我们都知道勒索软件已经成为一个大问题——它攻击商业和消费者,加密有价值的数据,并且要求交付巨额的赎金才安全恢复数据。
但是,至少我们可以这样想来安慰自己: 威胁仅限于加密电脑或web服务器上的数据,或者是锁定用户的系统,直到支付了赎金。
勒索软件盯上IoT
近年来物联网兴起了,这意味着,将来我们所认为的电脑在不断扩展。Critical Infrastructure Technology (ICIT)研究机构在一个报告中警告说,IoT设备正在成为勒索软件的攻击目标!
这个报告中使用了非常警醒的标题即“对抗勒索软件闪电战”,文中讨论了各种各样的加密式的勒索软件家族,强调用户要从多个层面防护类似的攻击。
文章中最吸引我目光的地方是,它描述了未来潜在的威胁:
IoT设备为勒索软件攻击提供了潜在的持续增长的温床,因为这些设备被设计为可以连接互联网,而且存在各种形式的安全问题。传统的恶意软件可能会因为太大而不能在IoT设备上运行,但是勒索软件,主要只包括几条命令和一个加密算法,非常轻巧。
你觉得人们会付多少钱来移除心脏起搏器上的勒索软件?这个场景并不遥远,而且非常有致命性。许多医疗设备,比如心脏起搏器、胰岛素泵、以及其它医疗系统,都开启了互联网或者蓝牙功能。勒索软件可以利用这个开放的连接来感染IoT设备。
我觉得ICIT提出的这个问题并非是遥不可及的。
IoT设备相当脆弱,也更加危险
我们从过去的经验中知道大多数网络罪犯并不会因为威胁生命而不安,与传统的电脑相比,IoT设备安全性很弱,有硬编码口令等漏洞,也许连简单的更新机制都没有,充斥着各种类型的漏洞。
我们已经发现,闭路电视摄像机和路由器等设备,成为了僵尸网络的一部分,被用于发动DDoS攻击。
所以,勒索软件攻击互联网设备并没有什么不同,黑客可以索取比特币,作为恢复设备正常操作的条件。比如,勒索软件可以攻击医疗设备。
如果罪犯发现这很容易赚钱,他们当然会用勒索软件攻击IoT设备了。
报告引用了来自Cylance的Jon Miller的话,可以看到另一种攻击IoT设备的形式,降低电池的寿命:
“在心脏起搏器上,即便一个加单的加密操作也可以减少电池的寿命,从几十年降为几年甚至是几个月,因为在设计时并没有考虑支持这样的操作。加密操作越耗费资源,情况就越糟糕”
任何发起IoT勒索攻击的人都需要考虑一个问题,如何通知设备的拥有者交付他们要求的赎金。这在笔记本上很简单,但是在心脏起搏器上就很有挑战了,除非攻击者设法获取了,比如受害者的email地址。
将来,勒索软件是否会像当前攻击传统的电脑系统一样攻击IoT设备,拭目以待吧!(来源:FreeBuf黑客与极客(FreeBuf.com))
上一篇:RFID系统的“奥秘”
下一篇:民众究竟是怎样使用物联网?