物联网安全不可放任自流

199IT数据中心微信账户:i199IT

译者: 易夏殇

在物联网初期,安全问题是最不受重视的方面。

自从美国玩具业巨头美泰公司(Mattel)于1959年推出首款塑料娃娃以来,芭比娃娃已然走过了一段漫长的道路。从前,孩子们要是想让这首款娃娃“开口说话”,只能对着它自言自语。今年二月纽约玩具展上推出的最新款芭比在这方面有所进步。内置芯片赋予新款芭比“聆听”孩子们说话的能力。无线连接将孩子对芭比说的话传送至某个数据中心。那里的电脑性能更强,负责对这些话语进行解读并给予恰当的回应。美泰的一名员工在一部示范片里说道:“欢迎来到纽约,芭比。”芭比回答:“我爱纽约,你呢?”“你最喜欢纽约什么?美食、时尚、风景还是妓院?”

当然,芭比事实上并没有给出最后一个选项。但“物联网”这个概念之所以会让一些人感到担忧,正是因为某些想要自娱自乐或让美泰难堪的黑客有可能黑进程序,让芭比吐出那最后一个词。现代汽车越来越像装了轮子的电脑。糖尿病患者佩戴由电脑控制的胰岛素泵,患者的生命体征可实时传送给主治医生。智能恒温控制器对其用户的习惯了如指掌,相应调节屋内温度。为了造福人类,一切物品都和互联网相连接。

不过最初的互联网也存在弊端。人们曾利用互联网来传播病毒、蠕虫和各种恶意软件。怀疑论者如今担心有人会蓄意控制他人的汽车并造成事故,有人远程导致糖尿病患的胰岛素泵失灵而致其丧生,窃贼根据用电模式得知户主何时外出从而实施入室盗窃。安全隐患丛生的互联网有可能导致反乌托邦现象。

互联带来的机遇

这一切听上去像末日启示,令人难以置信。但黑客和安全研究者们已经证实这一切是有可能发生的。比方说,美籍电脑安全研究者比利·里奥斯(Billy Rios)于今年六月宣布,他已经找到办法来入侵并控制由电脑控制的药泵网络,从而改变原本的剂量。这种入侵医疗器械的方式由来已久。2011年,电脑安全研究者杰·拉德克里夫(Jay Radcliffe)在台上亲自演示了如何在神不知鬼不觉的情况下进行远程遥控,导致他所佩戴的胰岛素泵失灵——他本人就是一名糖尿病患者。

汽车同样易受侵害。几位研究者已经展示了如何破坏控制汽车的电脑,包括导致刹车或方向盘失灵。汽车制造商指出,多数情况下需将一台笔记本电脑同汽车内部相连接才能实施此类攻击。每年八月,洛杉矶都会举办黑帽技术大会(Black Hat,电脑安全方面的会议)。今年的大会将涉及一项汇报。该汇报将向与会者展示如何对一辆车进行远程无线操控。

此类噱头吸引了大量的媒体报道。但大多数网络罪犯更关心的是如何低调地赚钱,况且智能设备给如今遍布网络的恶意软件的作者带来了绝佳的新机遇。网络罪犯利用受攻击的计算机形成的庞大网络,即僵尸网络来达成一切目的,从生成垃圾邮件到执行拒绝访问攻击。拒绝访问是指网址的访问请求泛滥,导致合法用户无法登陆。网址所有者需花费数千美金才能让网络罪犯停手。

在黑客看来,风险在于杀毒软件可能会监测到他们的“大作”,开始对受感染的电脑进行杀毒。剑桥大学的计算机安全专家罗斯•安德森(Ross Anderson)说:“假设有一天,某台智能电视机受到感染,形成一个由一千万台机器构成的僵尸网络,到时候会发生什么?”这种设备不具备通用计算机的功能,因而所有的杀毒软件都是不适用的。普通用户也许无法辨别出自己的电视机是否受到了攻击。安德森博士指出,很多情况下,对设备“打补丁”都是行不通的。换而言之,如果设备在卖出后出现任何安全漏洞,生产商无法利用网络采取相应的补救措施。

