|
在物聯(lián)網(wǎng)初期,安全問題是最不受重視的方面。
自從美國(guó)玩具業(yè)巨頭美泰公司(Mattel)于1959年推出首款塑料娃娃以來,芭比娃娃已然走過了一段漫長(zhǎng)的道路。從前,孩子們要是想讓這首款娃娃“開口說話”,只能對(duì)著它自言自語。今年二月紐約玩具展上推出的最新款芭比在這方面有所進(jìn)步。內(nèi)置芯片賦予新款芭比“聆聽”孩子們說話的能力。無線連接將孩子對(duì)芭比說的話傳送至某個(gè)數(shù)據(jù)中心。那里的電腦性能更強(qiáng),負(fù)責(zé)對(duì)這些話語進(jìn)行解讀并給予恰當(dāng)?shù)幕貞?yīng)。美泰的一名員工在一部示范片里說道:“歡迎來到紐約,芭比!卑疟然卮穑骸拔覑奂~約,你呢?”“你最喜歡紐約什么?美食、時(shí)尚、風(fēng)景還是妓院?”
當(dāng)然,芭比事實(shí)上并沒有給出最后一個(gè)選項(xiàng)。但“物聯(lián)網(wǎng)”這個(gè)概念之所以會(huì)讓一些人感到擔(dān)憂,正是因?yàn)槟承┫胍詩(shī)首詷坊蜃屆捞╇y堪的黑客有可能黑進(jìn)程序,讓芭比吐出那最后一個(gè)詞,F(xiàn)代汽車越來越像裝了輪子的電腦。糖尿病患者佩戴由電腦控制的胰島素泵,患者的生命體征可實(shí)時(shí)傳送給主治醫(yī)生。智能恒溫控制器對(duì)其用戶的習(xí)慣了如指掌,相應(yīng)調(diào)節(jié)屋內(nèi)溫度。為了造福人類,一切物品都和互聯(lián)網(wǎng)相連接。
不過最初的互聯(lián)網(wǎng)也存在弊端。人們?cè)没ヂ?lián)網(wǎng)來傳播病毒、蠕蟲和各種惡意軟件。懷疑論者如今擔(dān)心有人會(huì)蓄意控制他人的汽車并造成事故,有人遠(yuǎn)程導(dǎo)致糖尿病患的胰島素泵失靈而致其喪生,竊賊根據(jù)用電模式得知戶主何時(shí)外出從而實(shí)施入室盜竊。安全隱患叢生的互聯(lián)網(wǎng)有可能導(dǎo)致反烏托邦現(xiàn)象。
互聯(lián)帶來的機(jī)遇
這一切聽上去像末日啟示,令人難以置信。但黑客和安全研究者們已經(jīng)證實(shí)這一切是有可能發(fā)生的。比方說,美籍電腦安全研究者比利·里奧斯(Billy Rios)于今年六月宣布,他已經(jīng)找到辦法來入侵并控制由電腦控制的藥泵網(wǎng)絡(luò),從而改變?cè)镜膭┝。這種入侵醫(yī)療器械的方式由來已久。2011年,電腦安全研究者杰·拉德克里夫(Jay Radcliffe)在臺(tái)上親自演示了如何在神不知鬼不覺的情況下進(jìn)行遠(yuǎn)程遙控,導(dǎo)致他所佩戴的胰島素泵失靈——他本人就是一名糖尿病患者。
汽車同樣易受侵害。幾位研究者已經(jīng)展示了如何破壞控制汽車的電腦,包括導(dǎo)致剎車或方向盤失靈。汽車制造商指出,多數(shù)情況下需將一臺(tái)筆記本電腦同汽車內(nèi)部相連接才能實(shí)施此類攻擊。每年八月,洛杉磯都會(huì)舉辦黑帽技術(shù)大會(huì)(Black Hat,電腦安全方面的會(huì)議)。今年的大會(huì)將涉及一項(xiàng)匯報(bào)。該匯報(bào)將向與會(huì)者展示如何對(duì)一輛車進(jìn)行遠(yuǎn)程無線操控。
