信息化觀察網(wǎng)

通過開發(fā)硬件設(shè)備及其后端系統(tǒng)的原型，以及銷售物聯(lián)網(wǎng)設(shè)備，我們了解了很多關(guān)于物聯(lián)網(wǎng)安全方面的陷阱和問題。

事實(shí)證明，幾乎所有的連網(wǎng)設(shè)備都容易受到攻擊。研究人員表明，可以遠(yuǎn)程控制自動(dòng)駕駛汽車、操縱植入式醫(yī)療設(shè)備、破壞投票機(jī)，當(dāng)然還有其他各種“智能”設(shè)備，例如門鎖、燈泡、恒溫器等。在奧地利，一家酒店受到黑客威脅，如果酒店不支付比特幣贖金，他們的客人將無法打開房門。

后果是顯而易見的。未經(jīng)授權(quán)的人能夠控制關(guān)鍵設(shè)備和基礎(chǔ)設(shè)施是一場噩夢。很明顯，一些攻擊甚至?xí)斐缮鼡p失——想想汽車剎車失靈或是操縱飛機(jī)系統(tǒng)。

但是，除了能夠控制這些設(shè)備及其行為的后果之外，這些設(shè)備還帶來了更大的威脅：它們是攻擊者侵入同一網(wǎng)絡(luò)中其他系統(tǒng)的跳板，這可能更為關(guān)鍵。試想一下，一家大公司的文件或郵件服務(wù)器因?yàn)榫W(wǎng)絡(luò)中有一個(gè)不安全的IP攝像頭而遭到黑客攻擊。黑客利用一臺(tái)價(jià)值50美元的設(shè)備作為攻擊媒介，來獲取非常敏感的信息?；蛘呦胂肜帽徊倏v的物聯(lián)網(wǎng)設(shè)備對(duì)域名系統(tǒng)進(jìn)行的分布式拒絕服務(wù)攻擊，這使得Netflix、Yahoo和其他公司的服務(wù)在相當(dāng)長的時(shí)間內(nèi)無法使用。

物聯(lián)網(wǎng)易受攻擊的原因

攻擊物聯(lián)網(wǎng)設(shè)備的吸引力顯著增加，因?yàn)檫@些設(shè)備的采用率在過去幾年里增加了很多，而且它們非常容易破解。

另一個(gè)因素在于，大多數(shù)系統(tǒng)都在統(tǒng)一的軟件堆棧上運(yùn)行，因此，在攻擊者知道如何接管特定模型或操作平臺(tái)的那一刻，他通常能夠都訪問更多具有類似特征的設(shè)備。

攻擊這些設(shè)備的潛在利益進(jìn)一步增加，因?yàn)檫@些設(shè)備被用于越來越多的關(guān)鍵應(yīng)用，并且通常連接到包含關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)可以通過這種方式滲透。

因此，在過去的幾年里，攻擊利益發(fā)生了很大的變化，有利于攻擊者，并使攻擊它們成為一個(gè)很好的生意。

但是，為什么這些設(shè)備很容易被攻擊？

▲增加攻擊面

大多數(shù)物聯(lián)網(wǎng)設(shè)備都提供了許多功能，包括存儲(chǔ)和處理能力以及重要的軟件堆棧——通常是功能完善的設(shè)備操作系統(tǒng)。系統(tǒng)中軟件和功能的增加會(huì)導(dǎo)致更大的攻擊面，從而允許更多的攻擊可能性。

對(duì)于互連的異構(gòu)環(huán)境尤其如此，在這種環(huán)境中，一個(gè)設(shè)備中的漏洞可能導(dǎo)致對(duì)其他設(shè)備的攻擊。日益復(fù)雜的互連和訪問可能性使得監(jiān)測、保護(hù)和控制環(huán)境變得更加困難。

