2020东京奥运进入倒数阶段,为了防止黑客作乱,影响比赛的IT基础系统,日本政府通过《国立研究开发法人情报通信研究机构法》修正案,允许官员登入民众IoT装置,并对疑似遭黑客锁定的装置用户发出警告。
这项修正案允许「国立研究开发法人情报通信研究机构」(NICT)的员工,在总务省的监督下对IoT设备进行调查。根据NICT的调查,在2016年以IoT设备为主的入侵,占全日本网络攻击的三分之二,因此奥运前夕,特别针对日本国内2亿多个IP进行安全测试,从路由器和网络摄影机开始,民众家中与企业的网络设备,也会在调查名单中。
根据《ZDNet》,NICT的职员主要以默认密码(如admin)或者容易猜测的密码(如0000)登入IoT装置,并将破解的名单交付第三方电信机构,委托通知用户重新设定,以增加安全性。这项大规模的测试,预计在2月上路。
▲日本政府通过网络安全法的修正案,为保证2020奥运安全,官员将能登入IoT设备,并委托电信业者,针对安全性不足的用户发出警告。
忧平昌冬奥网攻重演,日府不顾民怨强硬执行
日本政府利用公权力登入IoT设备,引发民怨,民众认为单纯传短信警告也能有同样效果。但日本政府认为黑客利用默认密码或简易密码的装置,建立了赢咖4注册的殭屍网络(botnet),许多用户根本不知道自己的帐户已被有心人士使用,甚至大多数用户也不知道如何更改密码,另外有些设备有秘密的后门帐号,假若硬件没有更新,帐号也无法删除。
官方的担心其来有自,2018年平昌冬奥开幕式,传出俄罗斯黑客散布名为「奥运摧毁者」(Olympic Destroyer)的恶意软件,以便报复国际奥委会对俄罗斯的禁赛令。虽然最后开幕式没受到影响,却已引起恐慌。
同年在乌克兰举办的欧洲冠军联赛(UEFA)的总决赛中,传出俄罗斯黑客透过民众家中的路由器,和IoT设备建立殭屍网络,企图影响比赛的转播。
网络安全动起来,民间团体推「星」认证
除了日本政府的强行介入,民间团体也动起来,针对IoT产品推出安全认证,从一颗星到三颗星,最终希望日本的所有产品,最起码都要有一颗星的安全标准,预计「星级认证」将在四月上路。
由日本国内超过107个制造商与大学研究机构组成的「重要生活机器连接安全协议会」(重要生活机器连携セキュリティ协议会),将IoT产品的网络安全性分为三等级:
一星:最低限度的防护,不问产品种类,使用初期最起码能对用户发出通知,要求更换密码。
二星:满足一星条件,根据产品种类,制定安全标准。
三星:满足一、二星条件,同一个产品种类内,根据每一个不同的商品,制定安全标准。
二、三星的认证由各企业的判断独自设定,协议会表示目前仍在汇整中,未来以日本「唯一标准」为目标。
