“永远肩负守卫物联网安全的责任和使命”——Ayla CTO发声美网瘫痪事件


2016年10月26日

技术文章

2016年10月21日,美国最主要的 DNS服务商Dyn遭遇了一场大规模的DDoS攻击,导致多个网站无法访问,且给人们的日常生活造成了严重影响。

这是一场以物联网为基础的攻击,不明身份的黑客利用一款名为Mirai的恶意软件控制了数千万台设备,使这种攻击比一般的分布式拒绝服务攻击更强大、更难以抵御。

Adrian Caceres.png

Ayla Netwoks CTO Adrian Caceres(阿德里安·卡塞雷斯)从物联网安全角度出发,针对该事件给出了自己的看法和建议,同时也表示,Ayla作为全球领先的物联网平台提供商,将永远肩负起守卫物联网安全的责任和使命。


Adrian Caceres

10月21日早上,上千万遭恶意软件感染的设备挤爆了域名系统提供商Dyn,以至于正常的需求难以通过系统。

遭受感染的设备大多是摄影机或家用的路由器,这些路由器同物联网相连接,并且没有修改系统初始分配的默认用户名及密码。通过对这些明显的弱凭证进行猜测,这次攻击就能够渗透进这些设备当中。

我认为自己需要详述这一问题,并分享一些个人想法,制造商以及我们消费者需要采取何种措施,才能避免类似的攻击不会在未来重演。


1.看似不起眼的密码可能是主要问题

《疑犯追踪》是我个人最爱的一部电视剧之一,剧中的角色Harold可以运行复杂的算法破解一些难度极大的密码。不过在现实世界中,破译密码的过程就显得有些平淡乏味了。说句有点伤人的话,Harold只需几秒钟的时间就可以轻松破解我们日常生活中的密码。

多年来,由弱密码而导致的弱点在业内早已众所周知。物联网设备的制造商需要明白,一个系统的安全性取决于最短的那块木板。在高科技领域,人类与科技相互进行互动的领域恰恰正是弱点最容易暴露的地方。

人类的人性之中包含了懒惰的一面。我们当中大多数人都不会修改我们无线路由器的初始用户名及密码,或修改无线网络的密码。对于我们经常访问浏览的网页,我们通常都会选择记住密码。


2.制造商必须担起责任

 制造商必须意识到人性当中的惰性,并且在设计系统时牢记这一点。想要在安全性和使用的便携性之间获得平衡从来就不是一件易事,尤其是在进行初始设置的时候。

因为消费者既希望设置简单,又希望设备可以正常运作,不过制造商不能就这样将问题推给消费者,他们需要努力做到的是:让消费者轻松地维护基本的安全,并确保安全措施成为物联网平台科技当中的一部分。


3.消费者能做什么?

作为消费者,我们应提升安全意识,力所能及地降低渗透入侵事件的可能性。10月21日发生的攻击表明了消费者资产并不是攻击的目标,相反,消费者设备充当了攻击第三方的前线士兵。

考虑到这种趋势还将延续下去,因此学习了解基本的安全原则就显得格外重要。我建议每位消费者都能做到以下几点:

    • 保护我们所有的计算设备,从笔记本电脑到路由器,再到我们众多的物联网设备。
    • 不要所有的账号都使用相同的密码。
    • 可能的话使用双重验证。

遵守这些原则对我们自身有利无弊,对社会来说也大有裨益,我们希望确保未来的攻击不会再基于诸如默认用户名及密码之类的简单载体。


4.守卫物联网安全,我们一直在行动

作为业界领先的企业级物联网平台提供商,Ayla一直肩负着守卫物联网安全的责任。

在设备端,Ayla设备的安全并不依靠默认的用户名、密码或全局密钥。众所周知,这些都是容易被利用的安全漏洞。而Ayla提供了一个端到端的完整物联网解决方案,为制造商提供安全可靠的联网能力,确保端到端的企业级安全:

    • 多重身份验证:要将设备连接到云,需要多重验证,除了用户名/密码,还有如厂商授权码进行另外一道加密保护;
    • 每个设备都有唯一的私钥:每个设备都有一个独一无二的密钥,烧录在芯片中;
    • 端到端数据加密:从终端设备到Ayla Cloud,从Ayla Cloud到App都采用TLS进行加密处理;
    • 局域网加密:Lan mode模式中,终端设备与App的通信采用AES128位加密;
    • 分层访问控制:每个设备以及每个用户的访问权限是独立的,一个用户或者一个设备的漏洞不会危害整个系统;
    • 设备注册:设备注册的时候要求设备在可见范围内,Ayla不推荐DSN注册;
    • 国际标准认证:通过了ISO27001和S0C2认证。

关于Ayla Networks

Ayla简化了物联网(IoT)固有的各种复杂因素,以便制造商能够将其产品转换成智能互连系统,从而改变他们在商业竞争世界的游戏规则。作为一个物联网(PaaS)平台,Ayla敏捷物联网平台提供了足够的灵活性和模块化的服务,可满足几乎任何类型设备的批量快速接入,及产品的快速变化和迭代更新。Ayla成立于2010年,总部位于美国加利福尼亚圣克拉拉,业务服务网点覆盖欧洲、中国台湾、日本等全球多个地区。中国大陆分公司坐落于新兴的中国硅谷"深圳",公司于2016年6月正式完成安赐资本、三诺集团、赛富亚洲基金、思科、世界银行集团(World BankGroup)下属机构国际金融公司(IFC)、线性资本、日本三井财团、Acorn Pacific、Voyager Capital、SJF Ventures等知名投资机构数千万美元C轮融资。