您当前的位置：首页 > 无限物联

物联网另一面：Shodan搜索引擎可能正在监控你

2017-04-06 12:00:22

用手机开启车库门，或通过给车钥匙发信息找到它们……物联网给人们带来了很多便利，但最近Shodan这1搜索引擎显示出的强大功能令人们意想到：应当更加严肃地对待“物联网”安全。

这1次，科技网站Ars Technica给出了1个不支持物联网的更加坚决的理由：该搜索引擎可以允许用户从任1缺少安全防护措施的网络摄像头中获得直播视频。这个监控范围从饲料厂到后花园，从办公室到商店，乃至可以入侵父母为监控熟睡婴儿安全所安装的网络摄像头。

Shodan是约翰·马瑟利在2009年举行的DEFCON黑客大会上发布的，其名字取自风行1时的电脑游戏System Shock中的邪恶主机，该搜索引擎会扫描每个互联网装备来寻觅安全漏洞。

截至目前，Shodan除揭穿已出现的漏洞外不承当其他任务，但这并没有使它免遭批评。安全专家马克·古德曼(Marc Goodman)在他的书《Future Crimes》中说：“它为国家、企业乃至任何装备提供搜索服务和详细的使用方法，并为任何想要入侵重要基础设施的个人极大地下降了技术难度。Shodan如今将技术难度降得更低：它为那些支付49美元的用户演示如何轻松地发现并从具有漏洞的联网摄像头传输镜头画面。

2015年9月，1位供职于专业网络安全国际公司的法国主管曾表示，他们公司可以利用互联网发现“法国所有与互联网连接的核电站”。而在2012年，另外一群匿名网络探险家简单地尝试以“用户”或“管理员”身份及一样的密码登录，便接入了超过40万台装备。随着互联网连接装备的兴起，他们能入侵的装备可能会更多。

可预感默许密码乃至未设置密码的的网络摄像头仍在被广泛使用。虽然谷歌旗下的监控摄像头Dropcam有很高信誉保障，但在价格上它没法与更大众化的品牌竞争。

科技网站Ars Technica认为，最好的解决办法是“大棒加胡萝卜”，软硬兼施。首先，需要信息专员办公室这样的机构改变策略，采取更加有效的措施。但事实上，这些机构目前采取“玩打地鼠”的方法，仅仅对已浮出水面的问题采取行动，没法从根本上解决问题。

另外，生产厂家加强自律也很有必要。1个叫“我是骑兵”的草根组织是这样做的——上周，由公众自发组成的网络安全志愿者提出了针对联网医疗装备的“希波克拉底誓言”，该誓言以解救人命及遵照医业道德为准绳。他们建议装备生产厂家遵守“及时、敏捷和安全更新”的原则，并与第3方研究人员合作确保潜伏的安全问题可以被上报。

在未来的某1天，类似的宣言可能会被印在物联网装备的包装上，让客户确信他们的商品提供商很严肃地对待安全问题。在那之前，用户还是先花时间来更改默许密码，以保证本身阔别Shodan的监控。

TAG：