個人計算機問世之初,很少有廠商擔心其安全。直到上世紀90年代初,對安全的需要才變得廣為人知。而如今,物聯網遵循同樣的模式——只不過對安全的需要顯然變得快好多,廠商應該變得聰明些,尤其是考慮到開源具有的巨大影響力。
根據2014年惠普公司的一項調查結果顯示,在測試的十個物聯網設備中有七個存在嚴重的安全漏洞,每個設備平均有25個安全漏洞。尤其是,這些安全漏洞包括本地和互聯網傳輸的數據缺少加密,沒有實施安全密碼,以及已下載更新版的安全性。測試設備包括目前使用的一些最常見的物聯網設備,包括:電視機、恒溫器、火警報警器和門鎖。
據Gartner預測,到2020年使用的智能設備將多達250億個,沒有人能事先預知到安全問題,到時重大的安全問題會讓基本互聯網的安全問題顯得無關緊要。
這個迫在眉睫的問題不僅令人憂慮,還令人困惑。考慮到物聯網與之前的OpenStack一樣,建立在開源上,這個技術領域的開發人員比大多數人更關注這類問題,物聯網廠商為什么沒有更加關注安全呢?
最近一項調查表明,三分之二的調查對象關注物聯網安全,不過沒有證據能說明安全問題的數量在過去幾年有所減少,或者正在采取措施來防止未知的危機。那么出現了什么情況?
選擇最合適的開源用于物聯網
智能設備與之前的OpenStack一樣建立在開源的基礎上,這一點太過明顯,誰也不曾懷疑。2015年年初,VisionMobile對3700名物聯網開發人員所作的一項調查表明,91%在工作中使用開源。
這個數字表明,要是沒有開源,就算物聯網果真發展起來,速度也要慢得多。暫且不說別的,使用開源和開放標準就有助于減少廠商的設備之間的兼容性問題。
眾所周知,開源還幫助廠商更快速地開發產品,幫助生產盈利的產品,而從頭開始搞研發是不切實際的。與整個IT行業一樣,大多數智能設備廠商要是沒有開源,幾乎存活不下來。
正如VisionMobile調查所做的那樣,問問開發人員為何使用開源,他們可能會提到理想主義方面的原因,或者是有機會學習新技術。
然而,問題在于,雖然廠商們出于戰術上的原因使用免費許可證,開發人員對基于社區的開發具有的優點光說不練,很少有企業開源項目具有社區項目那樣的開放性。理論上來說,企業項目向任何人開放,但實際上,很少有人聽到這種項目。就算聽到此類項目,由于保密協議,非雇員也常常沒有積極參與的勁頭。
Canonical Software就是這種情況,這家公司開發了Ubuntu Linux發行版。至今已有六七個年頭,Canonical偏愛開始啟動自己的項目,或者主導現有項目,而不是與龐大或老牌的社區項目進行合作。
從經常請求其他開發人員來看,不為Canonical工作的人很少似乎渴望為這些項目做貢獻。開發人員不是那么天真,以至于沒有看到這類企業項目實際上是貢獻免費人力――如果與Canonical一樣,貢獻需要將版權賦予公司,更是如此。
在這種氛圍下,我覺得,關注的重點放在開源的短期優點上。完全同樣重要的是,項目的參與者過于專注、人數過少,“足夠多的眼睛,就可以讓所有問題浮現”這句老話就沒法奏效。不僅可能缺少眼睛,那些現有的眼睛更傾向于關注盡快進入市場,而不是花時間操心安全。
當然,廠商可能采取彌補措施,招聘開發人員關注安全漏洞。當然,這是幾年前解決像openSSH等項目缺少眼睛的方法,當時Linux基金會捐錢,以便更多的開發人員投入到核心項目。
然而,如果項目不是以社區為中心,那種解決辦法就行不通。當大家關注短期效益時,就需要一定的前瞻性,而這很難做到。因而,許多人擔心未經檢智能設備的潛在安全問題,但是很少有人采取任何措施來預防。
工具合適,但理由不對
由于社區蓬勃發展而能夠檢測漏洞不是開源的任何普通定義的一部分。Richard Stallman的四大軟件自由沒有提到它,GNU通用公共許可證或其他任何免費許可證的條文中也沒有提到它。相反,它是健康社區的意外結果。
然而,這種意外性不可能出現在想要充分利用開源,又盡量少交出控制權的公司。只有建立一個活躍、開放的社區,才能夠獲得開源的一些優點。除非智能設備廠商學會信任社區的一套流程,否則安全問題完全可能會日益嚴峻。
原文標題:IoT Security: What IoT Can Learn From Open Source 作者:Bruce Byfield
京公網安備 11010502049343號