七年前,一场网络攻击导致美国许多最受欢迎的网站无法访问。2016年10月21日,互联网用户连续三次无法访问Twitter、CNN和Netflix等热门网站。人们自然会猜测是哪些强大的威胁行为体造成了这样的破坏。但这次事件并非敌对国家所为。事实证明,这起事件并不复杂,只是针对Dyn的分布式拒绝服务攻击,Dyn是一家提供域名系统(DNS)服务的公司,而域名系统是互联网通信结构的重要组成部分。
虽然这次攻击并不复杂,但规模很大。发送到Dyn服务器的大量流量是由从无线摄像头到WiFi路由器等联网消费设备组成的僵尸网络产生的。该僵尸网络以一部日本漫画命名为"Mirai",由三个刚满十岁的美国公民开发,他们很快全部被捕。
虽然他们在一年多后才认罪,但他们的发明却带来了更持久的阴影--物联网(IoT)生产商马虎的安全操作会造成多大的危害,尤其是广泛使用默认用户名和密码,使得Mirai僵尸网络能够自动感染这些设备,并传播到约30万台设备上,所有这些设备都可以被命令攻击其他任何连接到互联网的设备。
本周一,英国成为世界上第一个禁止这些物联网设备使用默认的可猜测用户名和密码的国家。但仍允许使用默认安装的唯一密码。
2022年《产品安全和电信基础设施法案》(PSTI)为制造商引入了新的最低安全标准,并要求这些公司向消费者公开其产品的安全更新期限。
制造和设计实践意味着许多物联网产品会给它们所连接的家庭和企业网络带来额外的风险。在网络安全公司Darktrace经常提到的一个案例中,据称黑客通过鱼缸中与互联网连接的温度传感器入侵了一家赌场原本保护完好的计算机网络,从而窃取了数据。
PSTI明确禁止使用"admin"或"12345"等弱密码或容易被猜到的默认密码,还要求制造商公布联系方式,以便用户报告漏洞。不符合规定的产品可能会被召回,负有责任的公司可能会被处以最高1000万英镑(1253万美元)或其全球收入4%的罚款,以金额较高者为准。
该法将由产品安全和标准办公室(OPSS)监管,该办公室隶属于商业和贸易部,而不是一个独立机构。
消费者权益组织"Which?"OPSS必须为行业提供明确的指导,并准备好在制造商藐视法律时对其采取强有力的执法行动。
卡姆罗斯子爵是英国立法机构的世袭贵族之一,他被政府任命为网络大臣,他介绍说:"随着日常生活越来越依赖于联网设备,互联网带来的威胁也成倍增加,甚至变得更大。从今天起,消费者将更加放心,他们的智能设备将受到保护,免受网络犯罪分子的侵害。"
其他国家也在推进类似的法律,但都尚未生效。欧盟的《网络复原力法案》尚未最终达成一致,但其类似条款预计要到2027年才会在欧盟内部适用。
尽管《2020年物联网网络安全改进法案》要求美国国家标准与技术研究院"为联邦政府制定和发布标准和指南",以指导他们如何使用物联网设备,但美国没有关于保护消费者物联网设备安全的联邦法律。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】