目前看来,这种担忧很大程度上是一种假设。不过警示灯已再度亮起。2014年,Sans 研究所(计算机安全培训提供商)的研究人员称他们发现了一个由数字视频录像机组成的僵尸网络。僵尸网络的控制者利用受感染的播放器来运行挖掘比特币(一种虚拟货币)所需的复杂的运算程序。

而这些数码播放器的用户可能并没有注意到电费账单上由此多出的几美分。Nominum(一家致力于为网络公司提供分析软件的企业)于2014年表示,同年二月,超过五百万个家庭路由器——一种连接用户住宅与网络的小设备——遭遇黑客劫持,用来执行拒绝访问攻击。

黑客有时利用受攻击的计算机来进一步实现其他阴谋诡计,比如钓鱼式攻击,即诱使用户泄露包括银行密码在内的敏感信息。至于为何利用安全级别低下的联网小发明(包括数字视频录像机、智能冰箱和智能电表在内)的内置计算机无法达到这一目的,其原因尚不明了——至少大体上是这样。

除此之外,近期还出现了“勒索软件”,即黑客利用恶意程序对受害人的文件和照片进行加密,受害人须支付一定金额才能赎回这些资料。自动安全检测软件提供商Cryptosense的总裁格雷厄姆•斯蒂尔(Graham Steel)认为:“想象一下,某天你正在开车门,却被告知车已上锁,想进去就得汇两百美元给某个可疑的俄文邮件地址。”

改变,从此刻开始

斯蒂尔博士认为,一部分原因在于许多制造这些联网新玩意的企业对计算机安全这一神秘领域所知甚少。他去年采访了欧洲一家大型汽车零部件制造商。“这些人都是受过培训的机械工程师。他们的原话是:‘突然间我们成了安全开发人员、密码专家之类的人,可我们压根就没有这方面的经验。’”

幸运的是一些大型计算机企业有相关经验。在经历过二十年的摸爬滚打后,像Microsoft和谷歌这样的企业如今对安全问题的关注度提升显著。但要想让非计算机领域的企业仿效这一做法,就得相应改变企业文化。

计算机企业意识到编写安全代码几乎是行不通的,保持开放就是最好的防御措施。其他企业则树立起了防御机制。比如,大众汽车于2013年向英国一法院提起上诉,禁止伯明翰大学的研究人员弗拉维奥•加西亚(Flavio Garcia)公开其研究成果。加西亚发现,用于解锁大众车型的远程密钥存在严重问题。自那时起,计算机行业便认识到像加西亚这样的善意黑客不是敌人。计算机企业经常实施漏洞发现奖励计划,即向发现漏洞的黑客提供奖励,从而为企业修复这些漏洞留出了时间。

但最大的障碍在于,企业目前缺乏重视安全问题的动机。正如上世纪九十年代发生的网络安全危机,大多数威胁仍未消除。这意味着忽视安全问题暂时不会影响到企业的声誉或利润。安德森博士认为情况将发生变化,至少对于那些被攻破则后果严重的行业是这样。

他以早期的铁路为例,指出铁路业在最初几十年里发生了许多次锅炉爆炸和碰撞事故,那之后行业巨头才开始重视安全问题。同样,汽车业也是从上世纪七十年代起才开始重视安全问题。网络安全方面已经有好转的迹象。在里奥斯黑进药泵网络后,美国主要的医疗监管部门食品药品管理局发布了一项建议性通告,告诫用户要提高警惕。去年,管理局针对医疗器械制造商出台了一系列方针,指出了电脑安全方面的隐秘细节。由于媒体对相关问题的高度关注,汽车制造商也很快意识到安全问题的重要性。

对于那些受安全漏洞和黑客问题烦扰但影响并不致命的行业而言,要想使情况好转,需要更长时间。“我也许会愿意另外花点钱来保证我的车是安全的,”斯蒂尔博士说,“假如我的冰箱没给我添麻烦,我会花更多的钱来确保它没有给别人添麻烦吗?”

经济学人

摘自:http://www.economist.com/news/science-and-technology/21657766-nascent-internet-things-security-last-thing-peoples