一個(gè)簡單的例子：過去，入侵醫(yī)療設(shè)備的方法是闖入醫(yī)院的機(jī)房，然后連接到其串行接口以刷新其固件，但現(xiàn)在黑客可以坐在世界另一端的沙發(fā)上，通過使用常規(guī)的通信網(wǎng)絡(luò)和他的筆記本電腦來攻擊醫(yī)療設(shè)備。在破壞了這個(gè)設(shè)備后，他可以檢查網(wǎng)絡(luò)的其他部分，尋找其他有希望的目標(biāo)。

▲供應(yīng)商沒有建立安全系統(tǒng)的動(dòng)力

構(gòu)建硬件是一個(gè)復(fù)雜的、持久的過程，并且芯片組的價(jià)格比較低。此外，物聯(lián)網(wǎng)領(lǐng)域的技術(shù)發(fā)展非常迅速，尤其是在無線通信標(biāo)準(zhǔn)方面。因此，硬件制造商寧愿投資支持新功能和標(biāo)準(zhǔn)的新芯片組，也不愿修復(fù)舊芯片組。

物聯(lián)網(wǎng)設(shè)備本身通常是由第三方硬件和軟件開發(fā)商構(gòu)建，這些供應(yīng)商沒有建立安全系統(tǒng)的動(dòng)力，因?yàn)槠淇蛻舾鶕?jù)功能和定價(jià)做出購買決策，而不是根據(jù)安全性或工程質(zhì)量。因此，經(jīng)常使用過時(shí)軟件、固件和硬件（已知存在安全漏洞）來運(yùn)行設(shè)備，因?yàn)樾迯?fù)缺陷或使自己的軟件適應(yīng)已修復(fù)的第三方庫意味著大量的工作。有時(shí)這甚至是不可能的，因?yàn)轵?qū)動(dòng)程序通常只能作為二進(jìn)制文件使用。

最新的編譯器可以幫助修復(fù)軟件中一些最嚴(yán)重的安全缺陷，但更糟糕的是，開發(fā)環(huán)境通常也完全過時(shí)了。

甚至這些設(shè)備的運(yùn)營商有時(shí)也沒有解決問題的真正動(dòng)力，因?yàn)樵O(shè)備通常僅被視為銷售其他服務(wù)的媒介。

▲運(yùn)營自有物聯(lián)網(wǎng)設(shè)備的公司缺少專業(yè)知識(shí)

銷售和運(yùn)營自有物聯(lián)網(wǎng)設(shè)備的公司通常不將硬件或軟件開發(fā)視為其核心能力，因此缺乏有關(guān)如何構(gòu)建安全設(shè)備和服務(wù)的專業(yè)知識(shí)。

看看物聯(lián)網(wǎng)設(shè)備的生態(tài)系統(tǒng)就能明白這一點(diǎn)。鎖、加熱器、冰箱和汽車制造商現(xiàn)在正在生產(chǎn)其IT產(chǎn)品——他們很難雇傭到必要的人才來生產(chǎn)開發(fā)的產(chǎn)品，甚至很難有效地協(xié)調(diào)服務(wù)合作伙伴。

為什么修復(fù)起來這么困難？

過去，我們關(guān)注的是我們必須保護(hù)服務(wù)器和客戶端計(jì)算機(jī)。在90年代經(jīng)歷慘痛教訓(xùn)后，我們?cè)诒３窒到y(tǒng)安全方面做得更好了。不是因?yàn)槲覀冃迯?fù)了軟件的開發(fā)過程，從而避免了錯(cuò)誤，而是，我們通過推出自動(dòng)更新和快速修復(fù)關(guān)鍵錯(cuò)誤而變得非常擅長修復(fù)問題，而無需用戶交互。智能手機(jī)也是如此。

我們有數(shù)十億這樣的設(shè)備，但奇怪的是，到目前為止，我們還沒有遇到全球安全問題，這是因?yàn)橐坏┌l(fā)現(xiàn)缺陷，制造商就會(huì)提供軟件更新來相對(duì)快速地解決安全問題。

