勒索软件已经存在了几十年,但一直主要针对企业或个人电脑。但是当无数设备组成了价值千万亿的物联网时,没有网络犯罪分子能够抵抗这种诱惑......
物联网中的新威胁—勒索软件
在互联网世界,勒索软件是十分常见的,它已经存在超过25年,而且在过去的十年中变得越来越常见。但如今,由于物联网的飞速发展,勒索软件已经从针对企业或个人电脑的攻击,转向了对物联网中的设备的攻击。专家表示,到2020年物联网范围内的设备数量将达到2000亿,物联网的应用也将在消费者层面更加普遍。更加广泛的攻击空间的脆弱的防护让网络犯罪分子更加容易得手。
最典型的例子就是本月中旬发生在洛杉矶好莱坞长老会医疗中心的勒索事件,黑客将医院内部电脑系统关闭一周。为求能够尽快顺利工作,院方缴纳了1.7万美元以“赎回”系统正常。
即便是警察部门也成为了受害者,经常被迫支付赎金。虽然金额都不大,但这足以让人警醒,特别是在攻击的密度和强度越来越大,而专家素手无策的情况下。而在消费者层面,个人的赎金要求也不可能是巨大的,因为仅仅是潜在受害者的数目就能为精明的罪犯提供巨大的财富。
许多专家在一年多前就预测针对消费者的勒索软件将更加普遍,并且会成为令消费者烦恼但不得不破费的支出。他们指出人们可能需要向数字“暴徒”们支付20到100美金的“租金”,以确保他们的车能在早晨开动;门窗不会被人远程开启;电费不会显示两次实际的能源使用;电器不会失控;电视也不会变成一个间谍相机。甚至在现实中,勒索软件能够控制嵌入式医疗软件给人身造成致命的威胁。
事实上,连接的消费电子设备的范围从电视到汽车,在线游戏,玩具枪,可穿戴式健身追踪器、智能电器、温控器、灯、墙壁开关、沙发、牙刷、运动传感器、车库门、小凸轮、家庭安全系统、实用的监控、烟感报警器、嵌入式医疗设备–什么都可以连接。
无孔不入的勒索软件
Social-Engineer的创始人兼CEO克里斯.海德纳吉表示:“想像一下,整个网络的妥协源于黑客对咖啡机的控制。一旦我们妥协,意味着网络犯罪分子可以通过网络功能的设备改变,调整,监视,窃听和以任何方式使用该设备。”
即使有所警告,用户们仍然十分容易妥协。大多数设备甚至没有基本的安全性,当漏洞被发现时,修复总是十分困难,甚至无法更新或修补。因此,毫不奇怪,虽然它还没有取得重大的头条新闻,漏洞和勒索的消费不断增长。联邦调查局去年六月发表一份声明,他们记录的992条相关的投诉只是一种变体的勒索软件:CryptoWall。它让人们在2014年4月到2015年六月之间损失了1800万美元。
情况会变得更糟。“我们将看到基于物联网端的漏洞的增加,”CipherCloud公司的技术副总裁SundaramLanskmanan指出,“如今每一个生产的设备似乎都有互联网的连接,黑客们可以在生产过程中的任何时间侵入到设备中。”
钱不是勒索软件带给人们的唯一损失
勒索软件造成的损失不仅仅是在金钱、数据甚至股份上。卡耐基-梅隆大学软件工程研究所的高级分析师威尔.多尔曼表示:“计算机数据的丢失和房子汽车的安全隐患有着很大的区别。当有更多的现实世界的设备连接到物联网中,而风险越来越涉及到人类的生活,这显然是更严重的。”
美国情报机构顾问、In-Q-Tel机构的CISO丹.吉尔提出了另一种不祥的可能性,他表示钱可能是物联网攻击早期阶段的主要诱因,但从长远来看,在传感器网络造谣可能更令网络犯罪分子感兴趣,他们可以操控无数设备来实施,我们称之为:僵尸大军。
“M.·海瑟薇在为期60天的‘网络空间政策评论’中指出,国家一级的主要目标是国防工业基础,和占全球主导地位的高科技公司;次要目标就是上述目标的对手(黑客);第三是可以成为二次网络攻击平台的任何设备,”吉尔说。
它还在制造潜在的法律噩梦。Lakshmanan指出,虽然由联邦法规要求汽车有尾灯操作,“如果物联网黑客关闭了高速公路上汽车的尾灯,谁负责?”
多尔曼指出:如今,大多数消费者购买“智能”设备时并不考虑太多的安全性,他们专注于功能和价格。“安全通常不是购买决策的一部分,”他说。ResilientSystems公司的加密大师、作家CTO布鲁斯也不止一次的表示:“人们不在乎设备的安全是因为他们懂得实在不多。”
物联网安全防护仍任重道远
鉴于越来越多的威胁认知,有越来越多的努力,以解决勒索软件给物联网应用带来的安全风险。包括builditsecure.ly、‘云安全联盟的物联网工作小组’、BSIMM和开放Web应用安全项目(OWASP)等许多工作小组。
Cylance研究主任扎克.拉尼尔就参与了builditsecure.ly项目,他表示这个项目的目的是:“识别构成一个物联网设备的各个组成部分,以及配套的服务,以及他们各自的弱点和威胁;并帮助供应商和客户必要的步骤来确保这些产品和平台的安全。”
另一个例子是本月早些时候发布的IEEE中心安全设计的名为“wearfit报告:一个可穿戴式健身追踪器安全设计分析”,该报告指出,安全漏洞可以为可穿戴产业的设备提供合理的安全指南。
赛门铁克公司高级总监布莱恩.维滕指出,说他的公司正在推动所谓的“物联网设备的四大安全”,包括有能力进行更新。“没有能力更新你的设备,你无法预测他们将如何在这几年来攻击,攻击者是相当灵活的,”他说。
目前还没有法律规定物联网消费设备的特定的安全要求,甚至没有从互联网组织与美国保险商实验室(ul)批准建立的印章。美国联邦贸易委员会(FTC),在一年前发布的一份报告中建议国会通过,“强大、灵活、技术中立的联邦立法,来加强其现有的数据安全执法工具和存在一个安全漏洞时通知消费者的机制。
除此之外,该机构表示,物联网设备的开发商,“应该在一开始就在他们的设备中添加安全功能,而不是一个事后的想法,这个过程应该包括“推出自己的产品之前进行产品测试的安全措施。”
拉尼尔表示,在更多机构的努力下,供应商会变得更加熟悉安全的开发实践和漏洞处理。他说:“我们正与多个组织合作,让客户知道他们正在考虑购买的设备和系统的安全性有多大。”
观点
亚信安全在去年十一月份发布警示:勒索软件攻击的发起者已经将攻击延伸到中小企业(SMB),因为中小企业往往不会像大型企业那样部署复杂的安全解决方案。目前企业对诸如物联网的新技术应用正如火如荼,而相关的安全防护级别却未跟上脚步。企业的CIO和CISO们应该加紧安全软件部署、培养员工的安全操作和意识,最重要的是要有严格的规章制度。被“绑架”是小,“如剑悬头”的境况才是更加危险的。
