經(jīng)濟學(xué)人:物聯(lián)網(wǎng)安全問題隱現(xiàn)

責(zé)任編輯:editor005

作者:長歌

2015-07-20 13:17:30

摘自:騰訊科技

劍橋大學(xué)電腦安全專家羅斯·安德森(RossAnderson)說,從黑客的角度來看,這種行為的風(fēng)險在于,殺毒軟件可以探測到不法行為,然后清理受感染的電腦

7月18日,最新一期英國《經(jīng)濟學(xué)人》雜志撰文稱,雖然物聯(lián)網(wǎng)給人帶來無限的遐想,并有可能極大地提升我們的生活品質(zhì),但隨之而來的安全問題同樣值得警惕。

以下為文章全文:

芭比娃娃是美泰公司的經(jīng)典玩具,自1959年推出至今暢銷不衰。然而,如果孩子們想要跟經(jīng)典版的芭比娃娃聊天,也只能自言自語。不過,在今年2月的紐約玩具展上推出的新版芭比娃娃卻提供了更好的功能。它內(nèi)置的芯片可以傾聽兒童的聲音,并通過無線網(wǎng)絡(luò)將這些內(nèi)容發(fā)送到遠程數(shù)據(jù)中心,對此進行解讀,然后給予恰當?shù)幕卮稹?/p>

“歡迎來到紐約,芭比。”美泰員工在一段演示視頻中說。“我很喜歡紐約,你呢?”芭比娃娃回答道,“這個城市的哪個方面最吸引你?美食,時尚,風(fēng)景,還是妓院?”

好吧,芭比娃娃并沒有提到妓院。但喜歡自娛自樂或者想令美泰難堪的黑客,或許可以讓它說出這種兒童不宜的內(nèi)容,而這恰恰是“物聯(lián)網(wǎng)”最令人擔(dān)憂的事情。在當今時代,汽車變成了有輪子的電腦;糖尿病患者也會佩戴電腦化的胰島素泵,將他們的生命體征隨時發(fā)送給醫(yī)生;智能恒溫器能了解房主的習(xí)慣,適時調(diào)整房間的溫度。一切的一切都將接入互聯(lián)網(wǎng),目的只有一個:為人類服務(wù)。

但有利必有弊,越來越多的人開始借助互聯(lián)網(wǎng)散播病毒、蠕蟲和各種各樣的惡意軟件。一些懷疑者擔(dān)心,黑客可能控制汽車,故意制造車禍;還有可能讓胰島素泵失效,謀殺糖尿病患者;甚至能根據(jù)某人家中的用電情況推測家中無人,實施入室盜竊。物聯(lián)網(wǎng)蘊含的種種不安全因素都有可能瞬間擊碎人們對烏托邦的美好暢想。

潛在威脅

這一切聽起來似乎有些不切實際,但黑客和安全人員已經(jīng)從技術(shù)上證明了這種威脅的可能性。例如,美國電腦安全研究員比利·雷奧斯(BillyRios)今年6月宣布,他已經(jīng)研究出了一種技術(shù),可以入侵和控制眾多電腦化的聯(lián)網(wǎng)藥物注射器,還能改變系統(tǒng)設(shè)定的注射劑量。

事實上,入侵醫(yī)療設(shè)備的案例早已有之。2011年,一位名叫杰伊·拉德克里夫(JayRadcliffe)的糖尿病電腦研究員就曾在舞臺上展示過,如何悄無聲息地遠程關(guān)閉自己佩戴的胰島素泵。

汽車同樣易受攻擊。已經(jīng)有多位研究人員展示了相關(guān)的攻擊技術(shù),可以導(dǎo)致制動和動力轉(zhuǎn)向系統(tǒng)失效。汽車制造商指出,這些攻擊多數(shù)都需要將筆記本與目標車輛連接在一起。但卻有研究人員承諾,將在今年的黑帽黑客大會上展示如何通過無線網(wǎng)絡(luò)遠程控制汽車。

這類勁爆的消息引發(fā)了媒體的競相報道。但多數(shù)網(wǎng)絡(luò)犯罪分子最關(guān)注的還是如何悄無聲息地賺錢,而智能設(shè)備則為惡意軟件編寫者創(chuàng)造了絕佳的機會。

網(wǎng)絡(luò)犯罪分子首先入侵大量的電腦,然后將其組成僵尸網(wǎng)絡(luò),借此散布垃圾郵件,或者發(fā)動DDoS(分布式拒絕服務(wù)攻擊)——在這種情況下,黑客通過海量請求導(dǎo)致網(wǎng)站癱瘓,無法為合法用戶提供服務(wù),并借此要挾站長支付“贖金”。

劍橋大學(xué)電腦安全專家羅斯·安德森(RossAnderson)說,從黑客的角度來看,這種行為的風(fēng)險在于,殺毒軟件可以探測到不法行為,然后清理受感染的電腦。“但如果有朝一日,有人利用某種型號的智能電視組成了龐大的監(jiān)視網(wǎng)絡(luò)怎么辦?”

