7月18日,最新一期英國《經濟學人》雜志撰文稱,雖然物聯網給人帶來無限的遐想,并有可能極大地提升我們的生活品質,但隨之而來的安全問題同樣值得警惕。
以下為文章全文:
芭比娃娃是美泰公司的經典玩具,自1959年推出至今暢銷不衰。然而,如果孩子們想要跟經典版的芭比娃娃聊天,也只能自言自語。不過,在今年2月的紐約玩具展上推出的新版芭比娃娃卻提供了更好的功能。它內置的芯片可以傾聽兒童的聲音,并通過無線網絡將這些內容發送到遠程數據中心,對此進行解讀,然后給予恰當的回答。
“歡迎來到紐約,芭比。”美泰員工在一段演示視頻中說。“我很喜歡紐約,你呢?”芭比娃娃回答道,“這個城市的哪個方面最吸引你?美食,時尚,風景,還是妓院?”
好吧,芭比娃娃并沒有提到妓院。但喜歡自娛自樂或者想令美泰難堪的黑客,或許可以讓它說出這種兒童不宜的內容,而這恰恰是“物聯網”最令人擔憂的事情。在當今時代,汽車變成了有輪子的電腦;糖尿病患者也會佩戴電腦化的胰島素泵,將他們的生命體征隨時發送給醫生;智能恒溫器能了解房主的習慣,適時調整房間的溫度。一切的一切都將接入互聯網,目的只有一個:為人類服務。
但有利必有弊,越來越多的人開始借助互聯網散播病毒、蠕蟲和各種各樣的惡意軟件。一些懷疑者擔心,黑客可能控制汽車,故意制造車禍;還有可能讓胰島素泵失效,謀殺糖尿病患者;甚至能根據某人家中的用電情況推測家中無人,實施入室盜竊。物聯網蘊含的種種不安全因素都有可能瞬間擊碎人們對烏托邦的美好暢想。
潛在威脅
這一切聽起來似乎有些不切實際,但黑客和安全人員已經從技術上證明了這種威脅的可能性。例如,美國電腦安全研究員比利·雷奧斯(BillyRios)今年6月宣布,他已經研究出了一種技術,可以入侵和控制眾多電腦化的聯網藥物注射器,還能改變系統設定的注射劑量。
事實上,入侵醫療設備的案例早已有之。2011年,一位名叫杰伊·拉德克里夫(JayRadcliffe)的糖尿病電腦研究員就曾在舞臺上展示過,如何悄無聲息地遠程關閉自己佩戴的胰島素泵。
汽車同樣易受攻擊。已經有多位研究人員展示了相關的攻擊技術,可以導致制動和動力轉向系統失效。汽車制造商指出,這些攻擊多數都需要將筆記本與目標車輛連接在一起。但卻有研究人員承諾,將在今年的黑帽黑客大會上展示如何通過無線網絡遠程控制汽車。
這類勁爆的消息引發了媒體的競相報道。但多數網絡犯罪分子最關注的還是如何悄無聲息地賺錢,而智能設備則為惡意軟件編寫者創造了絕佳的機會。
網絡犯罪分子首先入侵大量的電腦,然后將其組成僵尸網絡,借此散布垃圾郵件,或者發動DDoS(分布式拒絕服務攻擊)——在這種情況下,黑客通過海量請求導致網站癱瘓,無法為合法用戶提供服務,并借此要挾站長支付“贖金”。
劍橋大學電腦安全專家羅斯·安德森(RossAnderson)說,從黑客的角度來看,這種行為的風險在于,殺毒軟件可以探測到不法行為,然后清理受感染的電腦。“但如果有朝一日,有人利用某種型號的智能電視組成了龐大的監視網絡怎么辦?”