但是，物聯(lián)網(wǎng)的情況有所不同。

▲無法解決更新問題

通常不可能通過軟件更新來解決安全問題，因?yàn)榇蠖鄶?shù)物聯(lián)網(wǎng)設(shè)備的存儲(chǔ)、網(wǎng)絡(luò)帶寬有限。有時(shí)有可能安裝更新，但安裝過程非常繁瑣且有風(fēng)險(xiǎn)。一些物聯(lián)網(wǎng)設(shè)備的產(chǎn)品使用壽命很長，這使得這個(gè)問題更加嚴(yán)重。因此，有可能發(fā)生的情況是，一臺(tái)易受攻擊的冰箱保持在線25年而沒有得到修復(fù)。

▲自主操作

即使可以進(jìn)行更新，用戶也不會(huì)定期進(jìn)行檢查。因此，不必要的、過時(shí)的或行為異常的設(shè)備常常不被注意。通常情況下，設(shè)備只需要設(shè)置一次，就可以自主運(yùn)行，但是幾乎沒有設(shè)備支持自動(dòng)更新。更糟糕的是，設(shè)備始終處于聯(lián)機(jī)狀態(tài)，并且通常留有默認(rèn)密碼和配置。

▲對(duì)軟件缺陷造成的損害不承擔(dān)賠償責(zé)任

軟件許可通常排除了所有損害賠償責(zé)任。因此，物聯(lián)網(wǎng)設(shè)備的運(yùn)營商沒有動(dòng)力修復(fù)其產(chǎn)品中的缺陷，或確保指導(dǎo)其硬件和軟件服務(wù)提供商謹(jǐn)慎地構(gòu)建安全可靠的產(chǎn)品。取而代之的是，他們將損害成本外部化。

如何修復(fù)物聯(lián)網(wǎng)

物聯(lián)網(wǎng)設(shè)備安全性不足，會(huì)因缺少適當(dāng)?shù)拈_發(fā)投資而造成他人損失，從而造成外部效應(yīng)。這些外部性的例子是，在DDOS攻擊中，設(shè)計(jì)不良的物聯(lián)網(wǎng)設(shè)備使第三方服務(wù)變得不可用，或者不安全的自動(dòng)駕駛汽車撞倒行人。

空氣污染也是類似的情況。一家不使用過濾器來清潔廢氣的公司會(huì)產(chǎn)生外部效應(yīng)，因?yàn)槲廴镜某杀緯?huì)強(qiáng)加給其他人，比如被污染的空氣會(huì)給生活在城市中人們帶來嚴(yán)重的健康問題。

在某些時(shí)候，政府采取了避免這些外部效應(yīng)的措施，并頒布了過濾廢氣的法規(guī)。另一種將外部問題內(nèi)部化的方法是二氧化碳排放證書，這種方法試圖使公司的成本與它們施加給外部的影響相匹配。

在物聯(lián)網(wǎng)時(shí)代，外部效應(yīng)日益嚴(yán)重，這就是為什么我們呼吁把安全從作為一種保護(hù)性手段轉(zhuǎn)變?yōu)楸Ｗo(hù)他人免受傷害手段的原因所在。

因此，我們認(rèn)為就物聯(lián)網(wǎng)而言，在法規(guī)方面也需要采取類似防止空氣污染的監(jiān)管方法。

已經(jīng)有一些法規(guī)影響了一些物聯(lián)網(wǎng)設(shè)備，如主要針對(duì)電磁干擾的強(qiáng)制性FCC或CE認(rèn)證，以及旨在保護(hù)用戶數(shù)據(jù)的一般數(shù)據(jù)保護(hù)規(guī)范（GDPR）。

監(jiān)管有時(shí)不夠靈活，限制了創(chuàng)新，并增加了企業(yè)的運(yùn)營成本，而且只覆蓋最基本的東西。但這是可以改變的。

就像安全資深人士布魯斯·施耐爾（Bruce Schneier）所說的那樣：“我們需要重建對(duì)集體治理機(jī)構(gòu)的信心。法律和政策可能看起來沒有數(shù)字技術(shù)那么酷，但它們也是關(guān)鍵的創(chuàng)新領(lǐng)域。”

