當喬治 奧威爾(George Orwell)在《1984》里構想“電幕”(telescreen)——對觀眾進行持續監視的一種雙向電視——時，他預言政府會使用技術手段闖入我們的私人生活。

維基解密(WikiLeaks)近期公布的機密文件意在表明，美國中情局(CIA)通過入侵智能電視，創造了自己的21世紀電幕。你可能正在觀看YouTube或Netflix——而不是強迫性觀看的軍事宣傳片——但間諜仍能對你的客廳進行監聽。開發人員利用三星(Samsung)電視的漏洞，讓電視即使在關機狀態也能捕獲談話。

維基解密稱此次公布的機密文件僅是“史上最大規模情報公開”的第一部分。從這些文件來看，中情局似乎急于利用物聯網——將日常設備連接到網絡——開發新的監視手段。市場研究集團高德納(Gartner)預測，至2020年，將有逾200億臺家電、電視機及其他設備連接到互聯網。

中情局的工程開發團隊有一個智能電視“待辦清單”，其中包括錄像功能，以及入侵其瀏覽器和應用程序。其他文件似乎表明中情局已試圖入侵聯網汽車的車輛控制系統。

殺毒軟件McAfee創始人、現MGT Capital Investments首席執行官約翰 麥卡菲(John McAfee)表示：“這是迄今最令人不安的一次維基解密。我們了解到中情局有各種工具來監視美國公民。而現在這些工具掌握在一些未知的黑客組織或國家手中。”

中情局對這些文件的真實性不予置評。三星表示公司將安全問題置于最高優先，目前正在研究此事。

物聯網

警惕物聯網的安全黑洞

因為硬件安全技術的落后，黑客在攻擊智能設備時總能輕易得手。從聯網汽車到胰島素泵，都存在陷入險境的可能。

物聯網是科技產業追求的最大概念之一，人們對其基本的固有漏洞早已了解。三星甚至在2015年警告用戶“如果你說的話包含個人或其他敏感信息，該信息將與其他數據被你所使用的語音識別捕捉，并傳輸給第三方。”

網絡安全研究人員強調從汽車到照相機、機器人到電冰箱等一切設備都存在安全漏洞。上個月有消息披露，一家玩具制造商生產的可WiFi聯網泰迪熊與兒童的對話被泄露到互聯網上。

執法部門已對利用亞馬遜(Amazon)聲控個人助理Alexa等設備收集的音頻產生興趣。一名檢察官在處理阿肯色州一樁謀殺案時要求獲得Alexa數據。亞馬遜拒絕了這一要求，直到嫌疑人說可以移交錄音。

網絡犯罪也開始瞄準物聯網，犯罪分子用惡意勒索軟件入侵系統，通常要求用比特幣支付給匿名賬戶。奧地利阿爾卑斯山一家酒店去年遭到黑客多次攻擊其電子鑰匙卡系統，酒店經營者被迫支付1500歐元后，客人才得以回到他們的房間，隨后酒店經營者換回了老式門鎖。去年圣誕節，一個美國家庭的智能電視被勒索軟件控制，電視被禁用了四天。

聯網設備的漏洞可能危及整個網絡的穩定。去年，一個由數千萬臺聯網攝像機和數字錄像機組成的被稱為僵尸網絡(botnet)的惡意網絡，被用來攻擊紐約時報(New York Times)、Twitter等網站所使用的域名服務提供商Dyn。在Dyn努力對抗分布式拒絕服務攻擊時，美國有數百萬人無法訪問Spotify和Airbnb等網站服務。

網絡安全公司IOActive的首席技術官塞薩爾 塞魯多(Cesar Cerrudo)表示，從技術精湛的中情局黑客到沒那么厲害的網絡犯罪分子，都將投入更多精力去尋找物聯網的漏洞。

他說：“我們正變得極端依賴科技。我們需要開始懂得網絡安全的重要性。我們會承受種種后果，包括遭到攻擊、被黑客入侵、失去信息。而這對我們的日常生活影響很大。”

將一切都連接到互聯網的熱情尚未表現出減弱的跡象，現在已經有了不再鳴哨、改發信息的開水壺;有了智能手機控制的電飯煲;還有連接地圖應用的鞋墊，通過振動將你推向你的目的地。

