|
|
在DDOS攻擊之后����,參議員尋求物聯(lián)網(wǎng)設(shè)備的行業(yè)領(lǐng)先的安全標(biāo)準(zhǔn).灰鴿子遠(yuǎn)程控制軟件
馬克·沃納(Mark Warner)說�����,攻擊揭示了“新的脆弱性水平”�。灰鴿子使用教程。
hack.jpg (35.72 KB, 下載次數(shù): 575)
下載附件
灰鴿子
2016-10-30 00:40 上傳
上周的大規(guī)模分布式拒絕服務(wù)攻擊促使人們迫切關(guān)注需要行業(yè)領(lǐng)先的互聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��。
美國參議員馬克·沃納(D-Va�。)周四表示,他在尋求某種形式的政府監(jiān)管物聯(lián)網(wǎng)安全之前�����,傾向于采用基于行業(yè)的方法。
他上周在電話采訪中說���,“上周的攻擊確實(shí)揭示了一個(gè)新的脆弱性水平���,我試圖說明這不是政府應(yīng)該成為第一個(gè)解決問題的問題。
“物聯(lián)網(wǎng)應(yīng)該是一個(gè)行業(yè)協(xié)作的領(lǐng)域��,如果他們能夠首先設(shè)定標(biāo)準(zhǔn)���,這是好的��,”華納說���。
他說,某種最新的行業(yè)“批準(zhǔn)密封”或關(guān)于物聯(lián)網(wǎng)設(shè)備的安全準(zhǔn)備的比較評級系統(tǒng)可能是有效的�。
今天,物聯(lián)網(wǎng)設(shè)備制造商沒有太多的經(jīng)濟(jì)刺激來增加安全保護(hù)����。 “安全增加了成本,但如果沒有經(jīng)濟(jì)利益�����,[制造商]數(shù)字,為什么呢���?”他說���。
有某種類型的行業(yè)標(biāo)準(zhǔn)與批準(zhǔn)或評級系統(tǒng)的密封將鼓勵(lì)公司和消費(fèi)者購買更安全的設(shè)備,從而創(chuàng)造所需的經(jīng)濟(jì)激勵(lì)��,華納推理����。
華納說,他的辦公室工作人員一直在談?wù)撻L期安全大師Peiter Zatko�,也被稱為黑客Mudge���,有關(guān)物聯(lián)網(wǎng)設(shè)備的比較評級的潛力�。
Zatko周五通過Twitter消息說�,他已經(jīng)聯(lián)系華納的辦公室關(guān)于評級的概念,并發(fā)現(xiàn)華納“非常支持������!盳atko的非營利網(wǎng)絡(luò)獨(dú)立測試實(shí)驗(yàn)室提供消費(fèi)者報(bào)告 風(fēng)格評級軟件����,包括物聯(lián)網(wǎng)����!叭A納特別喜歡[我們的評級]����,而不是簡單的”批準(zhǔn)標(biāo)簽“,這可以激勵(lì)供應(yīng)商不超過最低限度�,并且不允許對可能有或沒有多個(gè)產(chǎn)品的實(shí)際風(fēng)險(xiǎn)和安全性進(jìn)行評估不透明密封,“Zatko說�。
華納說,他對FCC和其他人的問題只是為了學(xué)習(xí)加強(qiáng)物聯(lián)網(wǎng)安全的最佳方法�����。 “我還在努力學(xué)習(xí)這個(gè)����,”他說。 “現(xiàn)在得出結(jié)論還為時(shí)過早��。
他明顯支持的一種方法是更好的公民教育網(wǎng)絡(luò)安全。 “我認(rèn)為有一套清晰的適當(dāng)?shù)木W(wǎng)絡(luò)衛(wèi)生技術(shù)鉆入每一個(gè)消費(fèi)者是好的����。如果工業(yè)界能夠給出消費(fèi)者應(yīng)該如何行動(dòng)的想法,那將是巨大的��。
他說��,“美國在這方面起帶頭作用�����,但確保我們不會(huì)造成使美國產(chǎn)品處于不利地位的問題����,這也是有道理的。
政府制定物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的一個(gè)問題是使標(biāo)準(zhǔn)靈活性足以滿足未來的需求��。 “如果我們制定一些政府標(biāo)準(zhǔn)�����,那么如何保持靈活性��,以便標(biāo)準(zhǔn)可以改變下個(gè)月��,因?yàn)楹诳偷膹?fù)雜性����?”華納問遠(yuǎn)程控制軟件,灰鴿子���。
