用手机开启车库门,或者通过给车钥匙发信息找到它们……物联网给人们带来了很多便利,但最近Shodan这一搜索引擎显示出的强大功能使人们意识到:应该更加严肃地对待“物联网”安全。
这一次,科技网站Ars Technica给出了一个不支持物联网的更加坚决的理由:该搜索引擎可以允许用户从任一缺乏安全防护措施的网络摄像头中取得直播视频。这个监控范围从饲料厂到后花园,从办公室到商店,甚至可以入侵父母为监控熟睡婴儿安全所安装的网络摄像头。
Shodan是约翰·马瑟利在2009年举办的DEFCON黑客大会上发布的,其名字取自风靡一时的电脑游戏System Shock中的邪恶主机,该搜索引擎会扫描每一个互联网设备来寻找安全漏洞。
截至目前,Shodan除了揭露已出现的漏洞外不承担其他任务,但这并没有使它免遭批评。安全专家马克·古德曼(Marc Goodman)在他的书《Future Crimes》中说:“它为国家、企业甚至任何设备提供搜索服务和详细的使用方法,并为任何想要入侵重要基础设施的个人极大地降低了技术难度。Shodan如今将技术难度降得更低:它为那些支付49美元的用户演示如何轻松地发现并从具有漏洞的联网摄像头传输镜头画面。
2015年9月,一位供职于专业网络安全国际公司的法国主管曾表示,他们公司可以利用互联网发现“法国所有与互联网连接的核电站”。而在2012年,另一群匿名网络探险家简单地尝试以“用户”或“管理员”身份及同样的密码登录,便接入了超过40万台设备。随着互联网连接设备的兴起,他们能入侵的设备可能会更多。
可预见默认密码甚至未设置密码的的网络摄像头仍在被广泛使用。虽然谷歌旗下的监控摄像头Dropcam有很高信誉保障,但在价格上它无法与更大众化的品牌竞争。
科技网站Ars Technica认为,最好的解决办法是“大棒加胡萝卜”,软硬兼施。首先,需要信息专员办公室这样的机构改变策略,采取更加有效的措施。但事实上,这些机构目前采用“玩打地鼠”的方法,仅仅对已浮出水面的问题采取行动,无法从根本上解决问题。
此外,生产厂家加强自律也很有必要。一个叫“我是骑兵”的草根组织是这样做的——上周,由公众自发组成的网络安全志愿者提出了针对联网医疗设备的“希波克拉底誓言”,该誓言以拯救人命及遵守医业道德为准绳。他们建议设备生产厂家遵循“及时、敏捷和安全更新”的原则,并与第三方研究人员合作确保潜在的安全问题可以被上报。
在未来的某一天,类似的宣言可能会被印在物联网设备的包装上,让客户确信他们的商品提供商很严肃地对待安全问题。在那之前,用户还是先花时间来更改默认密码,以保证自身远离Shodan的监控。