近日,針對云計算、大數據、物聯網的安全問題,筆者與歐洲反計算機病毒協會創始人、德國歌德塔(G Data)安全軟件公司安全顧問Eddy Willems(國內譯為艾迪.威廉姆斯)先生進行了交流。
在歌德塔(G Data)中國分公司的協助下,我向他提問了幾個目前云計算、大數據、物聯網領域可能存在的安全問題,他一一作了解答。以下為采訪實錄。
第一,筆者問:您對大數據是個什么看法?
Eddy Willems先生說:互聯網飛速發展,我們每一個用戶都有一個IP地址,這些IP地址綜合到一起,就形成一個大的數據庫。這個大的數據庫,為我們的生活帶來了很多便利。但是,這種便利也帶來了很多的安全問題。
第二,筆者問:您認為目前云計算之下的常用的智能設備存在什么安全隱患。
Eddy Willems回答:我們經常使用的智能設備,比如智能手機、平板電腦以及其他智能硬件,他們可以不經過我們的允許監聽我們的一言一行。(這讓筆者想起了多部科幻電影作品)
比如前一段時間的三星智能電視監聽事件,它可以窺見我們的隱私。即便三星電視給用戶提供了預警式的私隱政策:“三星和您的設備將有可能收集語音指令和相關文本,以提供語音識別功能并對該功能進行評估和改進。
請注意,假如您說出的內容包括個人或隱私信息,這些信息也將被語音識別功能捕獲并傳送到第三方。”但是,真正注意的又有多少人呢?
舉個例子,目前很流行智能手表,但智能手表可以把用戶的每一項數據上傳到云端,而某些利用了這些數據的公司,根據這些數據,可以向用戶推送相應的廣告,這很讓人生厭。
第三,筆者問:目前炒得火熱的車聯網會有什么樣的安全隱患呢。
Eddy Willems回答:車聯網的安全隱患在于,黑客可能會利用車聯網的安全漏洞,隨意打開汽車的車門,隨心所欲的操作汽車。
舉個寶馬汽車的例子。1月份,德國權威汽車機構ADAC發布的一份報告顯示,寶馬的“互聯駕駛”(ConnectedDrive)系統存在安全漏洞,黑客利用這一漏洞可在很短的時間內無線開啟寶馬旗下一些品牌汽車的車門。
這一漏洞,影響到了大約220萬輛安裝“互聯駕駛”系統的汽車,盡管寶馬公司已對系統進行升級,但這種隱患仍然值得我們警惕。
2013年,美國麻州參議員愛德華.馬基(Edward J. Markey)對20多家汽車廠商進行了安全調查,只有16家廠商進行了回復。調查結果表明,絕大部分汽車廠商缺乏必備的安全防護措施。比如,無線通訊技術,增加了黑客入侵或隱私竊取的風險;不具備回報黑客入侵的能力;安保措施隨意化,不能達標。
這些都是我們需要注意的問題。
第四,筆者問:現在流行的醫療大數據有什么安全隱患。
Eddy Willems回答:已經去世的著名黑客Barnaby Jac,曾經指出,利用心臟起搏器等醫療器械的漏洞,黑客可以隨意侵入,而用戶的大數據可能隨意泄漏。黑客可以把這些數據商業化,出售給保險公司等機構。而這些機構,則可以利用醫療大數據的數據,詳細了解患者的身體狀況,向患者推銷保險。(這時候筆者想,如果有人篡改了醫療數據,那后果會更嚴重啊。)
而一些體檢公司,在收集了用戶的資料后,也可能出售給保險公司,以供保險公司推送保險。
第五,筆者問:目前流行的智能家居存在那些安全隱患。
Eddy Willems回答:智能家居的漏洞容易被黑客利用,比如黑客可以隨意調節空調溫度,甚至通過控制智能家居來勒索用戶。畢竟,如果門打不開、溫度過高或過熱,都能夠要挾用戶。汽車也是如此。(筆者暗想,這可夠用戶喝一壺的)
第六,筆者問:目前大數據存在的主要安全問題是什么。
Eddy Willems回答:一些大數據公司或者機構,在數據保存方面,他們不大注意甚至不大需要安全密碼,不需要認證,結果導致大數據被黑客輕易讀取。
另外,惠普公司的一項調查表明,某些下載服務端的密碼較弱,結果導致黑客可以對下載軟件隨意篡改。這樣,會讓黑客入侵更加便利。
第七,筆者問:為什么物聯網會存在這么多的危機呢?
Eddy Willems回答:各個廠商的信息加密力度不夠,不同的設備之間的加密力度不夠。大部分設備缺乏安全性極高的密碼,密碼、個人數據以及商業數據很容易被黑客以暴力破解的方式攻破、竊取。
企業不同設備之間的安全過濾措施不夠(我想起了阿里和中石化的合作),有可能會導致數據轉移過程中泄密。同時,智能硬件廠商,過分的追求產品、技術的先進以及用戶的感受,但忽視了物聯網的安全。
第八,筆者問:怎么解決這些問題呢,或者說你對這些企業的建議是什么呢?
Eddy Willems回答:智能設備廠商以及其他企業可以與安全軟件廠商合作,這不是難題。同時,廠商需要提高自己的安全意識,為智能硬件或者數據庫加上復雜的秘密,二進位的密碼。這都可以彌補安全方面的隱患。
最后他說,“萬幸,物聯網智能硬件還沒有一個統一標準的操作系統,否則就將更容易被黑客利用。”(我理解這句話的意思,就如同PC端的系統,如果標準一旦形成,那就會成為眾矢之的,入侵將更加容易。而目前各自為戰的狀態下,黑客還無法集中某個目標。)
物聯網是一個對全體人類有益的產品,但我們必須在安全方面下功夫,在安全與實用中間尋找一種平衡。
采訪結束,筆者最大的感觸是:我們且不可圖一時之快而忽視了安全,未來,我們必須在安全與實用中間尋找一種平衡。不管是云計算企業、大數據企業還是物聯網企業,都要反思這個問題。(本文感謝德國歌德塔(G Data)安全軟件公司中國分公司的大力合作)
京公網安備 11010502049343號