为什么物联网很脆弱,却没人在意?

2014031214170455201403121007406819

如今,物联网持续发展,笔记本和移动手机已经不是访问互联网的唯一途径了,电视机,婴儿监视器,烤箱,汽车都可以连网。甚至越来越多的医疗器械和其他重要设备也开始嵌入互联网功能。不幸的是,技术发展同样会引发一个问题——安全。就在前不久的黑帽大会和Defcon安全大会上,技术人员展示了很多物联网设备被黑的场景。虽然物联网安全受到了很多关注,但我们依然要面对一场艰苦的战斗。

更新不足是要害

对于物联网安全而言,最大的障碍就是部署无效的,或是不合理的安全更新。代码随时会出现漏洞,如果在设计和开发过程中就慎重考虑安全问题,那么相关威胁肯定会明显减少。不仅如此,所有的软件商必须要对漏洞做出快速反应,及时发布补丁。

从过去学习经验

如果我们看看目前的iOS和Android系统,就知道补丁修复的影响。这两款系统都有很多安全资源,而且也有非常优秀的系统组织,一旦发现了安全问题他们都可以快速提供补丁包。不过,相比于苹果,Android升级的及时性似乎做的不够好。苹果可以通过iOS更新将安全补丁直接发送给用户,但Android由于设备制造商和运营商的问题,通常会出现各种时延,很多设备要经过数月、甚至数年才能更新。目前只有不到18%的Android设备运行最新的版本,82%没有及时完成安全更新。

物联网各方都在为自己考虑,让安全补丁“很受伤”

如果你最近购买的可连网烤箱,冰箱或是婴儿监视器出现了一个安全漏洞,补丁包可以解决这个问题吗?我们不妨先看看涉及物联网的各方都在考虑什么。

制造商

销售产品;把互联网连接看做是一项功能,而不是要涉足的一块特殊领域;关注公众对产品的看法,驱动销售。

消费者

设备可以满足主要需求;互联网连接是一个不错的功能,或是次要功能;绝大多数人不希望为“修设备”费神。

犯罪组织

控制设备,把目标网络变成“僵尸网络”,进行分布式攻击;“隐藏自己”,不被发现,尽量不影响设备工作,这样“受害者”就不会“维修”设备,也不会根除恶意软件。

如果评估一下上述因素,就会发现在制造商一端,给设备打补丁的优先级并不高。而犯罪组织则会在一系列过时的设备上寻找漏洞,他们非常聪明,可以在不影响设备性能的前提下,部署恶意软件。这意味着消费者无法察觉设备已经被部署了恶意软件,安全漏洞几乎不会影响消费者对设备的看法,也不会刺激制造商去主动关注物联网设备的安全问题。

安全漏洞有很多受害者

制造商可能不急于解决设备缺陷,但不意味着损害不严重。

消费者将会失去隐私,数据会被监视,甚至被卖给他人。随着物联网的扩张,这些数据会涉及到更多隐私,比如健康数据、地理位置、室内视频、孩子等。

跨互联网的网络应用程序会遇到非常大的风险。可连接设备很容易受到攻击,它们不仅会被盗用,甚至会被连接到恶意“僵尸网络”上面。被盗用的设备会发送垃圾邮件,参与阻断服务攻击,甚至会在网络上偷窃用户的认证信息。

有效部署补丁是一个大问题

黑客非常谨慎,不过还是会有漏洞被发现,用户会要求打补丁。但是这又能怎样?

设备制造商们如果遇到这种情况,通常会“匆忙”发布一个补丁包,但是之后呢?这些补丁是如何发送到设备上的?完成更新后,消费者需要重启他们的烤箱,汽车,或是起搏器吗?这些补丁适用于下一代产品吗?不幸的是,这些问题都是我们目前遇到的挑战,即使有了一个补丁包,也无法及时有效地部署到设备上。

我们如何能做的更好?

消费者需要改变“动机模式”,让制造商快速修补漏洞。实现这一点,需要加大对安全威胁的披露和宣传,同时还要研究物联网安全漏洞的相关数据。那些经常从事物联网犯罪的黑客,必须对其行为负责,也要受到严惩。还需要了解正面、积极的安全方法,帮助构建更加稳定和安全的物联网设备。

设备制造商必须为产品可能出现的安全漏洞做好准备。在设计和制造阶段就要将安全问题考虑进去,避免明显的安全漏洞。此外,还必须建立可行的“补丁模式”,至少在每次升级更新的时候也要安装一些必要的安全补丁。

物联网很快就会“封装”我们的生活,过去几十年如果我们从互联网和计算机安全里面学到一些经验和教训,那就是就要把安全主动应用到物联网规划之中。我们无法每一个漏洞和威胁做好规划,但必须设计好快速部署代码补丁的方法,否则物联网将会变成“僵尸网络”。