我們都知道勒索軟件已經(jīng)成為一個(gè)大問(wèn)題——它攻擊商業(yè)和消費(fèi)者，加密有價(jià)值的數(shù)據(jù)，并且要求交付巨額的贖金才安全恢復(fù)數(shù)據(jù)。

　　但是，至少我們可以這樣想來(lái)安慰自己：威脅僅限于加密電腦或web服務(wù)器上的數(shù)據(jù)，或者是鎖定用戶的系統(tǒng)，直到支付了贖金。

　　勒索軟件盯上IoT

　　近年來(lái)物聯(lián)網(wǎng)興起了，這意味著，將來(lái)我們所認(rèn)為的電腦在不斷擴(kuò)展。Critical Infrastructure Technology (ICIT)研究機(jī)構(gòu)在一個(gè)報(bào)告中警告說(shuō)，IoT設(shè)備正在成為勒索軟件的攻擊目標(biāo)!

　　這個(gè)報(bào)告中使用了非常警醒的標(biāo)題即“對(duì)抗勒索軟件閃電戰(zhàn)”，文中討論了各種各樣的加密式的勒索軟件家族，強(qiáng)調(diào)用戶要從多個(gè)層面防護(hù)類似的攻擊。

　　文章中最吸引我目光的地方是，它描述了未來(lái)潛在的威脅：

　　IoT設(shè)備為勒索軟件攻擊提供了潛在的持續(xù)增長(zhǎng)的溫床，因?yàn)檫@些設(shè)備被設(shè)計(jì)為可以連接互聯(lián)網(wǎng)，而且存在各種形式的安全問(wèn)題。傳統(tǒng)的惡意軟件可能會(huì)因?yàn)樘蠖荒茉贗oT設(shè)備上運(yùn)行，但是勒索軟件，主要只包括幾條命令和一個(gè)加密算法，非常輕巧。

　　你覺(jué)得人們會(huì)付多少錢來(lái)移除心臟起搏器上的勒索軟件?這個(gè)場(chǎng)景并不遙遠(yuǎn)，而且非常有致命性。許多醫(yī)療設(shè)備，比如心臟起搏器、胰島素泵、以及其它醫(yī)療系統(tǒng)，都開(kāi)啟了互聯(lián)網(wǎng)或者藍(lán)牙功能。勒索軟件可以利用這個(gè)開(kāi)放的連接來(lái)感染IoT設(shè)備。

　　我覺(jué)得ICIT提出的這個(gè)問(wèn)題并非是遙不可及的。

　　IoT設(shè)備相當(dāng)脆弱，也更加危險(xiǎn)

　　我們從過(guò)去的經(jīng)驗(yàn)中知道大多數(shù)網(wǎng)絡(luò)罪犯并不會(huì)因?yàn)橥{生命而不安，與傳統(tǒng)的電腦相比，IoT設(shè)備安全性很弱，有硬編碼口令等漏洞，也許連簡(jiǎn)單的更新機(jī)制都沒(méi)有，充斥著各種類型的漏洞。

　　我們已經(jīng)發(fā)現(xiàn)，閉路電視攝像機(jī)和路由器等設(shè)備，成為了僵尸網(wǎng)絡(luò)的一部分，被用于發(fā)動(dòng)DDoS攻擊。

　　所以，勒索軟件攻擊互聯(lián)網(wǎng)設(shè)備并沒(méi)有什么不同，黑客可以索取比特幣，作為恢復(fù)設(shè)備正常操作的條件。比如，勒索軟件可以攻擊醫(yī)療設(shè)備。

　　如果罪犯發(fā)現(xiàn)這很容易賺錢，他們當(dāng)然會(huì)用勒索軟件攻擊IoT設(shè)備了。

　　報(bào)告引用了來(lái)自Cylance的Jon Miller的話，可以看到另一種攻擊IoT設(shè)備的形式，降低電池的壽命：

　　“在心臟起搏器上，即便一個(gè)加單的加密操作也可以減少電池的壽命，從幾十年降為幾年甚至是幾個(gè)月，因?yàn)樵谠O(shè)計(jì)時(shí)并沒(méi)有考慮支持這樣的操作。加密操作越耗費(fèi)資源，情況就越糟糕”

　　任何發(fā)起IoT勒索攻擊的人都需要考慮一個(gè)問(wèn)題，如何通知設(shè)備的擁有者交付他們要求的贖金。這在筆記本上很簡(jiǎn)單，但是在心臟起搏器上就很有挑戰(zhàn)了，除非攻擊者設(shè)法獲取了，比如受害者的email地址。

　　將來(lái)，勒索軟件是否會(huì)像當(dāng)前攻擊傳統(tǒng)的電腦系統(tǒng)一樣攻擊IoT設(shè)備，拭目以待吧!