無處可藏：物聯網帶來的9種新型黑客攻擊

生活中方方面面的不安全設備組合，終將產生超出數字王國之外的種種影響。

物聯網正朝著大多數計算機安全專家預測的糟糕方向飛奔。事實上，大多數廠商都沒能完全理解IoT設備引入的潛在威脅。鑒於聯網設備的激增，我們可能會急速撞上難以想象的災難。舉個例子，個人安全攝像頭，就曾被用來執行迄今為止全球最大型的拒絕服務攻擊，更不用提這些本應保護我們的攝像頭還能被利用來監視我們自身了。

更糟的是，IoT設備中的漏洞，還會造成遠超數字範圍之外的種種後果。迎面而來的IoT攻擊浪潮，包括了那些可能傷人，乃至殺人的。這可不是什麼猜測或者假說。這裡討論的，是今日現實世界中已經成為可能的真實攻擊。然而，沒人對此做點什麼來減少這些攻擊發生的可能性。

下面9種黑客攻擊新浪潮，就是不遠的將來人們將要面對的。

1. 心臟監測器將會被黑

任何醫療設備，只要有可寫軟體，無線工作，或者接入互聯網，黑客就可以染指其上。計算機科學家和黑客已經攻破了心臟起搏器、心臟監測器、靜脈滴注設備、喂葯器和診斷設備——所有這些設備都有可能殺死病人。此類威脅經常引起我們的關注。

但，醫療技術廠商似乎並非不擔心這些漏洞和黑客。新醫療設備的研發、測試和批准過程一般需要10年時間。美國醫療設備廠商必須遵守十幾個相互重疊的監管機構制定的指南和法律，包括食品藥物管理局(FDA)、聯邦通信委員會(FCC)、衛生與公眾服務部。而且，醫療設備廠商有意避免使用最新最好的軟體。通過減緩產品投放過程，使用更老更穩定的經驗證軟體，廠商覺得他們可以在設備面向大眾之前更好地根除潛在的問題。

儘管如此，醫療設備遠未脫離被黑的風險。過去十年，發生了數百起醫療設備召回事件，其中大部分都是源於網路安全問題。

諷刺的是，緩慢的審查程序和圍繞醫療設備的監管規定，可能就是這些問題的禍根。一旦進入審查環節並向公眾發布，設備中的軟體和代碼就不能大幅更新。因此，醫療設備總是採用非常陳舊的技術。沒有醫療設備會利用計算機安全防禦領域的最新進展；不僅如此，普通計算機中多年前就已清除的已知漏洞，也往往會在醫療設備中繼續留存。對醫療設備做滲透測試時，從普通計算機上早就被修復的漏洞利用開始，往往會有很好的效果。

2. 汽車將會脫離掌控

現在的汽車製造商，都喜歡把新奇的網路功能，當成汽車本身的引擎、性能、風格之類的大打廣告。他們似乎覺得，如果比競爭對手功能少，就會失去千禧一代的買家。

其中問題在於，汽車如今可以遙控開門，遠程制動引擎，甚至接收指令失去控制造成車禍。直到最近，汽車生產商才開始注意嚴密保護這些系統。該產業的多數專家表示，我們距離保證汽車「不會被黑」，還早得很。「嘗試了30多年，我們至今不能防護住計算機，有什麼理由覺得我們在汽車上就能做到？」

真是個好問題。而且，很多業內人士也說，完全護住汽車的整個系統不受黑客攻擊，甚至不是他們的主要目標。更現實的目標是，讓關係生命安全的系統，比如引擎和剎車，不會被黑。「誰關心黑客會不會改了你的音響頻道或者修改GPS聲音風格啊？但我們絕對要能夠阻止壞人染指可危及人類生命的東西。這一點我們還是能做到的。」一位汽車安全專家說。

3. 輕輕一按，房門大開

竊賊開始關注我們的智能家居。家裡能通過網路或無線控制的任何設備，同樣可被黑客操控。大門鎖如今可以遙控打開，警報系統可被停用，車庫門可以開啟，恆溫器可以被操縱。甚至冰箱都已經可以被黑來發送垃圾郵件了。

隨著智能家居越來越流行，可以預想到竊賊對這股風潮的利用。可以按個按鈕就打開前門或車庫門，又何必費事破窗而入呢？傳統罪犯很擅長採納更低風險的方法的，尤其是在感覺有一堆智能設備的家裡更有可能擺著昂貴物品可偷的時候。基本上，廠商在電子鎖安全方面沒比當前技術有大幅提高的話，暫時還是不要把自家的安全交託給這些電子鎖頭為妙。

