被利用來監視我們自身了。

    更糟的是,IoT設備中的漏洞,還會造成遠超數字范圍之外的種種后果。迎面而來的IoT攻擊浪潮,包括了那些可能傷人,乃至殺人的。這可不是什么猜測或者假說。這里討論的,是今日現實世界中已經成為可能的真實攻擊。然而,沒人對此做點什么來減少這些攻擊發生的可能性。

    下面9種黑客攻擊新浪潮,就是不遠的將來人們將要面對的。

    1. 心臟監測器將會被黑

    任何醫療設備,只要有可寫軟件,無線工作,或者接入互聯網,黑客就可以染指其上。計算機科學家和黑客已經攻破了心臟起搏器、心臟監測器、靜脈滴注設備、喂藥器和診斷設備——所有這些設備都有可能殺死病人。此類威脅經常引起我們的關注。

    但,醫療技術廠商似乎并非不擔心這些漏洞和黑客。新醫療設備的研發、測試和批準過程一般需要10年時間。美國醫療設備廠商必須遵守十幾個相互重疊的監管機構制定的指南和法律,包括食品藥物管理局(FDA)、聯邦通信委員會(FCC)、衛生與公眾服務部。而且,醫療設備廠商有意避免使用最新最好的軟件。通過減緩產品投放過程,使用更老更穩定的經驗證軟件,廠商覺得他們可以在設備面向大眾之前更好地根除潛在的問題。

    盡管如此,醫療設備遠未脫離被黑的風險。過去十年,發生了數百起醫療設備召回事件,其中大部分都是源于網絡安全問題。

    諷刺的是,緩慢的審查程序和圍繞醫療設備的監管規定,可能就是這些問題的禍根。一旦進入審查環節并向公眾發布,設備中的軟件和代碼就不能大幅更新。因此,醫療設備總是采用非常陳舊的技術。沒有醫療設備會利用計算機安全防御領域的最新進展;不僅如此,普通計算機中多年前就已清除的已知漏洞,也往往會在醫療設備中繼續留存。對醫療設備做滲透測試時,從普通計算機上早就被修復的漏洞利用開始,往往會有很好的效果。

    2. 汽車將會脫離掌控

    現在的汽車制造商,都喜歡把新奇的網絡功能,當成汽車本身的引擎、性能、風格之類的大打廣告。他們似乎覺得,如果比競爭對手功能少,就會失去千禧一代的買家。

    其中問題在于,汽車如今可以遙控開門,遠程制動引擎,甚至接收指令失去控制造成車禍。直到最近,汽車生產商才開始注意嚴密保護這些系統。該產業的多數專家表示,我們距離保證汽車“不會被黑”,還早得很。“嘗試了30多年,我們至今不能防護住計算機,有什么理由覺得我們在汽車上就能做到?”

    真是個好問題。而且,很多業內人士也說,完全護住汽車的整個系統不受黑客攻擊,甚至不是他們的主要目標。更現實的目標是,讓關系生命安全的系統,比如引擎和剎車,不會被黑。“誰關心黑客會不會改了你的音響頻道或者修改GPS聲音風格???但我們絕對要能夠阻止壞人染指可危及人類生命的東西。這一點我們還是能做到的。”一位汽車安全專家說。

    3. 輕輕一按,房門大開

    竊賊開始關注我們的智能家居。家里能通過網絡或無線控制的任何設備,同樣可被黑客操控。大門鎖如今可以遙控打開,警報系統可被停用,車庫門可以開啟,恒溫器可以被操縱。甚至冰箱都已經可以被黑來發送垃圾郵件了。

    隨著智能家居越來越流行,可以預想到竊賊對這股風潮的利用??梢园磦€按鈕就打開前門或車庫門,又何必費事破窗而入呢?傳統罪犯很擅長采納更低風險的方法的,尤其是在感覺有一堆智能設備的家里更有可能擺著昂貴物品可偷的時候?;旧?,廠商在電子鎖安全方面沒比當前技術有大幅提高的話,暫時還是不要把自家的安全交托給這些電子鎖頭為妙。

    4. 假期也會被盜被騙

    一對夫妻辛苦駕車一整天,終于來到了度假勝地基韋斯特島。他們之前就簽署了租屋協議,匯款后隔天就受到了租屋的鑰匙。但當他們來到時,鑰匙卻開不了門。無奈之下,只好敲門。

    不一會兒,睡眼惺忪的屋主打開了門。從這對夫妻身后堆滿行李的汽車,她就看出發生了什么。她家房子“又”被“虛假租賃”出去了。這一回,屋主女士能夠告訴被騙旅客遭遇了什么,然后留給他們當地警署的電話了。這次的結果至少比上一次好。上一次她是休假回來才發現自家后院泳池竟然有一家古巴人在聚會玩樂。

