日本官員將瞄準(zhǔn)數(shù)以百萬計(jì)的物聯(lián)網(wǎng)設(shè)備 以確保奧運(yùn)會的安全

距離2020年東京奧運(yùn)會只有一年的時(shí)間了，日本沒有給任何機(jī)會。上周五，中國通過了一項(xiàng)法律，允許政府侵入不安全的物聯(lián)網(wǎng)設(shè)備，以調(diào)查國內(nèi)存在的容易被侵入的設(shè)備數(shù)量。

這項(xiàng)調(diào)查將由國家信息和通信技術(shù)研究所(NICT)的員工進(jìn)行，由內(nèi)務(wù)和交通部的工作人員監(jiān)督。

也許是出于隱私的原因，這項(xiàng)調(diào)查是在嚴(yán)格的參與規(guī)則下進(jìn)行的。不要以為日本政府黑客會啟動Metasploit，利用外來的RCE漏洞來獲取訪問權(quán)限。實(shí)際情況要乏味得多，因?yàn)镹ICT員工只允許使用默認(rèn)憑證和密碼字典。

這在安全行業(yè)引起了軒然大波。成立時(shí)間的情報(bào)副總裁加文?米勒德(Gavin Millard)表示，印度可能只會發(fā)現(xiàn)一些唾手可得的成果，而且無法識別大量易受攻擊的物聯(lián)網(wǎng)設(shè)備。

NICT似乎不會進(jìn)行反擊，而是用簡單的密碼來通知用戶設(shè)備被暴露了。快速的Shodan搜索只能找到目前在日本連接的大約1000臺設(shè)備，它們的密碼很容易被猜出，所以除非它們能更深入地利用像Nessus這樣的掃描工具，否則這將是更多的公關(guān)，而不是真正的安全改進(jìn)，”他說。

該調(diào)查計(jì)劃在下個(gè)月進(jìn)行，最終目標(biāo)是將超過2億部物聯(lián)網(wǎng)設(shè)備編目。NICT計(jì)劃從路由器和網(wǎng)絡(luò)攝像頭開始，考慮到這些設(shè)備的擴(kuò)散和它們被破壞的頻率，這是有意義的。

一旦政府識別出不安全的設(shè)備，它將把詳細(xì)信息傳遞給互聯(lián)網(wǎng)服務(wù)提供商和地方當(dāng)局，然后由他們通知消費(fèi)者。

日本應(yīng)該受到贊揚(yáng)，因?yàn)樗_地識別出了危險(xiǎn)的物聯(lián)網(wǎng)設(shè)備所構(gòu)成的威脅。黑客們已經(jīng)成功地將“智能”設(shè)備武器化，這要感謝現(xiàn)實(shí)，即許多設(shè)備都帶有不安全的默認(rèn)設(shè)置，很少收到安全更新和補(bǔ)丁。

物聯(lián)網(wǎng)設(shè)備，無論大小，經(jīng)常被黑客武器化，用于實(shí)施災(zāi)難性的分布式拒絕服務(wù)(DDoS)攻擊。還記得有人創(chuàng)建了一個(gè)幾乎完全由被黑路由器組成的僵尸網(wǎng)絡(luò)，并利用它摧毀了互聯(lián)網(wǎng)的一半嗎?好時(shí)光。

話雖如此，我擔(dān)心日本的努力不太可能帶來真正的改變。與世界其他地區(qū)相比，日本脆弱的物聯(lián)網(wǎng)設(shè)備數(shù)量只是滄海一粟。我們現(xiàn)在知道，網(wǎng)絡(luò)攻擊沒有國界。