物聯網黑客正在看著你

當喬治奧威爾(george orwell)在《1984》裡構想「電幕」(程式設計客棧telescreen)——對觀眾進行持續監視的一種雙向電視——時，他預言**會使用技術手段闖入我們的私人生活。

維基解密(wikileaks)近期公布的機密檔案意在表明，美國中情局(cia)通過入侵智慧型電視，創造了自己的21世紀電幕。你可能正在**youtube或netflix——而不是強迫性**的軍事宣傳片——但間諜仍能對你的客廳進行監聽。開發人員利用三星(samsung)電視的漏洞，讓電視即使在關機狀態也能捕獲談話。

維基解www.cppcns.com密稱此次公布的機密檔案僅是「史上最大規模情報公開」的第一部分。從這些檔案來看，中情局似乎急於利用物聯網——將日常裝置連線到網路——開發新的監視手段。市場研究集團高德納(gartner)**，至2023年，將有逾200億台家電、電視機及其他裝置連線到網際網路。

中情局的工程開發團隊有乙個智慧型電視「待辦清單」，其中包括錄影功能，以及入侵其瀏覽器和應用程式。其他檔案似乎表明中情局已試圖入侵聯網汽車的車輛控制系統。

防毒軟體mcafee創始人、現mgt capital investments首席執行官約翰麥卡菲(john mcafee)表示：「這是迄今最令人不安的一次維基解密。我們了解到中情局有各種工具來監視美國公民。而現在這些工具掌握在一些未知的黑客組織或國家手中。」

中情局對這些檔案的真實性不予置評。三星表示公司將安全問題置於最高優先，目前正在研究此事。

物聯網警惕物聯網的安全黑洞

因為硬體安全技術的落後，黑客在攻擊智慧型裝置時總能輕易得手。從聯網汽車到胰島素幫浦，都存在陷入險境的可能。

物聯網是科技產業追求的最大概念之一，人們對其基本的固有漏洞早已了解。三星甚至在2023年警告使用者「如果你說的話包含個人或其他敏感資訊，該資訊將與其他資料被你所使用的語音識別捕捉，並傳輸給第三方。」

網路安全研究人員強調從汽車到照相機、機械人到電冰箱等一切裝置都存在安全漏洞。上個月有訊息披露，一家玩具製造商生產的可wifi聯網泰迪熊與兒童的對話被洩露到網際網路上。

執法部門已對利用亞馬遜(amazon)聲控個人助理alexa等裝置收集的音訊產生興趣。一名檢察官在處理阿肯色州一樁**案時要求獲得alexa資料。亞馬遜拒絕了這一要求，直到嫌疑人說可以移交錄音。

網路犯罪也開始瞄準物聯網，犯罪分子用惡意勒索軟體入侵系統，通常要求用位元幣支付給匿名賬戶。奧地利阿爾卑斯山一家酒店去年遭到黑客多次攻擊其電子鑰匙卡系統，酒店經營者被迫支付1500歐元後，客人才得以回到他們的房間，隨後酒店經營者換回了老式門鎖。去年聖誕節，乙個美國家庭的智慧型電視被勒索軟體控制，電視被禁用了四天。

聯網裝置的漏洞可能危及整個網路的穩定。去年，乙個由數千萬臺聯網攝像機和數字錄影機組成的被稱為殭屍網路(botnet)的惡意網路，被用來攻擊紐約時報程式設計客棧(new york times)、twitter等**所使用的網域名稱服務提供商dyn。在dyn努力對抗分布式拒絕服務攻擊時，美國有數百萬人無法訪問spotify和airbnb等**服務。

網路安全公司ioactive的首席技術官塞薩爾塞魯多(cesar cerrudo)表示，從技術精湛的中情局黑客到沒那麼厲害的網路犯罪分子，都將投入更多精力去尋找物聯網的漏洞。

他說：「我們正變得極端依賴科技。我們需要開始懂得網路安全的重要性。我們會承受種種後果，包括遭到攻擊、被黑客入侵、失去資訊。而這對我們的日常生活影響很大。」

將一切都連線到網際網路的熱情尚未表現出減弱的跡象，現在已經有了不再鳴哨、改發資訊的開水壺;有了智慧型手機控制的電飯煲;還有連線地圖應用的鞋墊，通過振動將你推向你的目的地。

但網路安全在這波熱潮中遭到忽視。安全防禦往往落伍幾十年——如果還有安全防禦的話。許多聯網裝置沒有密碼，或只有乙個不能更改的預設密碼。裝置傳送給伺服器的連線訊號通常沒有加密。

