機械社區(qū)
標題:
物聯(lián)網(wǎng)安全不可放任自流
[打印本頁]
作者:
寂靜天花板
時間:
2015-9-25 06:13
標題:
物聯(lián)網(wǎng)安全不可放任自流
在物聯(lián)網(wǎng)初期,安全問題是最不受重視的方面。
自從美國玩具業(yè)巨頭美泰公司(Mattel)于1959年推出首款塑料娃娃以來,芭比娃娃已然走過了一段漫長的道路。從前,孩子們要是想讓這首款娃娃“開口說話”,只能對著它自言自語。今年二月紐約玩具展上推出的最新款芭比在這方面有所進步。內置芯片賦予新款芭比“聆聽”孩子們說話的能力。無線連接將孩子對芭比說的話傳送至某個數(shù)據(jù)中心。那里的電腦性能更強,負責對這些話語進行解讀并給予恰當?shù)幕貞。美泰的一名員工在一部示范片里說道:“歡迎來到紐約,芭比!卑疟然卮穑骸拔覑奂~約,你呢?”“你最喜歡紐約什么?美食、時尚、風景還是妓院?”
當然,芭比事實上并沒有給出最后一個選項。但“物聯(lián)網(wǎng)”這個概念之所以會讓一些人感到擔憂,正是因為某些想要自娛自樂或讓美泰難堪的黑客有可能黑進程序,讓芭比吐出那最后一個詞。現(xiàn)代汽車越來越像裝了輪子的電腦。糖尿病患者佩戴由電腦控制的胰島素泵,患者的生命體征可實時傳送給主治醫(yī)生。智能恒溫控制器對其用戶的習慣了如指掌,相應調節(jié)屋內溫度。為了造福人類,一切物品都和互聯(lián)網(wǎng)相連接。
不過最初的互聯(lián)網(wǎng)也存在弊端。人們曾利用互聯(lián)網(wǎng)來傳播病毒、蠕蟲和各種惡意軟件。懷疑論者如今擔心有人會蓄意控制他人的汽車并造成事故,有人遠程導致糖尿病患的胰島素泵失靈而致其喪生,竊賊根據(jù)用電模式得知戶主何時外出從而實施入室盜竊。安全隱患叢生的互聯(lián)網(wǎng)有可能導致反烏托邦現(xiàn)象。
互聯(lián)帶來的機遇
這一切聽上去像末日啟示,令人難以置信。但黑客和安全研究者們已經(jīng)證實這一切是有可能發(fā)生的。比方說,美籍電腦安全研究者比利·里奧斯(Billy Rios)于今年六月宣布,他已經(jīng)找到辦法來入侵并控制由電腦控制的藥泵網(wǎng)絡,從而改變原本的劑量。這種入侵醫(yī)療器械的方式由來已久。2011年,電腦安全研究者杰·拉德克里夫(Jay Radcliffe)在臺上親自演示了如何在神不知鬼不覺的情況下進行遠程遙控,導致他所佩戴的胰島素泵失靈——他本人就是一名糖尿病患者。
汽車同樣易受侵害。幾位研究者已經(jīng)展示了如何破壞控制汽車的電腦,包括導致剎車或方向盤失靈。汽車制造商指出,多數(shù)情況下需將一臺筆記本電腦同汽車內部相連接才能實施此類攻擊。每年八月,洛杉磯都會舉辦黑帽技術大會(Black Hat,電腦安全方面的會議)。今年的大會將涉及一項匯報。該匯報將向與會者展示如何對一輛車進行遠程無線操控。
此類噱頭吸引了大量的媒體報道。但大多數(shù)網(wǎng)絡罪犯更關心的是如何低調地賺錢,況且智能設備給如今遍布網(wǎng)絡的惡意軟件的作者帶來了絕佳的新機遇。網(wǎng)絡罪犯利用受攻擊的計算機形成的龐大網(wǎng)絡,即僵尸網(wǎng)絡來達成一切目的,從生成垃圾郵件到執(zhí)行拒絕訪問攻擊。拒絕訪問是指網(wǎng)址的訪問請求泛濫,導致合法用戶無法登陸。網(wǎng)址所有者需花費數(shù)千美金才能讓網(wǎng)絡罪犯停手。
在黑客看來,風險在于殺毒軟件可能會監(jiān)測到他們的“大作”,開始對受感染的電腦進行殺毒。劍橋大學的計算機安全專家羅斯?安德森(Ross Anderson)說:“假設有一天,某臺智能電視機受到感染,形成一個由一千萬臺機器構成的僵尸網(wǎng)絡,到時候會發(fā)生什么?”這種設備不具備通用計算機的功能,因而所有的殺毒軟件都是不適用的。普通用戶也許無法辨別出自己的電視機是否受到了攻擊。安德森博士指出,很多情況下,對設備“打補丁”都是行不通的。換而言之,如果設備在賣出后出現(xiàn)任何安全漏洞,生產(chǎn)商無法利用網(wǎng)絡采取相應的補救措施。
