如今,物聯網持續發展,筆電和手機已經不是上網的唯一途徑了,電視機,嬰兒監視器,烤箱,汽車都可以連網。
甚至越來越多的醫療器械和其他重要設備也開始嵌入互聯網功能。不幸的是,技術發展同樣會引發一個問題 —— 安全。就在前不久的黑帽大會和 Defcon 安全大會上,技術人員展示了很多物聯網設備被 Hack 的場景。雖然物聯網安全受到了很多關注,但我們依然要面對一場艱苦的戰鬥。
- 更新不足是要害
對於物聯網安全而言,最大的障礙就是部署無效的,或是不合理的安全更新。Code 隨時會出現漏洞,如果在設計和開發過程中就慎重考慮安全問題,那麼相關威脅肯定會明顯減少。不僅如此,所有的軟體商必須要對漏洞做出快速反應,及時發布修復。
- 從過去學習經驗
如果我們看看目前的 iOS 和 Android 系統,就知道補丁修復的影響。這兩款系統都有很多安全資源,而且也有非常優秀的系統組織,一旦發現了安全問題他們都可以快速提供修復包。
不過,相比於蘋果,Android 升級的及時性似乎做的不夠好。蘋果可以通過 iOS 更新將安全補丁直接發送給用戶,但 Android 由於設備製造商和運營商的問題,通常會出現各種時延,很多設備要經過數月、甚至數年才能更新。目前只有不到 18% 的 Android 設備運行最新的版本,82% 沒有及時完成安全更新。
- 物聯網各方都在為自己考慮,讓安全修復「很受傷」
如果你最近購買的可連網烤箱,冰箱或是嬰兒監視器出現了一個安全漏洞,補丁包可以解決這個問題嗎?我們不妨先看看涉及物聯網的各方都在考慮什麼。
製造商
銷售產品;把互聯網連接看做是一項功能,而不是要涉足的一塊特殊領域;關注公眾對產品的看法,驅動銷售。
消費者
設備可以滿足主要需求;互聯網連接是一個不錯的功能,或是次要功能;絕大多數人不希望為修設備費神。
犯罪組織
控制設備,把目標網絡變成「殭屍網絡」,進行分佈式攻擊;「隱藏自己」,不被發現,盡量不影響設備工作,這樣「受害者」就不會「維修」設備,也不會根除惡意軟體。
如果評估一下上述因素,就會發現在製造商一端,給設備修補的優先級並不高。而犯罪組織則會在一系列過時的設備上尋找漏洞,他們非常聰明,可以在不影響設備性能的前提下,部署惡意軟體。這意味著消費者無法察覺設備已經被部署了惡意軟體,安全漏洞幾乎不會影響消費者對設備的看法,也不會刺激製造商去主動關注物聯網設備的安全問題。
- 安全漏洞有很多受害者
製造商可能不急於解決設備缺陷,但不意味著損害不嚴重。
消費者將會失去隱私,數據會被監視,甚至被賣給他人。隨著物聯網的擴張,這些數據會涉及到更多隱私,比如健康數據、地理位置、室內影片、孩子等。
跨互聯網的網絡應用程序會遇到非常大的風險。可連接設備很容易受到攻擊,它們不僅會被盜用,甚至會被連接到惡意「殭屍網絡」上面。被盜用的設備會發送垃圾郵件,參與阻斷服務攻擊,甚至會在網絡上偷竊用戶的認證信息。
- 有效部署修復是一個大問題
駭客非常謹慎,不過還是會有漏洞被發現,用戶會要求修復。但是這又能怎樣?
設備製造商們如果遇到這種情況,通常會「匆忙」發布一個修復包,但是之後呢?這些修復是如何發送到設備上的?完成更新後,消費者需要重啟他們的烤箱,汽車嗎?這些修復適用於下一代產品嗎?不幸的是,這些問題都是我們目前遇到的挑戰,即使有了一個修復包,也無法及時有效地部署到設備上。
- 我們如何能做的更好?
消費者需要改變「動機模式」,讓製造商快速修補漏洞。實現這一點,需要加大對安全威脅的披露和宣傳,同時還要研究物聯網安全漏洞的相關數據。那些經常從事物聯網犯罪的駭客,必須對其行為負責,也要受到嚴懲。還需要了解正面、積極的安全方法,幫助構建更加穩定和安全的物聯網設備。
設備製造商必須為產品可能出現的安全漏洞做好準備。在設計和製造階段就要將安全問題考慮進去,避免明顯的安全漏洞。此外,還必須建立可行的「修補模式」,至少在每次升級更新的時候也要安裝一些必要的安全修補。
物聯網很快就會「封裝」我們的生活,過去幾十年如果我們從互聯網和電腦安全裡面學到一些經驗和教訓,那就是就要把安全主動應用到物聯網規劃之中。我們無法每一個漏洞和威脅做好規劃,但必須設計好快速部署 Code 修補的方法,否則物聯網將會變成「殭屍網絡」。
(轉載自合作媒體《雷鋒網》)
