首先,我們參考一下近期發(fā)生的幾起物聯(lián)網(wǎng)(IoT)安全事件:
谷歌旗下智能家居公司Nest的攝像頭遭黑客攻擊
美國國家廣播公司新聞報(bào)道稱,智能家居技術(shù)的“狂熱”用戶向電視臺(tái)爆料,他聽到嬰兒室有一些噪音,檢查后發(fā)現(xiàn)安裝在里面的Nest安全攝像頭發(fā)出了“深沉的男聲”。網(wǎng)絡(luò)入侵者還控制了房間內(nèi)的恒溫器,將溫度設(shè)定為90華氏度。
智能手表可成為黑客攻擊的目標(biāo)
挪威消費(fèi)者委員會(huì)曾經(jīng)分析了四款兒童可穿戴式手機(jī)/智能手表。這些設(shè)備是為了方便讓父母與孩子交流并定位他們的位置。
經(jīng)過分析,消費(fèi)者委員會(huì)報(bào)告了這些產(chǎn)品的“關(guān)鍵缺陷”,這可能讓黑客“控制應(yīng)用程序,從而獲得孩童的實(shí)時(shí)和歷史位置以及個(gè)人信息”。黑客甚至可以“在父母不知情的情況下直接聯(lián)系孩子”。
藍(lán)牙設(shè)備也可能被入侵
來自巴西伯南布哥聯(lián)邦大學(xué)和美國密歇根大學(xué)的研究人員研究了32款智能手機(jī)應(yīng)用程序。亞馬遜平臺(tái)上銷售的96款暢銷的Wi-Fi和支持藍(lán)牙的設(shè)備都有安裝這些應(yīng)用程序。
他們發(fā)現(xiàn)“31%的應(yīng)用程序不使用任何加密以保護(hù)設(shè)備應(yīng)用程序通信;19%的應(yīng)用程序使用硬編碼密鑰。很大一部分應(yīng)用程序(40-60%)使用本地通信或本地廣播通信,因此提供了利用加密或使用硬編碼加密密鑰的攻擊路徑。“
增長過快對(duì)IoT本身發(fā)展有好處嗎?
物聯(lián)網(wǎng)應(yīng)用已經(jīng)開始滲入我們的生活,并正在呈爆炸性增長。但是物聯(lián)網(wǎng)行業(yè)仍然存在一個(gè)嚴(yán)重的問題:制造商傾向于在違規(guī)之后,或者安全研究人員發(fā)現(xiàn)漏洞后才去進(jìn)行修復(fù)。他們不會(huì)在發(fā)布之前就為產(chǎn)品構(gòu)建強(qiáng)大的安全性以防患于未然。
同時(shí),新思科技首席顧問Larry Trowell認(rèn)為指出: “隨著越來越多的專業(yè)人士加入物聯(lián)網(wǎng)行業(yè),進(jìn)行安全測試的設(shè)備的比率正在上升。而且安全測試工具也越來越精細(xì)。”
呼吁政府監(jiān)管物聯(lián)網(wǎng)
盡管如此,物聯(lián)網(wǎng)安全事件現(xiàn)在仍然層出不窮。一些專家呼吁政府對(duì)物聯(lián)網(wǎng)安全進(jìn)行監(jiān)管。
Larry Trowell指出政府監(jiān)管的主要問題是技術(shù)發(fā)展速度比立法要快。他說:“物聯(lián)網(wǎng)的每個(gè)元素都會(huì)產(chǎn)生新的技術(shù),而且在大多數(shù)情況下,這些技術(shù)還不夠安全。”
開源管理有待加強(qiáng)
新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國梁指出:“設(shè)計(jì)缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素。同時(shí),物聯(lián)網(wǎng)行業(yè)也需要重視開源代碼的安全使用。”
物聯(lián)網(wǎng)需要無數(shù)的軟件來支撐。但是開發(fā)人員往往更關(guān)注他們創(chuàng)建的軟件代碼,而忽略了使用的開源代碼,導(dǎo)致黑客有機(jī)可乘。例如,不久前,黑客竊取了分析服務(wù)Picreel和開源項(xiàng)目Alpaca Forms的數(shù)據(jù),并修改了它們的JavaScript文件,進(jìn)而在超過4,600個(gè)網(wǎng)站上嵌入惡意代碼。
根據(jù)新思科技發(fā)布的《2019年開源安全和風(fēng)險(xiǎn)分析》(OSSRA)報(bào)告 <https://www.synopsys/zh-cn/software-integrity/resources/reports/2019-open-source-security-risk-analysis.html?cmp=pr-sig>,2018年物聯(lián)網(wǎng)行業(yè)被審計(jì)代碼庫中使用了開源代碼的占比為91%,而存在許可證沖突的被審代碼庫的百分比為72%。
楊國梁強(qiáng)調(diào):“當(dāng)然,我們不是說企業(yè)應(yīng)該停止使用開源,而是應(yīng)該積極主動(dòng)地去進(jìn)行開源管理,從一開始就將安全內(nèi)置在物聯(lián)網(wǎng)中。”
如何防止IoT黑客攻擊
那怎么能正確地執(zhí)行IoT安全方案?
Larry Trowell歸結(jié)為:重視。
他補(bǔ)充說:“人們重視駕駛安全,配置了安全帶、車架、安全氣囊,提升汽車的安全性。大家注意到這些問題,意識(shí)到重要性,所以會(huì)要求有所改變。往往這些改變先發(fā)生在頂級(jí)車型中,然后才強(qiáng)制配置到普通車輛。”
他說:“安全專業(yè)人員要解釋為什么這些事情很重要,以及如何解決這些問題。如果我們只做這兩項(xiàng)任務(wù)中的一項(xiàng),那么也不會(huì)取得效果。”