激勵(lì)措施

無論生產(chǎn)過程中涉及的各方以及運(yùn)營物聯(lián)網(wǎng)設(shè)備的方式如何，都必須有效地激勵(lì)他們生產(chǎn)和銷售安全的產(chǎn)品，并激勵(lì)最終客戶正確安裝這些設(shè)備。

朝著這個(gè)方向邁出的關(guān)鍵一步是讓各方對(duì)不符合法律要求的設(shè)備造成的損害承擔(dān)責(zé)任。由于生產(chǎn)完全安全的設(shè)備既不可能，也不符合經(jīng)濟(jì)利益，因此應(yīng)強(qiáng)制規(guī)定適當(dāng)?shù)谋ｋU(xiǎn)。這樣，保險(xiǎn)費(fèi)就可以作為額外的靈活可能性來激勵(lì)適當(dāng)?shù)脑O(shè)計(jì)和安裝。

為此，需要一種有效的方法來評(píng)估設(shè)備的安全性。擴(kuò)展的CE或FCC認(rèn)證可以作為等式的一部分，而可靠、高效和及時(shí)的軟件安全評(píng)估可能是迄今為止難以實(shí)現(xiàn)的另一部分。

到目前為止，軟件認(rèn)證提供商鼓勵(lì)開發(fā)滿足最低要求的軟件，但那些制造更安全產(chǎn)品的公司卻得不到獎(jiǎng)勵(lì)。此外，營利性組織通常不公開其測試程序，這使它們?cè)谠S多專家看來都不可信。除此之外，他們的獨(dú)立性經(jīng)常受到質(zhì)疑。

強(qiáng)制更新功能

除了從一開始就鼓勵(lì)構(gòu)建安全的產(chǎn)品外，軟件驅(qū)動(dòng)的產(chǎn)品必須經(jīng)常更新。

即使制造商有足夠的動(dòng)力去投資適當(dāng)?shù)脑O(shè)計(jì)，也無法從技術(shù)上或經(jīng)濟(jì)上評(píng)估物聯(lián)網(wǎng)設(shè)備在其生命周期中可能面臨的所有威脅和問題。（來源物聯(lián)之家）因此，做出反應(yīng)和推出更新對(duì)于維護(hù)設(shè)備安全至關(guān)重要，并且對(duì)于所有物聯(lián)網(wǎng)產(chǎn)品都是強(qiáng)制性的。

降低復(fù)雜性

一些物聯(lián)網(wǎng)設(shè)備的使用案例（例如，在線烤面包機(jī)）會(huì)因法規(guī)和保險(xiǎn)費(fèi)而變得過于昂貴。這也許是個(gè)好主意，因?yàn)槲覀冋娴谋仨毥档臀覀儤?gòu)建的系統(tǒng)的復(fù)雜性。

這可以通過以下兩種方法來實(shí)現(xiàn)：要么不將它們互連，因?yàn)榕c日益增加的復(fù)雜性可能造成的損害相比，附加值太小了，要么通過鎖定這些設(shè)備來實(shí)現(xiàn)。這意味著將它們放在安全的子網(wǎng)絡(luò)中，以確保網(wǎng)絡(luò)參與者不會(huì)影響它們。

總結(jié)

如果我們不改變我們開發(fā)和使用物聯(lián)網(wǎng)設(shè)備的方法，我們將面臨嚴(yán)重的麻煩。一般來說，政府只有在許多人受到傷害、公眾輿論要求承擔(dān)后果后才會(huì)采取行動(dòng)。

我們必須預(yù)見這種發(fā)展，并減少在此過程中造成的損害。否則，我們將不得不迅速解決問題，而倉促行事通常不是采取立法行動(dòng)的最佳因素。