4. 假期也會被盜被騙

一對夫妻辛苦駕車一整天，終於來到了度假勝地基韋斯特島。他們之前就簽署了租屋協議，匯款后隔天就受到了租屋的鑰匙。但當他們來到時，鑰匙卻開不了門。無奈之下，只好敲門。

不一會兒，睡眼惺忪的屋主打開了門。從這對夫妻身後堆滿行李的汽車，她就看出發生了什麼。她家房子「又」被「虛假租賃」出去了。這一回，屋主女士能夠告訴被騙旅客遭遇了什麼，然後留給他們當地警署的電話了。這次的結果至少比上一次好。上一次她是休假回來才發現自家後院泳池竟然有一家古巴人在聚會玩樂。

這種事每天都有數百起。歡欣雀躍去度假的家庭，終於到了夢想中的度假小屋，卻發現人家根本不是出租屋，而自家已經耗盡錢財。有時候這些虛假假期詐騙犯會專門弄個網站來干這事，租賃協議和流程看起來都特別官方。也有的夫妻到達自己一生之旅的度假小屋時，發現已經有另一對夫妻在一周前就進駐了，已付款的所有配套設施均被用過。Airbnb之類個人自助租屋網站的興起，結合上傳統的Craigslist型站點，讓此類租屋騙局更容易實現。

專家建議：去信譽良好的公司和專業網站，他們有預防虛假租賃騙局的措施；特別注意那些讓你電匯而不是使用信用卡的人。其他反詐騙網站則建議，可能的話還是在付款前親自確認一下假期租賃房屋，雖然有些詐騙犯實際上就在合法租屋公司工作，交易這些憑證。

5. 不交贖金不給你看電視

我們的電視機也越來越智能了。有限、Netflix、亞馬遜、Hulu、YouTube都能看，還能上網衝浪，用遙控器就行。但隨著我們的智能電視越來越像是大屏計算機，他們也繼承了計算機固有的惡意軟體和黑客風險。事實上，至少有一台TV已經被「磚」了。「磚」是用來描述計算設備狀態的一個術語，表示該設備如果沒有重寫固件，就不能正常操作，而寫固件這種事，除了製造商，其他人很難，乃至不可能做到。

反惡意軟體廠商趨勢科技去年就警告過，有勒索軟體可以「磚」了電視機。勒索軟體就是加密數據索要贖金的惡意軟體程序。僅僅一個多月，趨勢科技就檢測到其發現的某勒索軟體程序的7,000多個變種。幸運的是，該惡意軟體只能感染特定類型的已停產智能電視。但，這無疑僅僅是第一波智能電視勒索。惡意軟體作者會編寫出更多的智能電視攻擊代碼。沒人想花 $500 解鎖公司電腦，但鎖定家裡的娛樂系統？恨不得分分鐘付錢找回在追的劇。

6. 手機變隱私勒索利器

如果你覺得勒索軟體已經很恐怖了，惡意軟體編寫者會用隱私勒索軟體(doxware)再刷一次你的三觀。隱私勒索軟體會鎖定計算機或手機，威脅要向公布機主機密文檔或隱私聊天記錄。覺得出軌什麼的很隱秘？小心隱私勒索軟體。不想讓公司頂級秘密知識產權被泄露給競爭對手？最好還是付款吧。

黑客早就知道定期離線備份可以打敗普通勒索軟體了，但威脅曝光羞辱性或有價值信息，盜取流行信用卡廣告語，就是無價的了。

7. 你的設備也會攻擊其他人

黑客正往流氓殭屍網路中聚集成千上萬的用戶設備以完成他們的邪惡任務。安全攝像頭和IoT設備被用於發送垃圾郵件，執行大規模拒絕服務攻擊，盜取數字貨幣。黑客通過精心設計的殭屍主機尋找並圖片預定義的IoT設備。這一領域，無人能出Mirai其右。這個基於Linux的殭屍網路在2016年初出江湖，其源代碼當年10月公布，並立即被其他很多犯罪團伙利用。

