加州州长早前签署新法,自2020年起,所有在该州出售而连接网络(或透过蓝牙连接)的装置,出厂时均不能再使用「password」「123456」等不安全的预设密码。
新法规定,有关装置出厂时不能使用统一密码,厂商须为每个装置设置独特的密码,或者强迫使用者产生新密码。受规管的装置包括路由器、网络镜头、智能喇叭以至各种智能家居电器等,这条法例让加州为未来物联网(Internet of Things, IoT)的安全迈进了一小步。
草拟法案的州参议员积臣(Hannah-Beth Jackson)指出,连接网络的装置缺乏基本安全功能,会损害加州人的私隐及安全,此法案确保科技为加州人民服务,而且安全是设计过程中的关键部分,而非事后补救。
殭尸网络攻击规定物联网装置设定更安全的密码,除了保障使用者外,亦有助降低互联网出现大规模攻击的风险。
黑客会透过入侵保安设定不佳的装置,组成一个「殭尸网络」(botnet),当有需要的时候,便会控制这些装置发动「分散式阻断服务攻击」(DDoS attack),同时发送大量流量至目标,使其不胜负荷。
如果装置在出厂时使用统一设定的密码,黑客便容易取得这个密码,并在使用者不知情下骑劫装置。当然,使用者会自行更改密码的话,黑客就需要用其他更精密的方法入侵装置,或者换一个目标。问题是,大多数人都避免麻烦,保留原厂设定——你有没有为自己的路由器改密码?(留意不是指Wi-Fi密码,而是装置本身的管理员密码。)
英国提供比较宽频服务的公司Broadband Genie的一项调查发现,逾二千位受访者当中仅得18%会更改路由器的密码,换言之超过8成人会保留原来密码。调查亦有问受访者为何不更改路由器设定,例如更新韧体(firmware)和设置密码等,有近半人表示因为他们不知道为何需要更改,另外有34%人则回应指不确定如何更改。
错失机会近年DDoS的攻击规模越来越庞大,两年前一个名为「未来」(Mirai)的恶意软件在网络流传,不断入侵各种装置使其成为殭尸网络的一部分。在2016年10月21日,域名系统(DNS)供应商Dyn遭受「未来」控制的殭尸网络攻击,令大量网站及网络服务受影响,包括Airbnb、亚马逊、CNN、Reddit、Spotify、Paypal及Netflix等等。该次攻击的规模在高峰达到每秒150GB。
「未来」记录了超过60款装置出厂时的预设管理帐户名称及密码,然后直接登入及感染没有更改密码的装置。更精密的殭尸网络会利用已知的IoT装置漏洞入侵,毋须靠猜对密码。
虽然大公司如亚马逊、苹果和Google等在发现漏洞时,会提供更新修补,但加州今次的新法例并无规定厂商在发现漏洞时必须提供更新、通知用户。因此不少安全专家认为,今次通过的新法错过了更进一步保障民众的机会。
相关文章︰
「殭尸网络」大战︰入侵是为了保护你的装置? 未来的:所有物品都上网超方便,但也表示我们进入了万物皆可骇的时代 网路摄影机好方便?不想给全世界偷窥,改密码只是第一步资料来源︰
California cracks down on Internet of Crap passwords with new law to stop the botnets (The Register) Weak passwords banned in California from 2020 (BBC) California Is Making It Illegal for Devices to Have Shitty Default Passwords (Motherboard) California passes law that bans default passwords in connected devices (TechCrunch) The Cybersecurity 202: California's new Internet of Things law only protects against a small portion of cyberthreats (The Washington Post)