物联网产品背后潜藏着危机
2017-02-10
如果把我们的互联网世界想象成一个正在游览极地水域的豪华游轮,那么在底部甲板上有一个导航员,他确保一切环节运转正常。他手中有一切需要的器具:雷达,声呐,航海表,指南针,表盘和秒表。他可以在浓雾中不会出灰之力就能找出恰当的航线。
有一个晚上,校正过航线之后,导航员发现远处正前方出现一个冰山。这些冰山就是电视机,相机,洗碗机,汽车以及所有互联网化的东西。
导航员说:“我们要调转方向了”
所有人回答说:“好的好的,我们会的”
但是没有人这么做。这个船径直的保持着原有的方向。在警告了几天,几周之后,终于装上了第一块冰山。茶碟,餐桌从船上跌落,掉入海中。——这就是去年十月遇到的第一轮DDoS攻击,整个互联网模块瘫痪了一整天。
“我们现在怎么办啊?”每个人都在问导航员,“怎么修复这个问题?”
导航员环视四周,现在游轮周围环绕着绵长的冰川线,一个个的尖刺冒出冰面。
“如果你把整个互联网看做一个整体,它一直就不是安全的。”James Scott说道。他作为基础设施技术的资深人士表示:“现在你把不安全的设备连接到了本来就不安全的互联网当中。”事实上,抛开十月攻击波不说,现在与之应对的策略并不起效。Scott说道:“对应的策略还不够复杂,黑客们瞄准到任何一个薄弱点都可以借此驾驭整个网络。”
黑客之所以能够成功并不是他们的技术有多强大,只是因为现有的物联网设备数量不够。根据Gartner的数据显示,现在全世界有大约64亿物联网设备正在使用,到2020年将会达到500亿。折合下来每天都会有4000部投入使用。十月时,有186个被植入了恶意软件。DdoS攻击从15年第三季度到16年第三季度增长了71个百分点。
之所以物联网问题与其他安全问题不一样的理由是,的确没有多少方法可以给已经放在那里使用了的电器增加安全性。
物联网提供商Icon Labs总裁Alan Grau表示:“如果你看一下你的电脑或者其他电子产品,他们可以在消费者拿到产品之后继续升级或安装软件更新”然而物联网中,并非如此。
如果有几个安全更新是强烈建议安装的,甚至让消费者更改密码,消费者是可以这样做的。但很多时候,很多设备并没有这个功能,或者如果有,太复杂去做到了。
一些产品缺陷不是由于设计者的责任。如果一个僵尸病毒感染了一个智能电视,然后利用DdoS攻击了一个银行机构,使之瘫痪了一天并伤害到了其商业利益,这个过程并没有伤害到被感染的智能电视或某个电器。
这意味着,立法机构应该制定更加严格的法律,使得这些设备停止售卖,知道他们增强了安全性。但是立法机构手中有太多太多的事情等着去办。太多了。
行业升级是缓慢的,因为添加行业标准会放慢市场的灵动性。但是安全性设计和别的标准不能混为一谈。就像汽车公司生产的汽车不能没有刹车片是一个道理。
生产商不会做任何事情,直到他们被逼如此。顾客能做的并不多。我们都漂浮在极地冰海之间,等待着某个冰山将船体击碎。
当我问Garu关于这种攻击的未来时,他提到说黑客会利用勒索软件来感染一系列设备,然后告诉制造商支付,否则恐吓其不想发生的后果(11月就有黑客尝试借此劫持旧金山的MUNI轻轨系统)
Scott说“我认为我们需要遇见某个大灾难之后,人们才开始执行相关的标准”如果一个僵尸病毒攻克了一个电厂,导致了医院断电,或者屏蔽了自动驾驶汽车的某些功能,导致交通事故发生。这种灾难是不可避免的。在此之前,必须引入监管措施。