日本周五批准了一项法律修正案,允许政府工作人员入侵人们的物联网设备。
这项计划乃是不安全物联网设备调查的一部分。这一前所未有的调查将由国家信息和通信技术研究所(NICT)的员工在内政和通信部的监督下执行,NICT的员工将可以使用默认密码和密码词典来尝试登陆日本消费者的物联网设备。
该计划是为了编制一个不安全设备列表。这些所谓的不安全设备指的是使用默认和简单密码,并将其授权给当局和其他相关互联网服务供应商的设备。这个列表可以帮助工作人员采取进一步措施,以警告消费者并加密设备。
据悉,调查将于下月启动,届时政府将测试近2亿台物联网设备(从路由器到网络摄像头)的密码安全性。个人家中与企业网络中的设备也同样会被测试。根据内政和通信部的报道,2016年,针对物联网设备的黑客攻击占到所有网络攻击的三分之二。
日本政府的这一计划源于2020年澳奥运会的筹备。政府担心黑客可能会利用物联网设备,针对奥运会的IT基础设备发起攻击。这一担心不无道理。俄罗斯黑客曾在2018年平昌冬奥会开幕之前,部署“奥运会毁灭者”恶意软件,以报复数百名俄罗斯运动员被国际奥委会禁赛。
日本政府登录用户物联网设备的决策引起了日本民众的愤怒。很多人认为,这一步毫无必要。单纯地向用户发送安全警告也能起到同样的效果,因为即便政府发现有些用户使用默认或简单的密码,他们也未必一定会在收到私下通知后更改设备密码。
但是,政府的计划还是有其技术意义的。如今,黑客利用设置了默认和简单密码的设备,开发建立了许多物联网和路由器僵尸网络。保护这些设备十分麻烦,因为对于有些设备,用户自己也不知道Telnet或SSH端口已经暴露在网上。对此大多数用户也不知道如何更改密码。此外,其他设备还带有秘密的后门账户,有些情况下,若固件未更新则无法删除这类账户。