一位安全專家說����,一種可能性是美國禁止銷售最不安全的設(shè)備��。 “禁止在美國銷售可怕的安全設(shè)備的規(guī)定可能會(huì)導(dǎo)致廠商從根本上改善他們的設(shè)備的安全性對每個(gè)人的全球影響�����,因?yàn)橹圃焐滔M軌虺鍪鄣矫绹��,”馬克杜弗雷斯�,威脅研究和對手預(yù)防在安全提供商Endgame。
然而����,Dufresne說,華納建議ISP阻止設(shè)備訪問互聯(lián)網(wǎng)是不切實(shí)際的。
“易受威脅的設(shè)備遍布全球����,”他說。 “即使我們在美國擺脫了所有這些�����,它真的沒有關(guān)系�����。僵尸網(wǎng)絡(luò)是巨大的����,仍然可以瞄準(zhǔn)美國的系統(tǒng)。 ISP可能無法確定下游設(shè)備的信心���,并可能錯(cuò)過一些��,而錯(cuò)誤地關(guān)閉一些�。
專家建議制造商需要提供的一些基本安全要求�。它們包含每個(gè)物聯(lián)網(wǎng)設(shè)備的唯一用戶名和密碼。目前�����,黑客可以輕松找到默認(rèn)用戶名和密碼來利用設(shè)備�����。另一個(gè)建議是構(gòu)建物聯(lián)網(wǎng)設(shè)備����,以便他們可以自動(dòng)接收軟件更新,包括安全補(bǔ)丁��。
上周五的攻擊使用廣泛可用的未來僵尸網(wǎng)絡(luò)攻擊估計(jì)100,000個(gè)物聯(lián)網(wǎng)設(shè)備�����,如互聯(lián)網(wǎng)連接的相機(jī)����。然后,這些設(shè)備用于在分布式拒絕服務(wù)攻擊(DDoS)中在DNS提供商Dyn處洪泛服務(wù)器�����,導(dǎo)致試圖訪問主要站點(diǎn)的因特網(wǎng)用戶的中斷����。
華納是一位前弗吉尼亞州州長�����,參與了20世紀(jì)80年代電信行業(yè)的風(fēng)險(xiǎn)投資��,他說�����,對物聯(lián)網(wǎng)安全的關(guān)注不足已經(jīng)流行了幾十年了�����。
“我們進(jìn)入互聯(lián)網(wǎng)的想法是我們?nèi)绾潍@得覆蓋和韌性�����,但我不認(rèn)為我們已經(jīng)考慮過的是安全����。安全性在設(shè)計(jì)標(biāo)準(zhǔn)上并不高�����,“華納說。
“我們?nèi)绾问刮锫?lián)網(wǎng)冰箱安全�����,所以它可以說如果DDoS攻擊僵尸網(wǎng)絡(luò)可能購買更多的牛奶��?我們有一個(gè)巨大的潛在挑戰(zhàn)�����,建立在一系列其他挑戰(zhàn)�����,如盜竊的知識產(chǎn)權(quán)和國家安全問題�����。
由于攻擊的性質(zhì)��,一些專家猜測�����,業(yè)余愛好者可能發(fā)起上星期五的攻擊��,這在某些方面可能比如果涉及外國政府的復(fù)雜的罪犯或黑客更加麻煩����。
“無論是一個(gè)州還是一群青少年黑客,它確實(shí)揭示了一個(gè)新的水平的脆弱性��,”華納說��。
華納已經(jīng)解決了不安全的物聯(lián)網(wǎng)設(shè)備了一段時(shí)間�����,包括在6月向聯(lián)邦貿(mào)易委員會(huì)的信�����。周二��,他向FTC以及國土安全部和聯(lián)邦通信委員會(huì)發(fā)送了關(guān)于攻擊的信件����。
在給FCC的信中,華納提出了九個(gè)問題����,包括FCC是否已要求美國國家標(biāo)準(zhǔn)與技術(shù)研究所制定安全標(biāo)準(zhǔn)����。 “制造商應(yīng)該遵守最低技術(shù)安全標(biāo)準(zhǔn)嗎����?”信問道。
從華納到FCC的另一個(gè)問題提出����,互聯(lián)網(wǎng)服務(wù)提供商可能會(huì)拒絕不安全的物聯(lián)網(wǎng)設(shè)備訪問他們的網(wǎng)絡(luò)����。在接受采訪時(shí),華納說:“我不是說我們違反網(wǎng)絡(luò)中立的原則����,但是...我們需要領(lǐng)先這一點(diǎn)。
|
|
加載中...
發(fā)表于 2016-10-30 00:40:30
QQ好友和群
收藏