智慧城市就像是來自未來的迷人光影,在這些城市中,交通燈、各種設施的智能儀表、公共交通全部被連接起來,將巨量的數(shù)據(jù)反饋到線上。
英國格拉斯哥市已經花費了2400萬英鎊用于安裝智能街燈和交通流量傳感器,前者可以為行人和騎行者提供更好的照明。另一座城市布里斯托則在收集從健康到污染的各種數(shù)據(jù),并把這些數(shù)據(jù)經由“城市操作系統(tǒng)(city operating system)”處理。這些城市(在建設智慧城市上)的步伐把其他城市甩開了幾條街,但實際上大多數(shù)城區(qū)都或多或少會有一些智能的影子。
然而,一位知名的互聯(lián)網(wǎng)安全研究員已經發(fā)出警告:未來的智慧城市可能會比現(xiàn)如今的智能手機和電腦更容易受到黑客侵襲。
安全研究公司IOActive Labs的首席科技官Cesar Cerrudo指出,城市機構和政府部分并未在選購科技公司的產品時對其安全性進行測試。“他們(政府)對構成智慧城市的系統(tǒng)和設備進行了大量的功能性測試,但他們并未對其進行安全性測試。因此,基本上,他們對供應商選擇了無條件信任。”他表示。
在今年4月份于舊金山舉行的一次RSA安全會議上Cerrudo發(fā)表了講話,他提到,許多銷售智能系統(tǒng)的公司并未在系統(tǒng)中集成安全有效的加密措施——考慮到如此多的設備無線傳輸數(shù)據(jù),這是很嚴重的問題。“所有的數(shù)據(jù)都經由無線傳輸。如果你的加密措施不到位,任何人都能截取這些數(shù)據(jù),危害城市安全。”他強調。
他舉了個具體的例子:墨爾本到倫敦等城市都設置了交通控制傳感器,總數(shù)達200000個。它們就很容易遭到黑客襲擊。
Sean Sullivan是F-Secure公司的安全分析師,他說:“智慧城市可為城市規(guī)劃部門提供大量珍貴信息,幫助改善城市居住體驗。但它可能成為惡作劇的受害者,只有妥善保護才有可能全身而退。”
他同意Cerrudo的看法,認為智慧城市很容易被非法入侵,但認為這些入侵更有可能是非惡意,而是處于惡作劇的目的——比如黑客會修改高速公路的電子信息路標,或者設法讓城市交通陷入混亂。
Sullivan還談到了一次“智能電表入侵案”,黑客通過入侵智能電表并將其重新編程而用上了不花錢的電,這讓電力公司損失了數(shù)百萬。
IT安全公司Sophos安全研究部門的全球主管James Lyne表示,一些系統(tǒng)將安全寄希望于“冷門晦澀的程序語言”。
“如今,核心的國家基礎設施中的設備通過使用晦澀的計算機語言或隔離來保證安全。即是說,它們使用那些已經被時代淘汰的、晦澀難懂的計算機語言,并盡量設置于孤立的網(wǎng)絡中,從而避免遭遇襲擊。”Lyne說。
Lyne補充道:“截至目前為止黑客團體尚未對這種設備進行統(tǒng)一的入侵。我猜測這主要是因為,攻擊這些設備并不能滿足黑客們的金錢或政治目標,而前者一般都是黑客最感興趣的部分。”
“黑客最喜歡攻擊的仍舊是你或我手中的傳統(tǒng)設備,它們更能給黑客帶來利益。但隨著互聯(lián)型城市的進一步發(fā)展,這一局面也有可能發(fā)生改變。”
考慮到安全上所面臨的風險,下面這種情況就讓人有些無法理解了——一些物聯(lián)網(wǎng)設備供應商不允許像Cerrudo這樣的研究員測試他們的產品——除非Cerrudo自己出錢買。
“更有甚者,當?shù)弥汶`屬一家安全公司后,一些供應商甚至不會把產品賣給你,”Cerrudo說,不過他并未指出具體的供應商公司名字。“我在了解一款智能街道照明系統(tǒng)時就遇到了這個麻煩。我試著去買一臺,但他們連價格都不報給我。”
Cerrudo說,還沒落好腳的新公司視安全研究公司為某種威脅,而一些更成熟的制造商則會和第三方安全研究公司甚至黑客一同尋找安全漏洞。
現(xiàn)實情況是,即使制造商和安全研究員們一同找到了軟件漏洞,為覆蓋城市的整個系統(tǒng)推送更新可能也要花數(shù)月甚至數(shù)年的時間。
“有時智能設備供應商沒有設置合適的更新推送機制,他們需要類似的機制來完成安全修復,并將補丁快速部署到系統(tǒng)和設備上,”他說。“這真的是一項巨大的挑戰(zhàn),顯然,發(fā)現(xiàn)安全問題的第一要務就是快速修復。如果做不到,這意味著你將徹底暴露在攻擊者面前。”
那么為了保護智慧城市需要做什么呢?政府部門需要在采購智慧城市解決方案時更加負責,他們不僅僅應該看重優(yōu)秀的功能,還應該花時間了解其安全系統(tǒng),并確保安全系統(tǒng)真的有用。
Cerrudo號召每個城市都建立一個計算機緊急應對小組(Computer Emergency Response Team)——就像許多大企業(yè)做的那樣——用來應對黑客攻擊,處理漏洞,并幫助確保智能設備供應商修復此類漏洞,同時對系統(tǒng)做進一步的侵入測試。
“一旦發(fā)生互聯(lián)網(wǎng)入侵事故,城市管理者將很難做到有效應對。一座城市或許能夠防范地震和洪水,但我認為許多城市對互聯(lián)網(wǎng)襲擊沒有任何概念和應對措施。”
京公網(wǎng)安備 11010502049343號