美國聯邦委員會花25000美元懸賞自動修補IoT設備方案

根據IDG的預測，物聯網市場在2020年時將達到17000億，全球接入物聯網的終端將會達到500億個。而Gartner則預計到2020年時，物聯網的黑市交易將會超過50億美元。

由此來看，物聯網設備的惡意軟體已經成為一個繁榮的行業。這也表示所有連接網路的設備都將會受到惡意軟體的影響，一個惡意軟體就可以影響其連接的所有設備。

如今，物聯網設備充斥著我們的生活，從安全攝像頭、智能電視到智能冰箱和門鎖等。雖然對很多人來說，物聯網確實改善了人們的生活質量，但是由於缺乏嚴格的安全措施和加密機制，設備的危險指數也不斷增加，為攻擊者提供許多入侵我們生活的入口。

還記得Mirai殭屍網路嗎？

通過劫持100000個物聯網設備形成殭屍網路發動大規模DDoS攻擊，導致數百萬用戶的互聯網遭遇「宕機」事故。

與此同時，杭州雄邁科技（一家數字錄像機和互聯攝像頭設備供應商）承認其公司旗下的智能產品——DVR和聯網攝像機等設備的默認密碼較弱，導致產品安全漏洞被「Mirai」惡意軟體利用。據悉，「Mirai」惡意軟體利用這些漏洞入侵了杭州雄邁公司所製造的設備，並發出了規模龐大的分散式拒絕服務公司，其中還涉及到美國大面積停電事故。但是由於是硬編碼的密碼以及存在更新困難的原因，最終該公司選擇召回了部分產品。

製造商銷售物聯網設備卻不具備自動補丁更新機制的現狀，加劇了物聯網設備的安全隱患。因此，有效的補丁部署對於物聯網設備而言是一個大問題。此外，目前大部分的設備都存在弱密碼（如1234）或是硬編碼密碼、後門以及不安全的協議等情況。

就在2015 年初，美國聯邦貿易委員會（FTC）曾經發布了一份有關物聯網隱私與安全的報告，為研發物聯網相關連接設備的公司提出了一系列建議。其中包括：

1. 從一開始就為連接設備安裝安全系統，而不是馬後炮；n2. 在識別安全風險時，要深思熟慮並制定一個「縱深防禦（Defense-in-Depth）」戰略，即使用多重防禦策略來逐級管控安全威脅，用以抵禦某一個特定的風險；n3. 考慮並採取相關措施，以防止未經授權的用戶訪問消費者的設備、數據或存儲在互聯網上的個人信息；n4. 對預期生命周期內的連接設備實施監控，並在可行的情況下，提供安全補丁，以覆蓋已知的風險。n

繼這份物聯網隱私和安全報告後，美國聯邦貿易委員會（FTC）又於近日宣布了一項「懸賞計劃」，旨在創建一個自動修補物聯網設備的安全解決方案。好消息是，你可以獲得高達2.5萬美元的賞金，而消費者們也能夠在自己家中部署防範安全漏洞的物聯網設備解決方案。

美國聯邦委員會正在尋找一款工具，能夠針對聯網設備以及最新的物理設備執行自動軟體更新的操作，其中有些可以自動更新，另外一些則需要用戶去調整一個或多個設置來實現。

美國聯邦委員會表示，參選／決勝的工具可以是一個物理設備、應用程序或是一個基於雲的服務，只要能夠保護消費者免受過時軟體引起的安全漏洞即可。最終的獲勝名單將於今年7月份正式對外公布，屆時花落誰家，敬請關注！

註：本文參考來源於thehackernews

推薦閱讀：