2024年12月19日 星期四

科技 > IT業界 > 正文

字號:  

物聯網另一面:Shodan搜索引擎可能正在監控你

  • 發佈時間:2016-01-27 07:49:46  來源:一財網  作者:佚名  責任編輯:王磊

  用手機開啟車庫門,或者通過給車鑰匙發資訊找到它們……物聯網給人們帶來了很多便利,但最近Shodan這一搜索引擎顯示出的強大功能使人們意識到:應該更加嚴肅地對待“物聯網”安全。

  這一次,科技網站Ars Technica給出了一個不支援物聯網的更加堅決的理由:該搜索引擎可以允許用戶從任一缺乏安全防護措施的網路攝像頭中取得直播視頻。這個監控範圍從飼料廠到後花園,從辦公室到商店,甚至可以入侵父母為監控熟睡嬰兒安全所安裝的網路攝像頭。

  Shodan是約翰·馬瑟利在2009年舉辦的DEFCON駭客大會上發佈的,其名字取自風靡一時的電腦遊戲System Shock中的邪惡主機,該搜索引擎會掃描每一個網際網路設備來尋找安全漏洞。

  截至目前,Shodan除了揭露已出現的漏洞外不承擔其他任務,但這並沒有使它免遭批評。安全專家馬克·古德曼(Marc Goodman)在他的書《Future Crimes》中説:“它為國家、企業甚至任何設備提供搜索服務和詳細的使用方法,併為任何想要入侵重要基礎設施的個人極大地降低了技術難度。Shodan如今將技術難度降得更低:它為那些支付49美元的用戶演示如何輕鬆地發現並從具有漏洞的聯網攝像頭傳輸鏡頭畫面。

  2015年9月,一位供職于專業網路安全國際公司的法國主管曾表示,他們公司可以利用網際網路發現“法國所有與網際網路連接的核電站”。而在2012年,另一群匿名網路探險家簡單地嘗試以“用戶”或“管理員”身份及同樣的密碼登錄,便接入了超過40萬台設備。隨著網際網路連接設備的興起,他們能入侵的設備可能會更多。

  可預見默認密碼甚至未設置密碼的的網路攝像頭仍在被廣泛使用。雖然谷歌旗下的監控攝像頭Dropcam有很高信譽保障,但在價格上它無法與更大眾化的品牌競爭。

  科技網站Ars Technica認為,最好的解決辦法是“大棒加胡蘿蔔”,軟硬兼施。首先,需要資訊專員辦公室這樣的機構改變策略,採取更加有效的措施。但事實上,這些機構目前採用“玩打地鼠”的方法,僅僅對已浮出水面的問題採取行動,無法從根本上解決問題。

  此外,生産廠家加強自律也很有必要。一個叫“我是騎兵”的草根組織是這樣做的——上周,由公眾自發組成的網路安全志願者提出了針對聯網醫療設備的“希波克拉底誓言”,該誓言以拯救人命及遵守醫業道德為準繩。他們建議設備生産廠家遵循“及時、敏捷和安全更新”的原則,並與第三方研究人員合作確保潛在的安全問題可以被上報。

  在未來的某一天,類似的宣言可能會被印在物聯網設備的包裝上,讓客戶確信他們的商品提供商很嚴肅地對待安全問題。在那之前,用戶還是先花時間來更改默認密碼,以保證自身遠離Shodan的監控。

  • 股票名稱 最新價 漲跌幅