简体中文
前不久,安全專家們在每年一度的黑帽安全技術大會上展示了各類攻擊手段,並讓人們意識到智慧設備的核心基礎設施——無線路由器和網路存儲系統的13個此前不為人知的安全缺陷。顯然,物聯網比我們想像的更容易受到攻擊。隨著這些不安全的互聯網設備的普及,新的威脅就不可避免,而企業將成為攻擊的首要對象。
黑帽安全技術大會是一個具有很強技術性的資訊安全會議,會議引領安全思想和技術走向。
當我們將那些“不智慧的設備換成物聯網智慧設備時,我們就讓這些設備有了遭到網路攻擊的可能。據報導,有些智慧電視已經可以遠端監控使用者的觀看習慣,而且還能夠遠端控制電視,以讓電視播放針對你的精准廣告。只要駭客稍微用點心思,他們也能查看你的觀看資料,並可抓取你在為電視節目支付費用時輸入的信用卡帳號和密碼。不僅如此,駭客還能夠劫持你的電視,讓其在你毫無察覺的情況下開啟攝像頭並錄影。隨著汽車、廚房用具和工業用電子設備的智慧化,所有這些設備都變成了可以攻擊的物件。
此外,像Fitbit、Google Glass和Pebble等諸如此類的智慧配件的出現,也讓無數的個人資訊面臨被竊取的危險,並可能引起其它網路犯罪。這些智慧設備可以記錄我們的各種私密資訊,比如所在的位置、心率、睡眠模式,甚至我們喜歡哪些活動,我們看了什麼東西,我們遇到了哪些人,我們談論了些什麼,以及我們去了哪些商店等等。除了威脅個人隱私安全,這些互聯智慧設備還可能給駭客們帶來了更大的“賺錢機會——攻擊企業。
物聯網設備之所以會給我們帶來這麼多麻煩,主要是因為這些設備為一些非常成熟的“社會工程攻擊方法提供了機會,比如釣魚郵件和其它欺騙性手段。欺騙別人最好的方法就是,收集盡可能多的關於他們的資訊,而物聯網的出現讓這一過程變得非常的方便和快速。
回想一下,2013年的時候,駭客們是如何成功攻擊法國一家跨國公司的?首先,駭客給該公司的副總經理的行政助理發了一封釣魚郵件,該郵件包含了一個指向一張存儲在檔共用網站的發票的下載連結。然後,說著一口流利法語的駭客冒充該公司的副總經理給行政助理打電話,並要求其立刻處理那張發票。該行政助理在下載“發票的同時將一個遠端存取木馬下載到了自己的電腦。憑此,駭客成功竊取到了該公司在境外的多個銀行帳號的大量存款。在這一事件中,駭客成功的關鍵是他們掌握了被害人足夠多的資訊,所以才能成功模仿被害人,並成功蒙混過關。
當駭客可以在被害人不知情的情況下,通過劫持其智慧電視、Fitbit、Google Glass等智慧設備來監控並學習該公司的副總經理或者其助理的聲音、習慣和偏好時,要想阻止這類攻擊將會變得更加困難。
當消費者使用或者佩戴著智慧設備,並在這些設備的包圍下生活時,作業系統和軟體的多樣化,將會給駭客們創造更多攻擊的機會。總的來說,用戶一般不會及時的更新軟體,因為很多使用者都沒有把軟體更新當做一種防禦攻擊的措施。因此,當一些安全性漏洞被曝光之後,駭客們會有一個很長的時間視窗期對已知安全性漏洞進行攻擊。
如果想要阻止社會工程攻擊,企業需要用他們在設計雇員的薪酬福利制度時,所表現出來的聰明才智去應對網路安全問題。許多公司都會給員工提供健身中心,並給予在家辦公的機會,同時還會提供免費的健康食品,因為這一切都有助於提高員工的生產效率,並且還能防止人員流失。同樣的,企業或許需要給員工制定一個家用網路安全計畫,以便將社會工程攻擊消滅于萌芽狀態。總的來說,在這個互聯時代,為了保證安全和隱私,我們需要像駭客一樣的思考。