Rios强调,美国运输安全管理局(TSA)以后需要以更严格的安全标准来衡量供应商的产品。
Rios在黑帽大会演讲时说:“美国运输安全管理局(TSA)有足够权力让事情往正确的方向发展,而且他们也有责任这么做。”他还补充道,他自己只是一个拥有一台笔记本,而且没有预算的研究者就可以做到这样的地步,这意味着每个人都可以为物联网安全作出贡献。
而且编码的凭证不仅仅只是影响地面上的安全,正如IOActive的首席安全顾问Ruben Santamarta所指出的,飞机上的卫星通信(SATCOM)、军事/航空航天工业与轨道卫星沟通时也存在类似的问题。
事实上,Santamarta以前还就这个问题发布了白皮书,发现他所研究的五个制造商的产品中都存在硬编码凭证,包括Cobham Plc.、Harris公司、EchoStar公司的Hughes网络系统, Iridium Communications公司和日本无线株式会社。硬编码凭证将让卫星通信装置给恶意攻击者提供潜在的操控可能性,如Cobham AVIATOR 700设备,其用于飞机上的通信、乘客在飞机上使用的wifi。Santamarta说Cobham公司的一个代表告诉他,他们的设备只有可能在两种情况下受到攻击,一种是有人物理访问该设备,一种是网络没有正确安装。
然而,Santamarta还是提出警示,他认为虽然不能肯定黑客会真正攻击这些设备,但是他仍旧希望看到生产商能够解决这个问题。
Santamarta说:“事实上漏洞还在这里,所以有可能被攻击,也可能不被攻击,但是归根究底有些东西还是应该被完善。”
呼吁采取行动
虽然黑帽大会的黑客行为有时被描述为华而不实,但是惠普近期发布的一项研究提供了一些关于物联网安全问题的数据。根据调查结果,物联网70%的设备都存在易受攻击的漏洞;使用用户界面的60%设的备都存在如跨站点脚本和弱凭证这样的漏洞;只有70%的设备都使用了加密的网络服务。
这些数据都已经明确地将安全行业放在了准备进攻的位置。而安全行业的领导人物之一就是Sonatype公司的首席技术官,也是I Am The Cavalry组织的共同创办人Josh Corman。I Am The Cavalry组织专门保护可能影响公共安全或人类健康的设备和系统。
不久之前,I Am the Cavalry组织给汽车制造商,还有Miller和Valasek这些研究者发了一封公开信,呼吁汽车行业和安全研究员之间的合作。信中还提出了五点安全最佳实践清单——Five Star Automotive Cyber Safety Program,供生产商去完善。这封信作为一份请愿书被张贴在Change.org,至今收到的签名超过300个。
Corman说他希望安全行业可以继续和各厂商还有华盛顿的政客合作,以确保物联网的安全。
Corman在接受卡达尔半岛电视台(Al-Jazeera America)的一个采访中讲到:“我们正在试图达到一个目标:让设计、构建和部署数字基础设施的人们都能够更加自觉地考虑到目前所做的事情对人类生活会造成的影响。”