我們能阻止聯網的小玩意破壞網際網路嗎？

上週晚些時候，10萬個洩露的互聯小工具幫助匿名攻擊者發動了大規模持續的DDoS攻擊。名為Mirai的惡意軟體控制了這些裝置，在Dyn（一家將流量請求路由到Twitter、Amazon和Netflix等多個主要網站的DNS服務提供商）上引導大量流量，可能高達1.2tbps。上週五，這些網站連續幾個小時處於離線狀態，導致受影響的服務和整個網際網路都出現了持久的黑眼圈。雖然Dyn在週六早上修複了最初的事件...

安全研究人員多年來一直警告說，隨著越來越多的小玩意上網，併成為駭客的明顯目標，會發生這種規模的攻擊。眾所周知，由於令人眼花繚亂的供應鏈、消費者對安全的普遍不感興趣或瞭解，以及裝置本身的設計，它們很難得到保障。現在這些問題比以往任何時候都更為緊迫，那麼我們如何修複當前和未來的裝置，以防止對網際網路的更大攻擊呢？

研究人員看到了這一點

最大的安全挑戰可能是供應鏈的複雜性。大多數人都可以使用不同**商提供的元件和軟體構建一個連線到網際網路的小工具。例如，看看亞馬遜上提供的3000個網路攝像頭。複雜的供應鏈導致網路攝像頭或其他裝置與晶片從一個工廠，軟體從另一個，感測器從別人。這使得追溯零件和確定某些小工具是否易受攻擊變得困難。

在上週的攻擊之後，研究人員試圖確定是誰**了受影響的小玩意。Flashpoint認定中國電子公司杭州雄邁是受影響的IP攝像頭和DVR板的創造者，這些產品最終出現在各種白標產品中。研究人員稱，這些裝置構成了Mirai洩露的大部分裝置，因為熊邁的部分帶有預設使用者名稱和密碼。這些預設設定可能使熊邁更容易訪問裝置並提供無縫的客戶支援，但由於熊邁沒有強迫使用者更改登入名，因此他們很容易成為攻擊目標。Mirai只使用了62個登入組合來暴力攻擊所有被破壞的裝置。熊邁召回了在美國釋出的網路攝像頭，但尚不清楚召回是否會產生很大影響。據MalwareTech稱，召回後Mirai感染率創歷史新高。此外，元件是問題所在，而且，供應鏈的粘性使得很難確定哪些裝置可能會受到影響。

軟體和硬體都會帶來問題

軟體不容易保持安全。大多數裝置無法修補，軟體幾乎總是有缺陷。”Akamai的高階安全倡導者Martin McKeay告訴Verge說：“無法遠端修補（某些裝置），或者根本無法修補。”這就是我們現在看到的很多問題會持續一段時間的原因。我們無法修補IP攝像頭，也無法修補DVR。”

即使打補丁是一種選擇，使用者也必須檢查他們的裝置是否是最新的，然後花時間打補丁。麥凱說，這常常是一場鬥爭。烤麵包機的介面不會提示某人更新。我們的膝上型電腦和**會傳送推送通知，但完全有可能有人永遠不會在其連線的燈泡上看到更新提醒。”Cloudflare執行長馬修•普林斯（Matthew Prince）表示：“要讓消費者像看待Windows一樣看待自己的烤麵包機，並定期為其安裝補丁，確實很困難。”我懷疑我們是否能夠讓人們定期更新家中的裝置，因為我們都學會瞭如何與烤麵包機互動，而忘記這一點需要很長時間。”

補痛

如果使用者不打補丁，**商很難保持供應鏈的清潔，McKeay和Prince都建議考慮增加一個網路安全層。網路層安全在小工具和公共網際網路之間設定了額外的屏障。任何擁有該網路的人都可以監控進出的流量並做出調整，比如阻止異常行為或將更新推送到裝置。第三方公司、小工具銷售商，甚至網際網路服務提供商都可以提供這個網路。在ISP級別安裝該監視器可能會引起監視問題，但至少在網路級別工作意味著，如果向受損裝置發出命令的IP地址是已知的，那麼來自那裡的通訊可能會被阻止。依賴第三方公司需要信任和持續的服務成本，通常由**商承擔。例如，像谷歌這樣的**商也可以為其Nest Cam部署自己的網路，這可能是最好的解決方案，尤其是對於擁有財政和人力資源的科技公司。如果一個裝置需要一個補丁，它會立即透過網路釋出，而不是透過使用者發起的更新。普林斯指出，關鍵的基礎設施和汽車已經部署了這種安全解決方案。

儘管個人使用者可以將自己的小工具從網路的其他部分中獨立出來，但這並不是一個有效或實用的策略。安全和修補的負擔最終可能不得不從消費者身上卸下，交給公司。在那之前，像星期五這樣的襲擊仍然是一種威脅。