網(wǎng)絡(luò)專家警告，數(shù)十億新聯(lián)網(wǎng)物聯(lián)網(wǎng)設(shè)備上安全的松懈，可能造成毀滅性的后果

上周美國(guó)國(guó)會(huì)成員收到了一份關(guān)于物聯(lián)網(wǎng)(IoT)安全漏洞的極其嚴(yán)重的警告，網(wǎng)絡(luò)專家提請(qǐng)注意：隨著數(shù)十億新設(shè)備聯(lián)網(wǎng)上線，協(xié)同黑客攻擊可能會(huì)真正演變成事關(guān)生死問(wèn)題。

美國(guó)眾議院立法者召開(kāi)了IoT安全聽(tīng)證會(huì)，以響應(yīng)上月發(fā)生的互聯(lián)網(wǎng)地址解析供應(yīng)商Dyn遭分布式拒絕服務(wù)攻擊事件。該事件造成了推特、Spotify等流行站點(diǎn)的短時(shí)下線。

但是該事件，雖然只對(duì)互聯(lián)網(wǎng)用戶造成了一定麻煩，令受影響公司蒙羞，但很可能只是會(huì)造成災(zāi)難性后果的更大攻擊的前奏——大師級(jí)安全專家，哈佛肯尼迪政府學(xué)院講師布魯斯·施奈爾說(shuō)。

系統(tǒng)越重要，情況越危險(xiǎn)。Dyn攻擊還算危害不大，只有十幾個(gè)網(wǎng)站被弄下線了。IoT卻能以直接的物理的方式影響世界——汽車、家居、恒溫器、飛機(jī)，這對(duì)生命財(cái)產(chǎn)是真實(shí)的風(fēng)險(xiǎn)。

施奈爾和其他見(jiàn)證者對(duì)IoT安全狀態(tài)給出了清醒的評(píng)估：數(shù)十億設(shè)備在未來(lái)幾年陸續(xù)上線，其中很多都是家用電器等日常用品，通常都是低利潤(rùn)量產(chǎn)貨，制造商不會(huì)雇傭蘋果或谷歌等科技公司里看到的那些安全專家團(tuán)隊(duì)來(lái)保護(hù)這些產(chǎn)品。

缺乏安全措施的IoT可能會(huì)造成極其嚴(yán)重的后果。施奈爾將這一情況描述為“市場(chǎng)失敗”，稱經(jīng)濟(jì)因素沒(méi)能激勵(lì)制造商在設(shè)計(jì)和生產(chǎn)階段將嚴(yán)格的安全打造進(jìn)去。一大波新產(chǎn)品上線過(guò)程中產(chǎn)生的軟弱切入點(diǎn)，創(chuàng)造了設(shè)備被黑被征用組建成強(qiáng)力僵尸網(wǎng)絡(luò)的環(huán)境，物理基礎(chǔ)設(shè)施因而受到強(qiáng)烈威脅。

網(wǎng)絡(luò)安全公司 Virta Labs 首席執(zhí)行官，密歇根大學(xué)副教授凱文·傅說(shuō)：“簡(jiǎn)言之，IoT安全極為不足。這些攻擊沒(méi)什么本質(zhì)上的新意，但其復(fù)雜性，破壞的范圍和對(duì)基礎(chǔ)設(shè)施的沖擊都是前所未有的。”

傅非常擔(dān)憂醫(yī)療保健產(chǎn)業(yè)IoT黑客行為的影響，該行業(yè)中新聯(lián)網(wǎng)設(shè)備被部署在敏感環(huán)境，具有顯而易見(jiàn)的現(xiàn)實(shí)世界影響。

“如果不回答好這些問(wèn)題，我們將面臨一些很嚴(yán)重的問(wèn)題。比如說(shuō)，我害怕每個(gè)醫(yī)院系統(tǒng)都宕機(jī)的那天來(lái)臨——因?yàn)镮oT攻擊讓整個(gè)醫(yī)療保健系統(tǒng)下線了。”

政府應(yīng)在IoT安全中發(fā)揮作用

政府在撐起IoT安全中的恰當(dāng)角色是個(gè)很微妙的問(wèn)題。鑒于技術(shù)和發(fā)展的快速性和安全威脅進(jìn)化的速度，兩方立法者都承認(rèn)監(jiān)管單個(gè)技術(shù)無(wú)關(guān)緊要。

見(jiàn)證者建議，國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)或國(guó)家科學(xué)基金會(huì)(NSF)這種單位，可通過(guò)設(shè)置基于原則的規(guī)范，來(lái)幫助制造商和應(yīng)用開(kāi)發(fā)人員從一開(kāi)始就將安全防護(hù)集成進(jìn)去。

互聯(lián)網(wǎng)骨干網(wǎng)提供商 Level 3 Communications 高級(jí)副總裁兼首席安全官戴爾·德魯說(shuō)：“我覺(jué)得最佳的入手點(diǎn)應(yīng)該是標(biāo)準(zhǔn)。”

施奈爾也是強(qiáng)力安全標(biāo)準(zhǔn)的倡議者，建議將安全標(biāo)準(zhǔn)擴(kuò)展到全球生產(chǎn)和供應(yīng)鏈。但在政府角色的考慮上，他更進(jìn)一步，稱鑒于攻擊預(yù)期將只會(huì)更糟，并有可能造成人員傷亡，聯(lián)邦政府或遲或早都將不得不采取行動(dòng)。

施奈爾稱：“我覺(jué)得選擇并非是政府參與或不參與，而是智慧的政府參與愚蠢的政府參與之間。”

他回憶了911襲擊的直接后果，國(guó)會(huì)迅速授權(quán)成立了國(guó)土安全部——可能演變?yōu)樵诰W(wǎng)絡(luò)戰(zhàn)場(chǎng)擁有廣泛權(quán)力的臃腫官僚機(jī)構(gòu)。

雖然宣稱自己不是過(guò)度政府管制的支持者，施奈爾仍將網(wǎng)絡(luò)攻擊對(duì)現(xiàn)實(shí)世界可能造成的傷害視為采取行動(dòng)的號(hào)角。簡(jiǎn)單來(lái)講，“我們監(jiān)管威脅事物。”

“在充滿危險(xiǎn)事物的世界，我們限制創(chuàng)新。你不能造架飛機(jī)就上天，因?yàn)樗赡軙?huì)墜落在某人的房頂?；蛟S，互聯(lián)網(wǎng)娛樂(lè)時(shí)代已經(jīng)結(jié)束，因?yàn)榛ヂ?lián)網(wǎng)現(xiàn)在是危險(xiǎn)的。”