    這種事每天都有數百起。歡欣雀躍去度假的家庭,終于到了夢想中的度假小屋,卻發現人家根本不是出租屋,而自家已經耗盡錢財。有時候這些虛假假期詐騙犯會專門弄個網站來干這事,租賃協議和流程看起來都特別官方。也有的夫妻到達自己一生之旅的度假小屋時,發現已經有另一對夫妻在一周前就進駐了,已付款的所有配套設施均被用過。Airbnb之類個人自助租屋網站的興起,結合上傳統的Craigslist型站點,讓此類租屋騙局更容易實現。

    專家建議:去信譽良好的公司和專業網站,他們有預防虛假租賃騙局的措施;特別注意那些讓你電匯而不是使用信用卡的人。其他反詐騙網站則建議,可能的話還是在付款前親自確認一下假期租賃房屋,雖然有些詐騙犯實際上就在合法租屋公司工作,交易這些憑證。

    5. 不交贖金不給你看電視

    我們的電視機也越來越智能了。有限、Netflix、亞馬遜、Hulu、YouTube都能看,還能上網沖浪,用遙控器就行。但隨著我們的智能電視越來越像是大屏計算機,他們也繼承了計算機固有的惡意軟件和黑客風險。事實上,至少有一臺TV已經被“磚”了。“磚”是用來描述計算設備狀態的一個術語,表示該設備如果沒有重寫固件,就不能正常操作,而寫固件這種事,除了制造商,其他人很難,乃至不可能做到。

    反惡意軟件廠商趨勢科技去年就警告過,有勒索軟件可以“磚”了電視機。勒索軟件就是加密數據索要贖金的惡意軟件程序。僅僅一個多月,趨勢科技就檢測到其發現的某勒索軟件程序的7,000多個變種。幸運的是,該惡意軟件只能感染特定類型的已停產智能電視。但,這無疑僅僅是第一波智能電視勒索。惡意軟件作者會編寫出更多的智能電視攻擊代碼。沒人想花 $500 解鎖公司電腦,但鎖定家里的娛樂系統?恨不得分分鐘付錢找回在追的劇。

    6. 手機變隱私勒索利器

    如果你覺得勒索軟件已經很恐怖了,惡意軟件編寫者會用隱私勒索軟件(doxware)再刷一次你的三觀。隱私勒索軟件會鎖定計算機或手機,威脅要向公布機主機密文檔或隱私聊天記錄。覺得出軌什么的很隱秘?小心隱私勒索軟件。不想讓公司頂級秘密知識產權被泄露給競爭對手?最好還是付款吧。

    黑客早就知道定期離線備份可以打敗普通勒索軟件了,但威脅曝光羞辱性或有價值信息,盜取流行信用卡廣告語,就是無價的了。

    7. 你的設備也會攻擊其他人

    黑客正往流氓僵尸網絡中聚集成千上萬的用戶設備以完成他們的邪惡任務。安全攝像頭和IoT設備被用于發送垃圾郵件,執行大規模拒絕服務攻擊,盜取數字貨幣。黑客通過精心設計的僵尸主機尋找并圖片預定義的IoT設備。這一領域,無人能出Mirai其右。這個基于Linux的僵尸網絡在2016年初出江湖,其源代碼當年10月公布,并立即被其他很多犯罪團伙利用。

    Mirai嘗試登錄使用Telnet(TCP 23 端口)和預定義弱口令列表(“admin” 、“12345” 、“password”)的脆弱IoT設備。如果成功,先禁用其他遠程管理登錄方式(SSH、HTTP等等),然后嘗試連接其命令與控制服務器,獲取下一步指令和目標。研究人員以及發現了數百萬臺潛在脆弱設備。人們不知道自己的無線路由器、互聯網攝像頭和冰箱被用于攻擊其他人。所有普通用戶都可能注意到的,是自己設備變得遲緩,但是計算世界里延遲本就是個常態,誰又回去怪罪IoT僵尸網絡呢?

    IoT僵尸網絡正在成為最熱門的惡意軟件新類型,就像勒索軟件之前一樣,更久遠一些的熱門惡意軟件則是電子郵件病毒。這一問題正快速惡化,以至于全球很多政府機構都在展開調查??梢云诖?span>2017年將有新的IoT生產法律和監管規定出臺。然而,不幸的是,在我們知道有IoT僵尸網絡之前,就已經有上億臺IoT設備存在了——坐等被利用中。

    8. 生物識別身份將被售賣

    口令越來越不受歡迎,將很快被雙因子和生物識別身份驗證所替代。很多人覺得生物識別身份是最好解決方案;畢竟,誰能偽造你的視網膜掃描呢?然而,能做到的人簡直不要太多。大多數用戶都沒意識到他們的生物識別身份是存成數字文件的。有時候,該生物識別身份就是原樣存儲的(也就是,你的指紋印象就存成你指紋的樣子)。更經常的情況是,生物識別身份被存成中間呈現的形式。比如說,大多數數字指紋都被存成看起來像是星座圖的東西,每個脊和峪之間映射有線段。

