加州州長早前簽署新法,自2020年起,所有在該州出售而連接網路(或透過藍牙連接)的裝置,出廠時均不能再使用「password」「123456」等不安全的預設密碼。
新法規定,有關裝置出廠時不能使用統一密碼,廠商須為每個裝置設置獨特的密碼,或者強迫使用者產生新密碼。受規管的裝置包括路由器、網路鏡頭、智能喇叭以至各種智能家居電器等,這條法例讓加州為未來物聯網(Internet of Things, IoT)的安全邁進了一小步。
草擬法案的州參議員積臣(Hannah-Beth Jackson)指出,連接網路的裝置缺乏基本安全功能,會損害加州人的私隱及安全,此法案確保科技為加州人民服務,而且安全是設計過程中的關鍵部分,而非事後補救。
殭屍網路攻擊
規定物聯網裝置設定更安全的密碼,除了保障使用者外,亦有助降低網際網路出現大規模攻擊的風險。
黑客會透過入侵保安設定不佳的裝置,組成一個「殭屍網路」(botnet),當有需要的時候,便會控制這些裝置發動「分散式阻斷服務攻擊」(DDoS attack),同時發送大量流量至目標,使其不勝負荷。
如果裝置在出廠時使用統一設定的密碼,黑客便容易取得這個密碼,並在使用者不知情下騎劫裝置。當然,使用者會自行更改密碼的話,黑客就需要用其他更精密的方法入侵裝置,或者換一個目標。問題是,大多數人都避免麻煩,保留原廠設定——你有沒有為自己的路由器改密碼?(留意不是指Wi-Fi密碼,而是裝置本身的管理員密碼。)
Photo Credit: Negative Space
英國提供比較寬頻服務的公司Broadband Genie的一項調查發現,逾二千位受訪者當中僅得18%會更改路由器的密碼,換言之超過8成人會保留原來密碼。調查亦有問受訪者為何不更改路由器設定,例如更新韌體(firmware)和設置密碼等,有近半人表示因為他們不知道為何需要更改,另外有34%人則回應指不確定如何更改。
錯失機會
近年DDoS的攻擊規模越來越龐大,兩年前一個名為「未來」(Mirai)的惡意軟體在網路流傳,不斷入侵各種裝置使其成為殭屍網路的一部分。在2016年10月21日,域名系統(DNS)供應商Dyn遭受「未來」控制的殭屍網路攻擊,令大量網站及網路服務受影響,包括Airbnb、亞馬遜、CNN、Reddit、Spotify、Paypal及Netflix等等。該次攻擊的規模在高峰達到每秒150GB。
「未來」記錄了超過60款裝置出廠時的預設管理帳戶名稱及密碼,然後直接登入及感染沒有更改密碼的裝置。更精密的殭屍網路會利用已知的IoT裝置漏洞入侵,毋須靠猜對密碼。
雖然大公司如亞馬遜、蘋果和Google等在發現漏洞時,會提供更新修補,但加州今次的新法例並無規定廠商在發現漏洞時必須提供更新、通知用戶。因此不少安全專家認為,今次通過的新法錯過了更進一步保障民眾的機會。
相關文章︰
資料來源︰
- California cracks down on Internet of Crap passwords with new law to stop the botnets (The Register)
- Weak passwords banned in California from 2020 (BBC)
- California Is Making It Illegal for Devices to Have Shitty Default Passwords (Motherboard)
- California passes law that bans default passwords in connected devices (TechCrunch)
- The Cybersecurity 202: California's new Internet of Things law only protects against a small portion of cyberthreats (The Washington Post)