目前看來,這種擔憂很大程度上是一種假設。不過警示燈已再度亮起。2014年,Sans 研究所(計算機安全培訓提供商)的研究人員稱他們發(fā)現(xiàn)了一個由數(shù)字視頻錄像機組成的僵尸網(wǎng)絡。僵尸網(wǎng)絡的控制者利用受感染的播放器來運行挖掘比特幣(一種虛擬貨幣)所需的復雜的運算程序。
而這些數(shù)碼播放器的用戶可能并沒有注意到電費賬單上由此多出的幾美分。Nominum(一家致力于為網(wǎng)絡公司提供分析軟件的企業(yè))于2014年表示,同年二月,超過五百萬個家庭路由器——一種連接用戶住宅與網(wǎng)絡的小設備——遭遇黑客劫持,用來執(zhí)行拒絕訪問攻擊。
黑客有時利用受攻擊的計算機來進一步實現(xiàn)其他陰謀詭計,比如釣魚式攻擊,即誘使用戶泄露包括銀行密碼在內的敏感信息。至于為何利用安全級別低下的聯(lián)網(wǎng)小發(fā)明(包括數(shù)字視頻錄像機、智能冰箱和智能電表在內)的內置計算機無法達到這一目的,其原因尚不明了——至少大體上是這樣。
除此之外,近期還出現(xiàn)了“勒索軟件”,即黑客利用惡意程序對受害人的文件和照片進行加密,受害人須支付一定金額才能贖回這些資料。自動安全檢測軟件提供商Cryptosense的總裁格雷厄姆?斯蒂爾(Graham Steel)認為:“想象一下,某天你正在開車門,卻被告知車已上鎖,想進去就得匯兩百美元給某個可疑的俄文郵件地址!
改變,從此刻開始
斯蒂爾博士認為,一部分原因在于許多制造這些聯(lián)網(wǎng)新玩意的企業(yè)對計算機安全這一神秘領域所知甚少。他去年采訪了歐洲一家大型汽車零部件制造商!斑@些人都是受過培訓的機械工程師。他們的原話是:‘突然間我們成了安全開發(fā)人員、密碼專家之類的人,可我們壓根就沒有這方面的經(jīng)驗!
幸運的是一些大型計算機企業(yè)有相關經(jīng)驗。在經(jīng)歷過二十年的摸爬滾打后,像Microsoft和google這樣的企業(yè)如今對安全問題的關注度提升顯著。但要想讓非計算機領域的企業(yè)仿效這一做法,就得相應改變企業(yè)文化。
計算機企業(yè)意識到編寫安全代碼幾乎是行不通的,保持開放就是最好的防御措施。其他企業(yè)則樹立起了防御機制。比如,大眾汽車于2013年向英國一法院提起上訴,禁止伯明翰大學的研究人員弗拉維奧?加西亞(Flavio Garcia)公開其研究成果。加西亞發(fā)現(xiàn),用于解鎖大眾車型的遠程密鑰存在嚴重問題。自那時起,計算機行業(yè)便認識到像加西亞這樣的善意黑客不是敵人。計算機企業(yè)經(jīng)常實施漏洞發(fā)現(xiàn)獎勵計劃,即向發(fā)現(xiàn)漏洞的黑客提供獎勵,從而為企業(yè)修復這些漏洞留出了時間。
但最大的障礙在于,企業(yè)目前缺乏重視安全問題的動機。正如上世紀九十年代發(fā)生的網(wǎng)絡安全危機,大多數(shù)威脅仍未消除。這意味著忽視安全問題暫時不會影響到企業(yè)的聲譽或利潤。安德森博士認為情況將發(fā)生變化,至少對于那些被攻破則后果嚴重的行業(yè)是這樣。
他以早期的鐵路為例,指出鐵路業(yè)在最初幾十年里發(fā)生了許多次鍋爐爆炸和碰撞事故,那之后行業(yè)巨頭才開始重視安全問題。同樣,汽車業(yè)也是從上世紀七十年代起才開始重視安全問題。網(wǎng)絡安全方面已經(jīng)有好轉的跡象。在里奧斯黑進藥泵網(wǎng)絡后,美國主要的醫(yī)療監(jiān)管部門食品藥品管理局發(fā)布了一項建議性通告,告誡用戶要提高警惕。去年,管理局針對醫(yī)療器械制造商出臺了一系列方針,指出了電腦安全方面的隱秘細節(jié)。由于媒體對相關問題的高度關注,汽車制造商也很快意識到安全問題的重要性。
對于那些受安全漏洞和黑客問題煩擾但影響并不致命的行業(yè)而言,要想使情況好轉,需要更長時間!拔乙苍S會愿意另外花點錢來保證我的車是安全的,”斯蒂爾博士說,“假如我的冰箱沒給我添麻煩,我會花更多的錢來確保它沒有給別人添麻煩嗎?”
作者:
王忠澤93
時間:
2015-9-25 09:12
科技,帶著雙刃在發(fā)展
作者:
濾油機廠家
時間:
2015-9-25 10:02
物聯(lián)網(wǎng)是噱頭
歡迎光臨 機械社區(qū) (http://e-learninguniversity.com/)
Powered by Discuz! X3.4