    無論如何,因為你的生物識別身份終要存儲下來供將來身份驗證使用,黑客就能像盜取口令一樣也把它偷走。而且,他們能在任何使用該生物識別身份的系統上循環使用之。唯一的區別就是,如果你的口令被盜,直接改了就是了;但你改不了你的視網膜(至少現在不行)。只要你的生物識別身份被盜,基本上,余生都要跟人共用身份了。

    如果大型生物識別數據庫被盜,那樂子就大了,就像2015年美國人事管理局(OPM)500萬指紋信息被盜一樣。那次事件中,90年代被取了指紋的人收到了來自政府的“您的指紋已被盜”通知函。

    周所周知的全球最大指紋庫,FBI的綜合自動指紋識別系統(IAFIS),包含了至少7000萬枚指紋的信息。上萬網站和成百上千的電腦都能訪問這些文件。若說沒有未授權實體訪問過IAFIS并拷走了全部東西,那不是太奇怪了么?就跟說每臺IoT設備都超級安全一樣奇怪。因為身份驗證的未來就是雙因子,生物識別占主導,很有可能你的生物特征會像如今賣得正火的信用卡信息一樣被出售——頻繁而又廉價。

    有鑒于此,大多數計算機安全專家認為,所有生物識別身份驗證方案,都應該要求至少至少另一種身份驗證因素,單憑生物識別特征不能訪問敏感信息。黑客或許會有你的視網膜掃描,但希望他們沒有你腦海中的PIN碼。

    9. 植入定位芯片的小孩被拐

    這個還沒發生。目前還沒人往自家孩子身體里植入GPS追蹤芯片。但是,我們已經開始往寵物體內植入芯片了。沒準兒哪天這個世界就允許往自家孩子身上弄這種玩意兒了呢。事實上,一些非常聰明的人已經開始詢問是否已經到了可以這么做的時候了。

    但是,能夠用GPS芯片追蹤自家孩子也有個不想要的附帶后果——其他人也可以追蹤他們了。政府官員和芯片制造商是肯定會宣傳這些芯片有多么安全的,正如病人數十年來一直被告知醫療設備有多么安全一樣。然而,當芯片植入成為常規,人販子也會利用這同樣的技術來拐孩子。正如今天的普通罪犯都知道該扔掉受害者手機以避免警方追蹤,未來精通互聯網的罪犯自然也會挖出煩人的GPS追蹤芯片。只是時間問題而已。

    或許,我們可以首先有意識地拒絕進入這么個反烏托邦的未來。

    無論如何,我們的世界只會變得更加聯網化,供應數字設備的廠商卻沒能做足安全保護工作。就像現在,面對APT攻擊和勒索軟件,計算機安全專家無不懷念當年只有腳本小子和音樂播放宏病毒的時代,我們很快就會渴望只有計算機才會被黑的日子了。

    (來源:安全牛 nana 轉載:畢安信息)

     

    畢安信息,全稱畢安信息安全技術(上海)有限公司,是一家物聯網安全公司。專注于應用軟件和硬件安全防護以及整體安全解決方案,主要從事有關物聯網安全、互聯網安全的軟硬件保護、數據加密、安全防范、下一代防火墻技術、防黑客攻擊的技術研發工作,致力于向客戶提供專業化的網絡安全產品和數據安全防護服務。產品包括畢安云盾 I,II,III 型軟件產品,以及畢安云盾安全防火墻、堡壘機等專業信息安全防護設備,能滿足用戶在協同平臺、智慧工地、智慧建筑以及智慧城市網絡安全和數據安全等業務場景的各類需求。

    網絡安全的核心是技術安全, 網絡安全必須實現關鍵核心技術自主可控,對于物聯網來說也不例外,安全可控是構建物聯網生態并保障其發展的必由之路。畢安信息作為國內首先應用“畢安云盾”等信息安全產品于物聯網安全、建筑工程信息安全領域的先驅者,將致力于研究、研發全面系統的智慧建筑網絡安全、智慧城市網絡安全、智慧園區網絡安全、智慧工地網絡安全、協同平臺網絡安全的解決方案及信息安全產品,為建筑物聯網+互聯網全生命周期的安全運營保駕護航!

    打賞
    關于我們
    關于我們
    本站動態
    免責聲明
    聯系我們
    我們的服務
    會員服務
    廣告服務
    排名推廣
    積分商城
    幫助中心
    積分規則
    網站留言
    友情鏈接
    網站地圖
    關注我們
    新浪微博
    RSS訂閱
    微信公眾號
    手機版
     
    无码亚洲成a,国产幕精品无码亚洲精品,国产无AV码在线观看vR高清片
  • <bdo id="awaww"><center id="awaww"></center></bdo>
    <xmp id="awaww"><table id="awaww"></table>