物联网黑客每天导致企业和最终用户损失数千至数百万美元, 它们也损害了用户对核心技术的看法. 现在是时候共同努力为硬件和软件制定有意义的安全标准了.
物联网黑客让公司损失了大量金钱. 物联网黑客的总体损失取决于受影响设备的数量, 发现问题的速度以及问题持续的时间而不同. 然而, 加州大学伯克利分校的研究试图量化物联网黑客对运营商和消费者造成的损失, 它侧重于涉及物联网设备的分布式拒绝服务 (DDoS) 攻击. 无论是来自 DDoS 还是其他攻击媒介, 代价都可能是数十万美元.
在 2016 年的一次 DDoS 攻击中, 安全摄像头, 连网录像机是受影响最多的物联网设备, 这一事件导致 KrebsOnSecurity 网站瘫痪了 77 个小时, 并且由于消费者设备的功耗和带宽消耗导致消费者损失超过 323,000 美元.
攻击损害收入
另一项针对美国小型企业使用物联网的研究发现, 物联网漏洞造成了显著的收入损失. 该调查对来自 19 个行业的大约 400 名 IT 领导者进行了调查, 发现 48% 的公司至少经历过一次物联网安全漏洞.
此外, 研究表明, 在收入低于 500 万美元的公司中, 物联网黑客造成的损失占年总收入 13.4%. 对于较大规模的公司来说, 损失高达数千万美元.
同样重要的是要认识到, 安全错误在公司中很常见. 使得不安全的密码, 被遗忘的安全程序和缺乏安全策略会导致各种网络安全攻击. 尽管如此, 为此类攻击做好准备可以最大限度地降低发生这种攻击的风险.
黑客攻击情境和攻击媒介
自从几年前乌克兰电网遭到攻击, 迫使该国部分地区陷入黑暗以来, 人们一直紧张地想知道这样的袭击会对像美国这样人口众多, 依赖数字的国家造成什么影响.
了解停电的平均损失非常有用. 根据 2015 年的数据, 电气故障可以使运营商和下游企业每天损失超过 179,000 美元. 特别是依赖电力的地方, 如医疗保健机构, 其损失可能是平均水平的三倍以上.
根据 Ponemon Institute / Emerson Network Power 报告, 医疗保健机构每次停电的平均损失为 690,000 美元, 加上潜在的生命损失, 这种计算更是无法估量.---- 彼得. 马隆尼(微电网知识)
研究表明, 制造商受此类攻击的影响最大. 即使是一次短暂的装配线停机, 也会让工厂经营者损失金钱 -- 或者如果机器在操作员不知情的情况下被损坏, 那么就会在机器损坏发生之前就开始损失金钱.
两种假设情境可能让被黑客入侵的物联网设备危及能源网络. 第一种是侵入并同时激活与公用事业相关的物联网设备, 从而使电网不堪重负并引发停电.
黑客也很有可能采取不那么直接的方法, 对大量设备进行黑客攻击, 并对它们进行轻微控制, 以至于每个节点的能源使用量都在增加, 但总体来说却没有人注意到. 这种攻击的长期影响可能会带来重大系统性挑战 -- 更不用说收入损失了.
多方攻击
正如网络安全研究人员指出的那样, 物联网设备令人不安的一点是, 网络犯罪分子可能会影响多个安全性差的物联网设备, 对每一个设备造成损害, 并且越来越难以找到根本问题. 而制造商经常推迟发布安全补丁或者不优先考虑制造安全设备.
物联网设备相对较新, 制造商缺乏工程设计经验, 此外, 物联网是一个快速发展的行业, 其目标是在竞争对手提供类似产品之前抢先发布最新, 最强大互联设备. 这种心态意味着安全成为事后想法, 许多公司只考虑是否发生了大量黑客攻击.
严重的黑客攻击会抑制行业发展
2018 年 8 月公布的统计数据显示, 全球有超过 170 亿台联网设备. 考虑到物联网市场相对较新, 采用率令人欣喜, 这表明人们已经为物联网设备制造商的梦想做好了准备. 然而, 大规模令人沮丧的黑客攻击可能会让物联网技术蒙上阴影.
2018 年 3 月, 当 Alexa 智能音箱无端发笑时, 使用者被吓坏了. 一些亚马逊 Echo 智能音箱用户或其他内嵌语音助理 Alexa 功能的设备用户都曾在推特和论坛上发文抱怨, 声称他们的设备会自发性大笑, 但他们并没有启动设备也没有对设备下达什么指令. 随后, 亚马逊很快修复了引起咯咯笑声的 Bug 缺陷.
此外, 人们出于恶意原因使用了物联网设备, 例如在英国的一个案件中, 指控丈夫通过壁挂式 iPad 监视与他分居的妻子. 不过, 他争辩说, 他只使用应用程序来改变电视音量和灯光.
在同样场景中, 网络入侵者不一定需要黑客知识来进行网络访问. 例如, 如果双方一旦关系破裂, 房主没有改变应用程序密码, 心烦意乱的前任或亲戚可以远程登录并从远处控制连网设备. 这种可能性给潜在家庭虐待手段带来了一个新的, 令人担忧的维度.
如果物联网设备经常与令人不安的后果相关联, 人们可能会认为它们不值得购买, 这样的后果将抑制消费者在物联网设备上的支出.
这些例子说明了为什么人们不应该仅仅将物联网黑客视为 "有朝一日" 可能发生的事情, 严重的黑客行为已经发生. 专家表示, 更严重的问题可能即将出现, 现在是硬件和软件行业领导者面对这些系统性风险并让最终用户放心的时候了.
来源: http://iot.51cto.com/art/201810/584917.htm