這類設備并非通用電腦,所以沒有安裝殺毒軟件。普通用戶或許無法判斷自己的電視是否遭到入侵。安德森說,很多設備甚至根本無法打補丁。換句話說,一旦設備售出,就連生產商都無法利用互聯網來修復任何安全漏洞。
目前看來,這些擔憂主要存在于理論層面。然而,安全警報已經拉響。電腦安全培訓公司SansInstitute的研究人員2014年表示,他們已經發現了一個由數字錄像機組成的僵尸網絡。黑客利用該網絡展開復雜的數學運算,以此完成比特幣挖礦任務。
這些數字錄像機的用戶根本不會注意到因此增加的幾分錢電費。但類似的方法還可以展開其他的活動。Nominum是一家專門為網絡公司提供分析軟件的公司,該公司在報告中稱,僅2014年2月就有500多萬臺家用路由器遭到劫持,被動參與了DDoS攻擊。
遭到入侵的電腦有時還會卷入其他犯罪活動,包括引誘人們泄露銀行密碼等敏感信息的“釣魚攻擊”。從理論上講,黑客們沒有理由不在各種內置電腦但卻缺乏安全性的電子設備中采取類似的手段,數字錄像機、智能冰箱、智能電表都是很好的目標。
最近還興起了一種名為“勒索軟件”(ransomware)的新趨勢:黑客利用惡意軟件加密文檔或照片,只有在收到受害人的贖金后才會將其恢復。“試想,如果你有一天發現自己的汽車被鎖了,如果想要解鎖,必須給俄羅斯的一個電子郵件地址匯去200美元。”自動化安全檢測軟件開發商Cryptosense的老板格雷厄姆·斯蒂爾(GrahamSteel)說。
加強重視
斯蒂爾表示,之所以出現這些問題,一定程度上源自很多新型電子設備制造商在電腦安全領域缺乏經驗。他去年曾經與一家歐洲大型汽車零件制造商進行過溝通,他說:“那些人只接受過機械工程方面的專業培訓,他們說,‘我們突然之間還要肩負安全開發者、密碼專家等職責,但我們在這方面根本沒有經驗。’”
幸運的是,大公司擁有這方面的經驗和技能。由于擁有長期的從業經驗,因此微軟和谷歌都已經對這類安全問題投入了更多關注。但要讓非IT公司也具備同樣的能力,就必須改變他們的企業文化。
IT企業都明白,要編寫絕對安全的代碼幾乎是不可能完成的任務,所以開放就是最好的防御。但有些公司仍然持抗拒態度。例如,大眾汽車2013年通過訴訟阻止伯明翰大學研究人員弗拉維奧·加西亞(FlavioGarcia)發布一篇論文,該論文介紹了利用遠程密鑰卡鎖住大眾汽車的方法。
IT行業早就認識到,這類“白帽黑客”是他們的朋友,而非敵人,因此經常為這種善意的漏洞挖掘者提供物質獎勵,以便及時修復問題。
然而,當前的困難在于,相關企業沒有多少動力來充分重視安全問題。這有點像1990年代的互聯網,彼時的多數威脅還沒有真正浮現出來,所以在安全問題上的不足暫時不會對企業的聲譽和利潤產生影響。但安德森認為,這一趨勢遲早會改變,尤其是在可能因為安全漏洞構成嚴重后果的行業。
他將這種現象與早期的鐵路進行了對比:在發展初期,鍋爐爆炸和碰撞事故層出不窮,直到幾十年后,鐵路大亨們才開始重視安全問題。汽車行業也經歷了類似的過程,直到1970年代才開始關注安全。
不過,目前已經有一些積極的信號。在雷奧斯入侵了藥物注射泵后,美國食品和藥品管理局(FDA)發布了一份通知,警告用戶對此多加小心。該機構去年還出臺了一系列醫療設備指導原則,為相關廠商提供電腦安全方面的詳細指導。在媒體的廣泛報道下,汽車廠商也取得了快速的進步。
然而,由于很多安全漏洞和入侵行為給人們帶來的主要是困擾,而不是致命的傷害,所以要真正改善還需要經過一段較長的時間。“我可能很愿意多花些錢來保證汽車的安全。”斯蒂爾說,“但我是否會愿意花錢確保我的冰箱不會騷擾他人呢?要知道,我自己并沒有受到什么傷害。”
京公網安備 11010502049343號