最近兩年里，針對物聯(lián)網(wǎng)設(shè)備編寫的蠕蟲越來越多，自2016年Dyn被DDoS斷網(wǎng)后，幾乎每月都能聽到新的變種。這些蠕蟲做的事情各種各樣，有構(gòu)建僵尸網(wǎng)絡(luò)刷流量打DDoS的，有加固設(shè)備的，還有rm格盤式變磚攻擊的。下文是gizmodo.com對近期物聯(lián)網(wǎng)安全狀況的概覽介紹，值得關(guān)注。

　　就在最近，我開始崇拜一個黑客，他叫Janit0r。也許你并未聽說過他，但是他所做的一切都值得你去尊敬。

　　Janit0r是一個看起來特別粗糙但卻令人著迷的惡意軟件BrickerBot的作者。BrickerBot，顧名思義就是讓那些構(gòu)建起互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備無法再被其他人進行簡單的安全測試，這一做法當(dāng)然是非法的，但它真的讓我感到了一絲敬意。

　　同樣的，Brickerbot也能夠?qū)δ切┎粔虬踩穆?lián)網(wǎng)設(shè)備造成非常強大的攻擊，例如燈泡、相機、電視機等等數(shù)千個品種。

　　BrickerBot在其第一版運作的頭四天就造成了1895臺設(shè)備被攻擊，而第三版則在24小時內(nèi)就襲擊了近1400人的設(shè)備，目前已經(jīng)檢測到了其第四版，但是對其所發(fā)起的攻擊情況還不是很清楚。

　　這一切聽起來很簡單，一個黑客或者是一個黑客團隊編寫了一個工具，并且在毫無明顯理由的情況下破化著隨機人員的那些聯(lián)網(wǎng)設(shè)備們。但是令人感到驚訝的是，他們所做的并不是去入侵并進行控制，而是簡單的將其進行關(guān)閉。

　　在最近的這一年里，我們經(jīng)歷了太多次IoT惡意軟件所造成的危害，去年十月，美國互聯(lián)網(wǎng)遭受大面積癱瘓的原因就是一個名為Mirai的惡意軟件感染了數(shù)百萬個物聯(lián)網(wǎng)設(shè)備，并控制他們對世界上最大的域名服務(wù)商之一—Dyn發(fā)動了攻擊，導(dǎo)致其出現(xiàn)了癱瘓。顯然這一現(xiàn)狀已經(jīng)成了互聯(lián)網(wǎng)世界網(wǎng)絡(luò)安全中非常不安全的一個因素。據(jù)了解，BrickerBot的作者也正是出于這一現(xiàn)狀的考慮開始針對所有人的網(wǎng)絡(luò)攝像機、恒溫器、燈泡等等一系列物聯(lián)網(wǎng)設(shè)備進行攻擊，以使其意識到所存在的安全問題。

　　其實說的直白一點，雖然看起來摧毀這些設(shè)備顯得非常的莽撞，但是對于那些廠商來說他們總是只考慮吧利益而忽略了用戶的安全問題，從而可能導(dǎo)致這些不安全的技術(shù)在全球的網(wǎng)絡(luò)攻擊中被使用。這是非常不負責(zé)任的，但是沒辦法那些廠商并不會因為不安全的問題就停止進行銷售，甚至也不會因為安全問題而進行更多的彌補。去年下半年，當(dāng)一次又一次的僵尸網(wǎng)絡(luò)攻擊打破了互聯(lián)網(wǎng)的平靜時，一些黑客開始意識到一個公司如果不愿意對其產(chǎn)品的安全性負責(zé)，那么很有可能就會對掙個互聯(lián)網(wǎng)世界的安全形成威脅。

　　當(dāng)然，Janit0r也不是唯一一個試圖提高物聯(lián)網(wǎng)安全性的守夜者。幾年前，研究人員發(fā)現(xiàn)了Wifatch，它會感染IoT設(shè)備但卻不會進行惡意活動，而是防止其他攻擊者發(fā)生破壞。而去年，另外一批被稱為Hajime的惡意軟件也像之前的Wifatch一樣，嘗試去阻止了已知被惡意惡意軟件利用的端口。

　　BleepingComputer是一個致力于幫助人們了解計算機如何工作的網(wǎng)站，也是第一個在4月初發(fā)布并報告 BrickerBot的網(wǎng)站。最近，在經(jīng)過一些高級的追查之后，該網(wǎng)站終于將Janit0r對應(yīng)為BrickerBot的可能作者，甚至設(shè)法讓他解釋了為什么他編寫了軟件來對對不安全的IoT設(shè)備進行攻擊。他的論據(jù)看起來非常令人信服：

　　物聯(lián)網(wǎng)安全的混亂其實就是由于安全知識不足的公司在為那些毫無安全知識的用戶開發(fā)著強大的互聯(lián)網(wǎng)連接設(shè)備。當(dāng)我在網(wǎng)上發(fā)現(xiàn)的大多數(shù)以消費者為導(dǎo)向的IoT設(shè)備似乎仍然使用的是出廠設(shè)置時，我開始驚慌了。例如，我提取了用戶數(shù)據(jù)庫中，每10個Avtech IP攝像機中就有9個設(shè)置仍為默認登錄管理!

　　讓這個統(tǒng)計數(shù)據(jù)下沉一下，然后再考慮一下，如果有人推出了一個具有安全功能的汽車或電動工具，10次失敗了9次，那么就會立即被趕出市場。但我不明白為什么這些危及互聯(lián)網(wǎng)基礎(chǔ)的物聯(lián)網(wǎng)設(shè)備卻受到了如此不同的對待，在2016年經(jīng)歷的如此嚴重互聯(lián)網(wǎng)破壞攻擊之后，卻仍然沒有人會認真地思考這些設(shè)備的安全性到底重不重要。

 1/2    1 2 下一頁 尾頁