Mirai嘗試登錄使用Telnet(TCP 23 埠)和預定義弱口令列表(「admin」 、「12345」 、「password」)的脆弱IoT設備。如果成功，先禁用其他遠程管理登錄方式(SSH、HTTP等等)，然後嘗試連接其命令與控制伺服器，獲取下一步指令和目標。研究人員以及發現了數百萬台潛在脆弱設備。人們不知道自己的無線路由器、互聯網攝像頭和冰箱被用於攻擊其他人。所有普通用戶都可能注意到的，是自己設備變得遲緩，但是計算世界里延遲本就是個常態，誰又回去怪罪IoT殭屍網路呢？

IoT殭屍網路正在成為最熱門的惡意軟體新類型，就像勒索軟體之前一樣，更久遠一些的熱門惡意軟體則是電子郵件病毒。這一問題正快速惡化，以至於全球很多政府機構都在展開調查。可以期待2017年將有新的IoT生產法律和監管規定出台。然而，不幸的是，在我們知道有IoT殭屍網路之前，就已經有上億台IoT設備存在了——坐等被利用中。

8. 生物識別身份將被售賣

口令越來越不受歡迎，將很快被雙因子和生物識別身份驗證所替代。很多人覺得生物識別身份是最好解決方案；畢竟，誰能偽造你的視網膜掃描呢？然而，能做到的人簡直不要太多。大多數用戶都沒意識到他們的生物識別身份是存成數字文件的。有時候，該生物識別身份就是原樣存儲的(也就是，你的指紋印象就存成你指紋的樣子)。更經常的情況是，生物識別身份被存成中間呈現的形式。比如說，大多數數字指紋都被存成看起來像是星座圖的東西，每個脊和峪之間映射有線段。

無論如何，因為你的生物識別身份終要存儲下來供將來身份驗證使用，黑客就能像盜取口令一樣也把它偷走。而且，他們能在任何使用該生物識別身份的系統上循環使用之。唯一的區別就是，如果你的口令被盜，直接改了就是了；但你改不了你的視網膜(至少現在不行)。只要你的生物識別身份被盜，基本上，餘生都要跟人共用身份了。

如果大型生物識別資料庫被盜，那樂子就大了，就像2015年美國人事管理局(OPM)500萬指紋信息被盜一樣。那次事件中，90年代被取了指紋的人收到了來自政府的「您的指紋已被盜」通知函。

周所周知的全球最大指紋庫，FBI的綜合自動指紋識別系統(IAFIS)，包含了至少7000萬枚指紋的信息。上萬網站和成百上千的電腦都能訪問這些文件。若說沒有未授權實體訪問過IAFIS並拷走了全部東西，那不是太奇怪了么？就跟說每台IoT設備都超級安全一樣奇怪。因為身份驗證的未來就是雙因子，生物識別佔主導，很有可能你的生物特徵會像如今賣得正火的信用卡信息一樣被出售——頻繁而又廉價。

有鑒於此，大多數計算機安全專家認為，所有生物識別身份驗證方案，都應該要求至少至少另一種身份驗證因素，單憑生物識別特徵不能訪問敏感信息。黑客或許會有你的視網膜掃描，但希望他們沒有你腦海中的PIN碼。

9. 植入定位晶元的小孩被拐

這個還沒發生。目前還沒人往自家孩子身體里植入GPS追蹤晶元。但是，我們已經開始往寵物體內植入晶元了。沒準兒哪天這個世界就允許往自家孩子身上弄這種玩意兒了呢。事實上，一些非常聰明的人已經開始詢問是否已經到了可以這麼做的時候了。

但是，能夠用GPS晶元追蹤自家孩子也有個不想要的附帶後果——其他人也可以追蹤他們了。政府官員和晶元製造商是肯定會宣傳這些晶元有多麼安全的，正如病人數十年來一直被告知醫療設備有多麼安全一樣。然而，當晶元植入成為常規，人販子也會利用這同樣的技術來拐孩子。正如今天的普通罪犯都知道該扔掉受害者手機以避免警方追蹤，未來精通互聯網的罪犯自然也會挖出煩人的GPS追蹤晶元。只是時間問題而已。

或許，我們可以首先有意識地拒絕進入這麼個反烏托邦的未來。

無論如何，我們的世界只會變得更加聯網化，供應數字設備的廠商卻沒能做足安全保護工作。就像現在，面對APT攻擊和勒索軟體，計算機安全專家無不懷念當年只有腳本小子和音樂播放宏病毒的時代，我們很快就會渴望只有計算機才會被黑的日子了。