但網絡安全在這波熱潮中遭到忽視。安全防御往往落伍幾十年——如果還有安全防御的話。許多聯網設備沒有密碼，或只有一個不能更改的默認密碼。設備發送給服務器的連接信號通常沒有加密。

芬蘭網絡安全公司F-Secure首席研究官米科 許波寧(Mikko Hypponen)表示，創建僵尸網絡攻擊Dyn的黑客只試了35個密碼，就碰到了對的。他警告說，物聯網內安防的松懈正在重復“我們20年前已確定的錯誤。這是互聯網當前一個顯而易見的危險。”

最容易被攻擊的產品出自那些專門制造烤面包機或血糖儀的公司，而不是軟件或安全公司。這一新興產業還呈碎片化，監管尚未跟上，消費者或壓根不在乎，或難以判斷產品的安全性。

高德納安全問題研究主管埃里克 阿爾姆(Eric Ahlm)表示，這些制造商缺乏在安全方面投入時間或金錢的激勵。

他說：“這更多是一個經濟學問題，而不是安全問題。消費者購買智能電視時，多半會選擇功能相同，但價格更低的商品。對智能消費設備制造商來說，付出額外的精力幾乎無異于掏一筆罰金。”

即使消費者有這方面想法，他們也無法購買額外保護，因為這些設備由微型計算機驅動，而安全軟件制造商無法訪問，如健身手環或真空吸塵器里的微型計算機。

阿爾姆說：“你不能給你的Fitbit或Roomba裝殺毒軟件。”

ForeScout負責幫助企業將設備與公司主網分離，其想法是防止企業遭受2013年美國零售商塔吉特(Target)數據泄露那樣的攻擊，當時黑客通過空調提供商侵入塔吉特的系統。ForeScout首席戰略官佩德羅 阿布雷烏(Pedro Abreu)表示，制造商如果能解決安全問題，將是一個“神話”。

阿布雷烏表示，但是圍繞智能手機和電腦的保護已經建立起了一個龐大的產業。智能手機和電腦制造商的技術，比聯網設備制造商的技術先進。他說：“就連那些最賺錢的公司都保證不了他們的設備安全;想象一個人在隔壁的車庫里用中國制造的零件打造設備。但這不應阻止我們要求制造商遵循更高標準。”

但解決設備安全嚴重缺陷的行動已經開始。智能電視制造商Vizio上個月支付了220萬美元，與美國聯邦貿易委員會(Federal Trade Commission)和新澤西州總檢察長達成和解協議。此前該公司被抓住在未經觀眾許可的情況下，收集他們的數據并將信息賣給廣告客戶。聯邦貿易委員會委員特雷爾 麥克斯威尼(Terrell McSweeny)表示她支持就數據安全進行全面立法，從而可以對整個行業采取“監管模式”。

美國聯邦貿易委員會已投入更多資源去起訴聯網設備制造商，并提高自身技術能力。該委員會還在推動國際聯合隱私執法——因為這些設備常常從外國進口——同時還在考慮制造商是否有義務在停產后依然維護設備安全。

美國監管機構也對此產生興趣，國家公路交通安全管理局(National Highway Traffic Safety Administration)已為汽車行業規定最佳實踐，食品藥品監督管理局(FDA)也發布了醫療設備安全指引。其他機構也發揮了作用。非營利醫療組織梅奧診所(Mayo Clinic)已將具體安全措施寫進與醫療設備制造商的合同里。

歐盟委員會(European Commission)正在推動設備認證體系，并成立了一個名為“物聯網創新聯盟”(Alliance for Internet of Things Innovation)的組織。直屬美國總統的國家網絡安全促進委員會去年12月發布報告表示，消費者應被告知設備的安全功能。

美國大西洋理事會(Atlantic Council)網絡問題國策倡議副主任博 伍茲(Beau Woods)表示，他希望該委員會的工作將讓產品附上安全標簽或信息表，從而阻止零售商銷售存在安全漏洞的商品。

消費者或許還能加強對自身的保護，免遭黑客日常索要贖金，但聯網設備的制造商可能永遠都躲不開中情局。

伍茲說：“我對聯網設備用戶的建議是，更新一切設備，不用設備時要拔掉插頭，如果你不希望它們有監視能力的話。”