此類噱頭吸引了大量的媒體報(bào)道。但大多數(shù)網(wǎng)絡(luò)罪犯更關(guān)心的是如何低調(diào)地賺錢,況且智能設(shè)備給如今遍布網(wǎng)絡(luò)的惡意軟件的作者帶來了絕佳的新機(jī)遇。網(wǎng)絡(luò)罪犯利用受攻擊的計(jì)算機(jī)形成的龐大網(wǎng)絡(luò),即僵尸網(wǎng)絡(luò)來達(dá)成一切目的,從生成垃圾郵件到執(zhí)行拒絕訪問攻擊。拒絕訪問是指網(wǎng)址的訪問請(qǐng)求泛濫,導(dǎo)致合法用戶無法登陸。網(wǎng)址所有者需花費(fèi)數(shù)千美金才能讓網(wǎng)絡(luò)罪犯停手。
在黑客看來,風(fēng)險(xiǎn)在于殺毒軟件可能會(huì)監(jiān)測(cè)到他們的“大作”,開始對(duì)受感染的電腦進(jìn)行殺毒。劍橋大學(xué)的計(jì)算機(jī)安全專家羅斯?安德森(Ross Anderson)說:“假設(shè)有一天,某臺(tái)智能電視機(jī)受到感染,形成一個(gè)由一千萬臺(tái)機(jī)器構(gòu)成的僵尸網(wǎng)絡(luò),到時(shí)候會(huì)發(fā)生什么?”這種設(shè)備不具備通用計(jì)算機(jī)的功能,因而所有的殺毒軟件都是不適用的。普通用戶也許無法辨別出自己的電視機(jī)是否受到了攻擊。安德森博士指出,很多情況下,對(duì)設(shè)備“打補(bǔ)丁”都是行不通的。換而言之,如果設(shè)備在賣出后出現(xiàn)任何安全漏洞,生產(chǎn)商無法利用網(wǎng)絡(luò)采取相應(yīng)的補(bǔ)救措施。
目前看來,這種擔(dān)憂很大程度上是一種假設(shè)。不過警示燈已再度亮起。2014年,Sans 研究所(計(jì)算機(jī)安全培訓(xùn)提供商)的研究人員稱他們發(fā)現(xiàn)了一個(gè)由數(shù)字視頻錄像機(jī)組成的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的控制者利用受感染的播放器來運(yùn)行挖掘比特幣(一種虛擬貨幣)所需的復(fù)雜的運(yùn)算程序。
而這些數(shù)碼播放器的用戶可能并沒有注意到電費(fèi)賬單上由此多出的幾美分。Nominum(一家致力于為網(wǎng)絡(luò)公司提供分析軟件的企業(yè))于2014年表示,同年二月,超過五百萬個(gè)家庭路由器——一種連接用戶住宅與網(wǎng)絡(luò)的小設(shè)備——遭遇黑客劫持,用來執(zhí)行拒絕訪問攻擊。
黑客有時(shí)利用受攻擊的計(jì)算機(jī)來進(jìn)一步實(shí)現(xiàn)其他陰謀詭計(jì),比如釣魚式攻擊,即誘使用戶泄露包括銀行密碼在內(nèi)的敏感信息。至于為何利用安全級(jí)別低下的聯(lián)網(wǎng)小發(fā)明(包括數(shù)字視頻錄像機(jī)、智能冰箱和智能電表在內(nèi))的內(nèi)置計(jì)算機(jī)無法達(dá)到這一目的,其原因尚不明了——至少大體上是這樣。
除此之外,近期還出現(xiàn)了“勒索軟件”,即黑客利用惡意程序?qū)κ芎θ说奈募驼掌M(jìn)行加密,受害人須支付一定金額才能贖回這些資料。自動(dòng)安全檢測(cè)軟件提供商Cryptosense的總裁格雷厄姆?斯蒂爾(Graham Steel)認(rèn)為:“想象一下,某天你正在開車門,卻被告知車已上鎖,想進(jìn)去就得匯兩百美元給某個(gè)可疑的俄文郵件地址。”
改變,從此刻開始
斯蒂爾博士認(rèn)為,一部分原因在于許多制造這些聯(lián)網(wǎng)新玩意的企業(yè)對(duì)計(jì)算機(jī)安全這一神秘領(lǐng)域所知甚少。他去年采訪了歐洲一家大型汽車零部件制造商!斑@些人都是受過培訓(xùn)的機(jī)械工程師。他們的原話是:‘突然間我們成了安全開發(fā)人員、密碼專家之類的人,可我們壓根就沒有這方面的經(jīng)驗(yàn)!
