上周晚些时候，10万个泄露的互联小工具帮助匿名攻击者发动了大规模持续的DDoS攻击。名为Mirai的恶意软件控制了这些设备，在Dyn（一家将流量请求路由到Twitter、Amazon和Netflix等多个主要网站的DNS服务提供商）上引导大量流量，可能高达1.2tbps。上周五，这些网站连续几个小时处于离线状态，导致受影响的服务和整个互联网都出现了持久的黑眼圈。虽然Dyn在周六早上修复了最初的事件，但Mirai源代码仍然在线，并且对任何想尝试破坏其他设备并进行另一次攻击的人开放。

安全研究人员多年来一直警告说，随着越来越多的小玩意上网，并成为黑客的明显目标，会发生这种规模的攻击。众所周知，由于令人眼花缭乱的供应链、消费者对安全的普遍不感兴趣或了解，以及设备本身的设计，它们很难得到保障。现在这些问题比以往任何时候都更为紧迫，那么我们如何修复当前和未来的设备，以防止对互联网的更大攻击呢？

研究人员看到了这一点

最大的安全挑战可能是供应链的复杂性。大多数人都可以使用不同**商提供的组件和软件构建一个连接到互联网的小工具。例如，看看亚马逊上提供的3000个网络摄像头。复杂的供应链导致网络摄像头或其他设备与芯片从一个工厂，软件从另一个，传感器从别人。这使得追溯零件和确定某些小工具是否易受攻击变得困难。

在上周的攻击之后，研究人员试图确定是谁**了受影响的小玩意。Flashpoint认定中国电子公司杭州雄迈是受影响的IP摄像头和DVR板的创造者，这些产品最终出现在各种白标产品中。研究人员称，这些设备构成了Mirai泄露的大部分设备，因为熊迈的部分带有默认用户名和密码。这些默认设置可能使熊迈更容易访问设备并提供无缝的客户支持，但由于熊迈没有强迫用户更改登录名，因此他们很容易成为攻击目标。Mirai只使用了62个登录组合来暴力攻击所有被破坏的设备。熊迈召回了在美国发布的网络摄像头，但尚不清楚召回是否会产生很大影响。据MalwareTech称，召回后Mirai感染率创历史新高。此外，组件是问题所在，而且，供应链的粘性使得很难确定哪些设备可能会受到影响。

软件和硬件都会带来问题

软件不容易保持安全。大多数设备无法修补，软件几乎总是有缺陷。”Akamai的高级安全倡导者Martin McKeay告诉Verge说：“无法远程修补（某些设备），或者根本无法修补。”这就是我们现在看到的很多问题会持续一段时间的原因。我们无法修补IP摄像头，也无法修补DVR。”

即使打补丁是一种选择，用户也必须检查他们的设备是否是最新的，然后花时间打补丁。麦凯说，这常常是一场斗争。烤面包机的界面不会提示某人更新。我们的笔记本电脑和**会发送推送通知，但完全有可能有人永远不会在其连接的灯泡上看到更新提醒。”Cloudflare首席执行官马修•普林斯（Matthew Prince）表示：“要让消费者像看待Windows一样看待自己的烤面包机，并定期为其安装补丁，确实很困难。”我怀疑我们是否能够让人们定期更新家中的设备，因为我们都学会了如何与烤面包机互动，而忘记这一点需要很长时间。”

补痛

如果用户不打补丁，**商很难保持供应链的清洁，McKeay和Prince都建议考虑增加一个网络安全层。网络层安全在小工具和公共互联网之间设置了额外的屏障。任何拥有该网络的人都可以监控进出的流量并做出调整，比如阻止异常行为或将更新推送到设备。第三方公司、小工具销售商，甚至互联网服务提供商都可以提供这个网络。在ISP级别安装该监视器可能会引起监视问题，但至少在网络级别工作意味着，如果向受损设备发出命令的IP地址是已知的，那么来自那里的通信可能会被阻止。依赖第三方公司需要信任和持续的服务成本，通常由**商承担。例如，像谷歌这样的**商也可以为其Nest Cam部署自己的网络，这可能是最好的解决方案，尤其是对于拥有财政和人力资源的科技公司。如果一个设备需要一个补丁，它会立即通过网络发布，而不是通过用户发起的更新。普林斯指出，关键的基础设施和汽车已经部署了这种安全解决方案。

尽管个人用户可以将自己的小工具从网络的其他部分中独立出来，但这并不是一个有效或实用的策略。安全和修补的负担最终可能不得不从消费者身上卸下，交给公司。在那之前，像星期五这样的袭击仍然是一种威胁。