物聯(lián)網(wǎng)另一面：Shodan搜索引擎可能正在監控你

　　這一次，科技網(wǎng)站Ars Technica給出了一個(gè)不支持物聯(lián)網(wǎng)的更加堅決的理由：該搜索引擎可以允許用戶(hù)從任一缺乏安全防護措施的網(wǎng)絡(luò )攝像頭中取得直播視頻。這個(gè)監控范圍從飼料廠(chǎng)到后花園，從辦公室到商店，甚至可以入侵父母為監控熟睡嬰兒安全所安裝的網(wǎng)絡(luò )攝像頭。

　　Shodan是約翰·馬瑟利在2009年舉辦的DEFCON黑客大會(huì )上發(fā)布的，其名字取自風(fēng)靡一時(shí)的電腦游戲System Shock中的邪惡主機，該搜索引擎會(huì )掃描每一個(gè)互聯(lián)網(wǎng)設備來(lái)尋找安全漏洞。

　　截至目前，Shodan除了揭露已出現的漏洞外不承擔其他任務(wù)，但這并沒(méi)有使它免遭批評。安全專(zhuān)家馬克·古德曼(Marc Goodman)在他的書(shū)《Future Crimes》中說(shuō)：“它為國家、企業(yè)甚至任何設備提供搜索服務(wù)和詳細的使用方法，并為任何想要入侵重要基礎設施的個(gè)人極大地降低了技術(shù)難度。Shodan如今將技術(shù)難度降得更低：它為那些支付49美元的用戶(hù)演示如何輕松地發(fā)現并從具有漏洞的聯(lián)網(wǎng)攝像頭傳輸鏡頭畫(huà)面。

　　2015年9月，一位供職于專(zhuān)業(yè)網(wǎng)絡(luò )安全國際公司的法國主管曾表示，他們公司可以利用互聯(lián)網(wǎng)發(fā)現“法國所有與互聯(lián)網(wǎng)連接的核電站”。而在2012年，另一群匿名網(wǎng)絡(luò )探險家簡(jiǎn)單地嘗試以“用戶(hù)”或“管理員”身份及同樣的密碼登錄，便接入了超過(guò)40萬(wàn)臺設備。隨著(zhù)互聯(lián)網(wǎng)連接設備的興起，他們能入侵的設備可能會(huì )更多。

　　可預見(jiàn)默認密碼甚至未設置密碼的的網(wǎng)絡(luò )攝像頭仍在被廣泛使用。雖然谷歌旗下的監控攝像頭Dropcam有很高信譽(yù)保障，但在價(jià)格上它無(wú)法與更大眾化的品牌競爭。

　　科技網(wǎng)站Ars Technica認為，最好的解決辦法是“大棒加胡蘿卜”，軟硬兼施。首先，需要信息專(zhuān)員辦公室這樣的機構改變策略，采取更加有效的措施。但事實(shí)上，這些機構目前采用“玩打地鼠”的方法，僅僅對已浮出水面的問(wèn)題采取行動(dòng)，無(wú)法從根本上解決問(wèn)題。

　　此外，生產(chǎn)廠(chǎng)家加強自律也很有必要。一個(gè)叫“我是騎兵”的草根組織是這樣做的——上周，由公眾自發(fā)組成的網(wǎng)絡(luò )安全志愿者提出了針對聯(lián)網(wǎng)醫療設備的“希波克拉底誓言”，該誓言以拯救人命及遵守醫業(yè)道德為準繩。他們建議設備生產(chǎn)廠(chǎng)家遵循“及時(shí)、敏捷和安全更新”的原則，并與第三方研究人員合作確保潛在的安全問(wèn)題可以被上報。

　　在未來(lái)的某一天，類(lèi)似的宣言可能會(huì )被印在物聯(lián)網(wǎng)設備的包裝上，讓客戶(hù)確信他們的商品提供商很?chē)烂C地對待安全問(wèn)題。在那之前，用戶(hù)還是先花時(shí)間來(lái)更改默認密碼，以保證自身遠離Shodan的監控。