你认为你知道IoT安全的一切都是错误的
听取关于保护物联网设备的建议,您可能会被告知,应该扩大安全级别,以应对可能的威胁。例如,联网的家庭恒温器应该设计成防止业余爱好者和严重黑客的破坏。但通常的建议是,没有理由担心某个民族国家会窥探你家的恒温器。毕竟,朝鲜难道没有比在你家里摆弄温度更好的事情可做吗?
这哲学关于物联网安全声音完全合理。这是完全错误的。
原因来自普林斯顿大学研究人员在去年的USENIX安全研讨会上所做的报告。他们发现,攻击者有可能控制高瓦数的消费设备,如空调和加热器,从而对电网发起大规模的协同攻击。其想法是渗透大量的高瓦数物联网负载,以同时打开或关闭所有负载。模拟结果显示,这些恶作剧可能会导致从局部停电到大规模停电的各种情况。
普林斯顿研究人员设想的攻击风格有一个先例。2016年,Mirai僵尸网络病毒通过拒绝服务攻击缩小了几个主要网站。(僵尸网络绰号由Mirai对来自一系列服务器集的感染设备的控制来源。)通过看似无害的物联网设备,包括家庭路由器,空气质量监视器和个人监控摄像头的攻击发生。研究人员估计,在它的峰值处,Mirai感染了超过60万弱势物联网设备。
Mirai证明了破坏大量物联网设备是多么简单。最初的版本只是简单地尝试了一组固定的64个常用的众所周知的默认登录/密码组合。Mirai通过在网络上随机搜索目标并进行攻击,发现了这些设备。一旦它控制了物联网设备,Mirai软件就会向攻击服务器报告,然后感染设备。
普林斯顿的研究人员发现,需求突然增加了30%,导致电网发电机进行跳闸。他们认为,对手需要在目标区域中获得约90,000个A / C单位或18,000个热水器以脱离这间特技。
打开一个区域的负荷并在另一个区域关闭它们也可能导致进一步的破坏。权力根据Kirchhoff的法律流过网格,因此电网运营商几乎没有控制电力流动一旦发电机踢进机。一个区域的需求上升可以创建线路过载和故障,反过来可能导致进一步的级联行失败。研究人员表示,特别是风险,是连接相邻电力系统之间的系带线。
即使黑客不能成功地关闭电网,他们也会极大地提高运营成本。当需求超过计划容量时,电网运营商必须从备用发电机购买额外的电力。用这些发电机发电的成本通常比用普通来源发电的成本高得多。研究人员进行的模拟显示,在高峰时段,电力需求只要增加5%,发电成本就会增加20%。
所有这些都应该给您暂停下次听到安全专家的疑称,消费者IoT设备不需要保护的网络万格雷威机构。
李·特斯勒|执行编辑
提交:ee世界数字问题那数字问题