幸運(yùn)的是一些大型計(jì)算機(jī)企業(yè)有相關(guān)經(jīng)驗(yàn)。在經(jīng)歷過二十年的摸爬滾打后,像Microsoft和google這樣的企業(yè)如今對(duì)安全問題的關(guān)注度提升顯著。但要想讓非計(jì)算機(jī)領(lǐng)域的企業(yè)仿效這一做法,就得相應(yīng)改變企業(yè)文化。
計(jì)算機(jī)企業(yè)意識(shí)到編寫安全代碼幾乎是行不通的,保持開放就是最好的防御措施。其他企業(yè)則樹立起了防御機(jī)制。比如,大眾汽車于2013年向英國(guó)一法院提起上訴,禁止伯明翰大學(xué)的研究人員弗拉維奧?加西亞(Flavio Garcia)公開其研究成果。加西亞發(fā)現(xiàn),用于解鎖大眾車型的遠(yuǎn)程密鑰存在嚴(yán)重問題。自那時(shí)起,計(jì)算機(jī)行業(yè)便認(rèn)識(shí)到像加西亞這樣的善意黑客不是敵人。計(jì)算機(jī)企業(yè)經(jīng)常實(shí)施漏洞發(fā)現(xiàn)獎(jiǎng)勵(lì)計(jì)劃,即向發(fā)現(xiàn)漏洞的黑客提供獎(jiǎng)勵(lì),從而為企業(yè)修復(fù)這些漏洞留出了時(shí)間。
但最大的障礙在于,企業(yè)目前缺乏重視安全問題的動(dòng)機(jī)。正如上世紀(jì)九十年代發(fā)生的網(wǎng)絡(luò)安全危機(jī),大多數(shù)威脅仍未消除。這意味著忽視安全問題暫時(shí)不會(huì)影響到企業(yè)的聲譽(yù)或利潤(rùn)。安德森博士認(rèn)為情況將發(fā)生變化,至少對(duì)于那些被攻破則后果嚴(yán)重的行業(yè)是這樣。
他以早期的鐵路為例,指出鐵路業(yè)在最初幾十年里發(fā)生了許多次鍋爐爆炸和碰撞事故,那之后行業(yè)巨頭才開始重視安全問題。同樣,汽車業(yè)也是從上世紀(jì)七十年代起才開始重視安全問題。網(wǎng)絡(luò)安全方面已經(jīng)有好轉(zhuǎn)的跡象。在里奧斯黑進(jìn)藥泵網(wǎng)絡(luò)后,美國(guó)主要的醫(yī)療監(jiān)管部門食品藥品管理局發(fā)布了一項(xiàng)建議性通告,告誡用戶要提高警惕。去年,管理局針對(duì)醫(yī)療器械制造商出臺(tái)了一系列方針,指出了電腦安全方面的隱秘細(xì)節(jié)。由于媒體對(duì)相關(guān)問題的高度關(guān)注,汽車制造商也很快意識(shí)到安全問題的重要性。
對(duì)于那些受安全漏洞和黑客問題煩擾但影響并不致命的行業(yè)而言,要想使情況好轉(zhuǎn),需要更長(zhǎng)時(shí)間!拔乙苍S會(huì)愿意另外花點(diǎn)錢來保證我的車是安全的,”斯蒂爾博士說,“假如我的冰箱沒給我添麻煩,我會(huì)花更多的錢來確保它沒有給別人添麻煩嗎?”
|
|