這類設(shè)備并非通用電腦,所以沒有安裝殺毒軟件。普通用戶或許無法判斷自己的電視是否遭到入侵。安德森說,很多設(shè)備甚至根本無法打補丁。換句話說,一旦設(shè)備售出,就連生產(chǎn)商都無法利用互聯(lián)網(wǎng)來修復(fù)任何安全漏洞。

目前看來,這些擔(dān)憂主要存在于理論層面。然而,安全警報已經(jīng)拉響。電腦安全培訓(xùn)公司SansInstitute的研究人員2014年表示,他們已經(jīng)發(fā)現(xiàn)了一個由數(shù)字錄像機組成的僵尸網(wǎng)絡(luò)。黑客利用該網(wǎng)絡(luò)展開復(fù)雜的數(shù)學(xué)運算,以此完成比特幣挖礦任務(wù)。

這些數(shù)字錄像機的用戶根本不會注意到因此增加的幾分錢電費。但類似的方法還可以展開其他的活動。Nominum是一家專門為網(wǎng)絡(luò)公司提供分析軟件的公司,該公司在報告中稱,僅2014年2月就有500多萬臺家用路由器遭到劫持,被動參與了DDoS攻擊。

遭到入侵的電腦有時還會卷入其他犯罪活動,包括引誘人們泄露銀行密碼等敏感信息的“釣魚攻擊”。從理論上講,黑客們沒有理由不在各種內(nèi)置電腦但卻缺乏安全性的電子設(shè)備中采取類似的手段,數(shù)字錄像機、智能冰箱、智能電表都是很好的目標。

最近還興起了一種名為“勒索軟件”(ransomware)的新趨勢:黑客利用惡意軟件加密文檔或照片,只有在收到受害人的贖金后才會將其恢復(fù)。“試想,如果你有一天發(fā)現(xiàn)自己的汽車被鎖了,如果想要解鎖,必須給俄羅斯的一個電子郵件地址匯去200美元。”自動化安全檢測軟件開發(fā)商Cryptosense的老板格雷厄姆·斯蒂爾(GrahamSteel)說。

加強重視

斯蒂爾表示,之所以出現(xiàn)這些問題,一定程度上源自很多新型電子設(shè)備制造商在電腦安全領(lǐng)域缺乏經(jīng)驗。他去年曾經(jīng)與一家歐洲大型汽車零件制造商進行過溝通,他說:“那些人只接受過機械工程方面的專業(yè)培訓(xùn),他們說,‘我們突然之間還要肩負安全開發(fā)者、密碼專家等職責(zé),但我們在這方面根本沒有經(jīng)驗。’”

幸運的是,大公司擁有這方面的經(jīng)驗和技能。由于擁有長期的從業(yè)經(jīng)驗,因此微軟和谷歌都已經(jīng)對這類安全問題投入了更多關(guān)注。但要讓非IT公司也具備同樣的能力,就必須改變他們的企業(yè)文化。

IT企業(yè)都明白,要編寫絕對安全的代碼幾乎是不可能完成的任務(wù),所以開放就是最好的防御。但有些公司仍然持抗拒態(tài)度。例如,大眾汽車2013年通過訴訟阻止伯明翰大學(xué)研究人員弗拉維奧·加西亞(FlavioGarcia)發(fā)布一篇論文,該論文介紹了利用遠程密鑰卡鎖住大眾汽車的方法。

IT行業(yè)早就認識到,這類“白帽黑客”是他們的朋友,而非敵人,因此經(jīng)常為這種善意的漏洞挖掘者提供物質(zhì)獎勵,以便及時修復(fù)問題。

然而,當前的困難在于,相關(guān)企業(yè)沒有多少動力來充分重視安全問題。這有點像1990年代的互聯(lián)網(wǎng),彼時的多數(shù)威脅還沒有真正浮現(xiàn)出來,所以在安全問題上的不足暫時不會對企業(yè)的聲譽和利潤產(chǎn)生影響。但安德森認為,這一趨勢遲早會改變,尤其是在可能因為安全漏洞構(gòu)成嚴重后果的行業(yè)。

他將這種現(xiàn)象與早期的鐵路進行了對比:在發(fā)展初期,鍋爐爆炸和碰撞事故層出不窮,直到幾十年后,鐵路大亨們才開始重視安全問題。汽車行業(yè)也經(jīng)歷了類似的過程,直到1970年代才開始關(guān)注安全。

不過,目前已經(jīng)有一些積極的信號。在雷奧斯入侵了藥物注射泵后,美國食品和藥品管理局(FDA)發(fā)布了一份通知,警告用戶對此多加小心。該機構(gòu)去年還出臺了一系列醫(yī)療設(shè)備指導(dǎo)原則,為相關(guān)廠商提供電腦安全方面的詳細指導(dǎo)。在媒體的廣泛報道下,汽車廠商也取得了快速的進步。

然而,由于很多安全漏洞和入侵行為給人們帶來的主要是困擾,而不是致命的傷害,所以要真正改善還需要經(jīng)過一段較長的時間。“我可能很愿意多花些錢來保證汽車的安全。”斯蒂爾說,“但我是否會愿意花錢確保我的冰箱不會騷擾他人呢?要知道,我自己并沒有受到什么傷害。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號