家庭物联网成黑客突破口,可让网站分分钟瘫痪
美国动态DNS服务商Dyn上周五(10月21日)遭大规模的分散式阻断服务(distributed denial of service,简称DDoS、解释见此)攻击,导致Github、Reddit、亚马逊(Amazon)和Twitter等知名网站周末大断线,引起全球哗然。
虽然目前还不知幕后主使者是谁,但外媒揭露,家用物联网(Internet of Things)装置,是被骇客利用的攻击媒介,而中国业者杭州雄迈(Hangzhou Xiongmai Technology Co Ltd)周一也宣布召回有安全性漏洞的网路摄影机(webcam)。
路透社、The Verge、BBC等多家外电24日报导,Flashpoint等资安公司发现,雄迈的防骇措施太过落后,其开发的软体和webcam零件,都采用预先设定好的使用者名称和密码,导致骇客有机可趁,利用沦陷的联网装置创造了大量僵尸网路(botnet、解释见此)。
雄迈则透过官方微博大声喊冤,强调用户将产品买回后并未变更预设密码,才是问题主因,这些产品的防骇措施其实已相当完善,绝非造成此波攻击的主要帮凶。雄迈并宣布,将召回早期在美国贩售的部份产品、强化密码设定功能,并为去年4月以前制造的商品发行修补程式。
雄迈的安全性漏洞在其他物联网装置也相当常见,而本波DDoS攻击即是靠一款名为"Mirai"的恶意软体来感染使用预设帐密的联网装置。(提醒大家,联网装置买回家后,一定要赶紧变更帐号密码!)
Mirai的原始码已在10月稍早对外公开,研究人员认为,骇客可能藉此发动更为高阶的网路攻击。截至目前为止,Mirai已感染了至少493,000台装置,而在原始码公开前,遭感染的装置仅有213,000台,等于是在短短数周内暴增逾130%。
富兰克林资产集团副总裁兼研究员Jonathan Curtis 10月20日就在官网贴文指出,资安公司对人工智慧(AI)的成功不可或缺,随着消费者变得愈来愈数位化,个人的所在位置都会被记录,线上交易次数也会更加频繁,这会使用户暴露在骇客入侵的风险之下。
Curtis相信,负责保护资讯安全的基础建设业者和服务商,都会因为AI日益发展而大受其惠。
- 被苹果XcodeGhost事件吓怕了?从调查数据来看手机到底安不安全(08-25)
- Marvell推出基于JavaScript的制造商套件Kinoma Create(02-14)
- 风河推出新一代物联网应用实时操作系统 VxWorks 7(02-17)
- Nordic发布世界首个用于蓝牙智能应用的ARM mbed开发平台(01-27)
- Vitesse大幅度简化向10G以太网云服务的演进(04-22)
- 博通新推出WICED Sense产品加速物联网应用发展(08-03)