最近还兴起了一种名为“勒索软件”(ransomware)的新趋势:黑客利用恶意软件加密文档或照片,只有在收到受害人的赎金后才会将其恢复。“试想,如果你有一天发现自己的汽车被锁了,如果想要解锁,必须给俄罗斯的一个电子邮件地址汇去200美元。”自动化安全检测软件开发商Cryptosense的老板格雷厄姆·斯蒂尔(GrahamSteel)说。
加强重视
斯蒂尔表示,之所以出现这些问题,一定程度上源自很多新型电子设备制造商在电脑安全领域缺乏经验。他去年曾经与一家欧洲大型汽车零件制造商进行过沟通,他说:“那些人只接受过机械工程方面的专业培训,他们说,‘我们突然之间还要肩负安全开发者、密码专家等职责,但我们在这方面根本没有经验。’”
幸运的是,大公司拥有这方面的经验和技能。由于拥有长期的从业经验,因此微软和谷歌(微博)都已经对这类安全问题投入了更多关注。但要让非IT公司也具备同样的能力,就必须改变他们的企业文化。
IT企业都明白,要编写绝对安全的代码几乎是不可能完成的任务,所以开放就是最好的防御。但有些公司仍然持抗拒态度。例如,大众汽车2013年通过诉讼阻止伯明翰大学研究人员弗拉维奥·加西亚(FlavioGarcia)发布一篇论文,该论文介绍了利用远程密钥卡锁住大众汽车的方法。
IT行业早就认识到,这类“白帽黑客”是他们的朋友,而非敌人,因此经常为这种善意的漏洞挖掘者提供物质奖励,以便及时修复问题。
然而,当前的困难在于,相关企业没有多少动力来充分重视安全问题。这有点像1990年代的互联网,彼时的多数威胁还没有真正浮现出来,所以在安全问题上的不足暂时不会对企业的声誉和利润产生影响。但安德森认为,这一趋势迟早会改变,尤其是在可能因为安全漏洞构成严重后果的行业。
他将这种现象与早期的铁路进行了对比:在发展初期,锅炉爆炸和碰撞事故层出不穷,直到几十年后,铁路大亨们才开始重视安全问题。汽车行业也经历了类似的过程,直到1970年代才开始关注安全。
不过,目前已经有一些积极的信号。在雷奥斯入侵了药物注射泵后,美国食品和药品管理局(FDA)发布了一份通知,警告用户对此多加小心。该机构去年还出台了一系列医疗设备指导原则,为相关厂商提供电脑安全方面的详细指导。在媒体的广泛报道下,汽车厂商也取得了快速的进步。
然而,由于很多安全漏洞和入侵行为给人们带来的主要是困扰,而不是致命的伤害,所以要真正改善还需要经过一段较长的时间。“我可能很愿意多花些钱来保证汽车的安全。”斯蒂尔说,“但我是否会愿意花钱确保我的冰箱不会骚扰他人呢?要知道,我自己并没有受到什么伤害。”