編者按:現在好像所有的東西都在連入互聯網,看起來方便了很多。但真的安全嗎?
如果把我們的互聯網世界想象成一個正在游覽極地水域的豪華游輪,那么在底部甲板上有一個導航員,他確保一切環節運轉正常。他手中有一切需要的器具:雷達,聲吶,航海表,指南針,表盤和秒表。他可以在濃霧中不會出灰之力就能找出恰當的航線。
有一個晚上,校正過航線之后,導航員發現遠處正前方出現一個冰山。這些冰山就是電視機,相機,洗碗機,汽車以及所有互聯網化的東西。
導航員說:“我們要調轉方向了”
所有人回答說:“好的好的,我們會的”
但是沒有人這么做。這個船徑直的保持著原有的方向。在警告了幾天,幾周之后,終于裝上了第一塊冰山。茶碟,餐桌從船上跌落,掉入海中。——這就是去年十月遇到的第一輪DDoS攻擊,整個互聯網模塊癱瘓了一整天。
“我們現在怎么辦啊?”每個人都在問導航員,“怎么修復這個問題?”
導航員環視四周,現在游輪周圍環繞著綿長的冰川線,一個個的尖刺冒出冰面。
“如果你把整個互聯網看做一個整體,它一直就不是安全的。”James Scott說道。他作為基礎設施技術的資深人士表示:“現在你把不安全的設備連接到了本來就不安全的互聯網當中。”事實上,拋開十月攻擊波不說,現在與之應對的策略并不起效。Scott說道:“對應的策略還不夠復雜,黑客們瞄準到任何一個薄弱點都可以借此駕馭整個網絡。”
黑客之所以能夠成功并不是他們的技術有多強大,只是因為現有的物聯網設備數量不夠。根據Gartner的數據顯示,現在全世界有大約64億物聯網設備正在使用,到2020年將會達到500億。折合下來每天都會有4000部投入使用。十月時,有186個被植入了惡意軟件。DdoS攻擊從15年第三季度到16年第三季度增長了71個百分點。
之所以物聯網問題與其他安全問題不一樣的理由是,的確沒有多少方法可以給已經放在那里使用了的電器增加安全性。
物聯網提供商Icon Labs總裁Alan Grau表示:“如果你看一下你的電腦或者其他電子產品,他們可以在消費者拿到產品之后繼續升級或安裝軟件更新”然而物聯網中,并非如此。
如果有幾個安全更新是強烈建議安裝的,甚至讓消費者更改密碼,消費者是可以這樣做的。但很多時候,很多設備并沒有這個功能,或者如果有,太復雜去做到了。
一些產品缺陷不是由于設計者的責任。如果一個僵尸病毒感染了一個智能電視,然后利用DdoS攻擊了一個銀行機構,使之癱瘓了一天并傷害到了其商業利益,這個過程并沒有傷害到被感染的智能電視或某個電器。
這意味著,立法機構應該制定更加嚴格的法律,使得這些設備停止售賣,知道他們增強了安全性。但是立法機構手中有太多太多的事情等著去辦。太多了。
行業升級是緩慢的,因為添加行業標準會放慢市場的靈動性。但是安全性設計和別的標準不能混為一談。就像汽車公司生產的汽車不能沒有剎車片是一個道理。
生產商不會做任何事情,直到他們被逼如此。顧客能做的并不多。我們都漂浮在極地冰海之間,等待著某個冰山將船體擊碎。
當我問Garu關于這種攻擊的未來時,他提到說黑客會利用勒索軟件來感染一系列設備,然后告訴制造商支付,否則恐嚇其不想發生的后果(11月就有黑客嘗試借此劫持舊金山的MUNI輕軌系統)
Scott說“我認為我們需要遇見某個大災難之后,人們才開始執行相關的標準”如果一個僵尸病毒攻克了一個電廠,導致了醫院斷電,或者屏蔽了自動駕駛汽車的某些功能,導致交通事故發生。這種災難是不可避免的。在此之前,必須引入監管措施。
京公網安備 11010502049343號