博泰扎图指出,这位研究人员发现有僵尸网络客户端运行在这些设备之上,已经证明了嵌入式领域也会发生类似问题,但由于目前并不存在相应的检测机制,这样的观点往往就会被忽视。
施勒塞尔声称:“当前的现实情况就是,成千上万台连接到互联网上的设备在安全方面的问题比人们通常预计到的情况糟糕得多”。并且,“在这些设备里的一种上找到另一张僵尸网络也不会是什么大新闻——在过去的时间,其它研究已经证实了公共互联网上的安全状况属于非常令人担忧的情况”。
一月份,一项来自Rapid7的安全研究人员公布的研究结果就已经显示出,由于通用即插即用(UPnP)协议标准在部署过程中存在有危险漏洞,从而导致包括路由器、打印机、媒体服务器、IP摄像机、智能电视以及更多其它类型在内数以千万计拥有网络功能的设备都可以被攻击者通过互联网入侵。
施勒塞尔进一步指出,不幸的是,这个普遍存在的问题是无法利用一种简单解决方案来予以彻底消除的。“只有设备制造商在处理安全方面出现的问题时保持更为认真的态度,并与学术界共同努力确认并清除掉潜藏的漏洞,嵌入式设备的安全性才能获得真正意义上的提高”。
施勒塞尔介绍说,市面上已经出现了针对其中一些问题的技术解决方案,供应商也已经选择使用。“举例来说,供应商可以预先就为设备设置好随机密码,并将包含具体信息的口令贴在机身上。尽管这种做法会导致成本上升一点,但却属于物有所值的解决方案。此外,利用二维条码来提供“初始安装网址”也属于一种可行选择。实际上,任何解决方案都比脆弱的默认初始密码强得多”。
这位不愿意透露姓名的研究人员通过电子邮件指出:“这属于供应商的责任”。关键的问题就在于,“它们绝不能指望用户利用远程方式进行登录并修改密码”。
博泰扎图同意供应商存在更喜欢默认密码而忽视安全方面问题,并且不愿意逼迫用户进行调整的观点。不过,他也指出,对用户进行基本培训也是非常有必要的。他认为,只有所有者才能决定如何使用设备,将什么服务暴露在互联网上,以及部署哪些安全控件。
他认为:“用户之所以需要获得连接上互联网的设备应该采取什么最佳措施的说明,就在于确保能够安全接入网络就属于供应商的责任”。
否则的话,随着从汽车到冰箱,以及咖啡壶在内越来越多的设备都被连接到互联网上,安全方面的问题只会变得更加糟糕。
博泰扎图指出:“就如同任何其它计算机一样,这些设备也很容易遭遇攻击并被利用”。