芬蘭網路安全公司f-secure首席研究官公尺科許波寧(mikko hypponen)表示，建立殭屍網路攻擊dyn的黑客只試了35個密碼，就碰到了對的。他警告說，物聯網內安防的鬆懈正在重複「我們20年前已確定的錯誤。這是網際網路當前乙個顯而易見的危險。」

最容易被攻擊的產品出自那些專門製造烤麵包機或血糖儀的公司，而不是軟體或安全公司。這一新興產業還呈碎片化，監管尚未跟上，消費者或壓根不在乎，或難以判斷產品的安全性。

高德納安全問題研究主管埃里克阿爾姆(eric ahlm)表示，這些製造商缺乏在安全方面投入時間或金錢的激勵。

他說：「這更多是乙個經濟學問題，而不是安全問題。消費者購買智慧型電視時，多半會選擇功能相同，但**更低的商品。對智慧型消費裝置製造商來說，付出額外的精力幾乎無異於掏一筆罰金。」

即使消費者有這方面想法，他們也無法購買額外保護，因為這些裝置由微型計算機驅動，而安全軟體製造商無法訪問，如健身手環或真空吸塵器裡的微型計算機。

阿爾姆說：「你不能給你的fitbit或roomba裝防毒軟體。」

forescout負責幫助企業將裝置與公司主網分離，其想法是防止企業遭受2023年美國零售商塔吉特(target)資料洩露那樣的攻擊，當時黑客通過空調提供商侵入塔吉特的系統。forescout首席戰略官佩德羅阿布雷烏(pedro abreu)表示，製造商如果能解決安全問題，將是乙個「神話」。

阿布雷烏表示，但是圍繞智慧型手機和電腦的保護已經建立起了乙個龐大的產業。智慧型手機和電腦製造商的技術，比聯網裝置製造商的技術先進。他說：「就連那些最賺錢的公司都保證不了他們的裝置安全;想象乙個人在隔壁的車庫裡用中國製造的零件打造裝置。但這不應阻止我們要求製造商遵循更高標準。」

但解決裝置安全嚴重缺陷的行動已經開始。智慧型電視製造商vizio上個月支付了220萬美元，與美國聯邦**委員會(federal trade commission)和紐澤西州總檢察長達成和解協議。此前該公司被抓住在未經觀眾許可的情況下，收集他們的資料並將資訊賣給廣告客戶。聯邦**委員會委員特雷爾麥克斯威尼(terrell mcsweeny)表示她支援就資料安全進行全面立法，從而可以對整個行業採取「監管模式」。

美國聯邦**委員會已投入更多資源去起訴聯網裝置製造商，並提高自身技術能力。該委員會還在推動國際聯合隱私執法——因為這些裝置常常從外國進口——同時還在考慮製造商是否有義務在停產後依然維護裝置安全。

美國監管機構也對此產生興趣，國家公路交通安全管理局(national highway traffic safety administration)已為汽車行業規定程式設計客棧最佳實踐，食品藥品監督管理局(fda)也發布了醫療裝置安全指引。其他機構也發揮了作用。非營利醫療組織梅奧診所(mayo clinic)已將具體安全措施寫進與醫療裝置製造商的合同裡。

歐盟委員會(european commission)正在推動裝置認證體系，並成立了乙個名為「物聯網創新聯盟」(alliance for internet of things innovation)的組織。直屬美國**的國家網路安全促進委員會去年12月發布報告表示，消費者應被告知裝置的安全功能。

美國大西洋理事會(atlantic council)網路問題國策倡議副主任博伍茲(beau woods)表示，他希望該委員會的工作將讓產品附上安全標籤或資訊表，從而阻止零售商銷售存在安全漏洞的商品。

消費者或許還能加強對自身的保護，免遭黑客日常索要贖金，但聯網裝置的製造商可能永遠都躲不開中情局。

伍茲說：「我對聯網裝置使用者的建議是，更新一切裝置，不用裝置時要拔掉插頭，如果你不希望它們有監視能力的話。」

**：ft中文網

本文位址: /news/comment/16279.html

物聯網黑客正在看著你

祖先們都在看著你

你在看電視電視背後的黑客在看你

遠遠的，有一雙眼睛在看著你

物聯網 黑客正在看著你

祖先們都在看著你

你在看電視 電視背後的黑客在看你

遠遠的，有一雙眼睛在看著你

相關推薦

物聯網黑客正在看著你

你在看電視電視背後的黑客在看你