物聯網的失控可能會變得非常快。雖然我們仍然距離發達的物聯網技術很遙遠,但Gigaom研究所的分析師Craig Foster在其最近關于物聯網的一份安全報告中指出,危險其實已經近在眼前了。例如在航運業,今年早些時候,黑客入侵并非法關閉了石油鉆井平臺,許多油輪船員都禁用自己的電子跟蹤其和制導系統,以避免那些信息攔截技術嫻熟的海盜獲得有用信息。那些載運超過100萬加侖石油的船舶就如同盲人在路上行走一樣。
如果上面這個例子中的能源安全和環境問題不會令你在意,那考慮一下:任何在高通公司的tricorder XPrize比賽中獲得決賽資格的選手,他們的帶來的消費級設備都將能在最低限度下診斷出下列疾病: 貧血、尿路感染、糖尿病、心房顫動、睡眠呼吸暫停、結核病、慢性阻塞性肺疾病(COPD)、肺炎、中耳炎(“耳道感染”)、白細胞增多、A型肝炎等。
這些都是高度敏感的信息,對于罪犯和投機取巧的營銷商來說可能是非常有價值的。呈現三相分布的各種類型的消費設備,也是黑客的理想目標。它們存儲或傳送有價值的個人信息,一般在消費級網絡,其擁有足夠的信息總量,使黑客值得對其耗費心力并非法盜用。再加上未來不可避免的自動化處方配藥過程,你將成為那些黑客的美夢。雖然這一切還都沒有發生,但黑客利用起搏器來進行暗殺的確是很有可能的。
不管物聯網發展的速度如何,現在的物聯網還非常年輕,這對我們來說既是好消息也是壞消息。沒有人能有信心預測在未來五年內,設備連接的通道將是什么樣子的。我們不知道其中哪種設備的連接協議能最具優勢,哪些類別的設備將被規范,或者哪些將是安全的。在短期內,這對黑客來說是好消息,但也為我們其余的人敲響了警鐘,我們需要在事情變得危險前做出并采取正確的行動。
那么一個單獨的設備制造商或應用程序開發人員應該做些什么呢?其實還是相當多的。這里有三個建議:
1. 第一步是承認風險的存在。很少有公司在物聯網的世界實行這種方式。比如耐克的衣服,可口可樂的飲料,在大多數情況下,商機就這樣出現了,基礎設施都是以賺錢為目的,功能第一,安全第二。當你插入一個匿名的心臟監測儀到PC,安全或許不是一個大問題,但心跳速率與你的電話號碼和血糖跟蹤器綁定在一起的話,你就需要注意了。
Foster指出,許多企業都不愿意接受有關如何支撐網絡和設備的建議,因為它仍然不是一個大問題。從它的安全團隊忽略重復的錯誤提示直到崩潰之前,受害目標都是這樣自以為是的。所以不要成為下一個目標。
2.基于傳感器的新產品將與之前有所不同,但它并沒有特別的改善。轉而使用像安全加載和沙盒技術已經是現在發展和努力的方向之一了,如果您使用的是常見的通信協議的話,一定要采用與之類型相匹配的安全技術。政府和行業法規通常很難及時趕上硬件的發展步伐,所以為了保護自己,您最好利用移動性的或基于網絡的措施作為權宜之計。你會堵上大部分的漏洞,并告訴你的監管機構,你是在安全性方面做得最好的。
3.在今年的TechEd大會上,記者問Windows Intune的系統工作人員,行業要如何解決物聯網的問題時。他們的回答是“參與制定標準的討論,這可以使得標準的制定更加合理,如果你并沒有任何建議,去聽一下也是會受益的。”雖然這個回答沒有浮華的成分,但你永遠也不要指望一個供應商能提供更好的建議。
如果你所在的行業已經有了監管機構,你一定會想把技術問題推給他們,但物聯網需要更多的志愿者或志愿組織來幫助完成標準的制定。例如 AllSeen聯盟(Linux基金會Alljoyn的以安全性為重點的合作伙伴)正在制定標準,這將遠遠比任何一個行業或用例更有意義。重要的是要了解物聯網的未來會變得怎樣,其中更重要的是幫助確保未來的標準能真正為你工作。
京公網安備 11010502049343號