为什么物联网很脆弱,却没人对此负责?

  如今,物联网持续发展,笔记本和移动手机已经不是访问互联网的唯一途径了,电视机,婴儿监视器,烤箱,汽车都可以连网。甚至越来越多的医疗器械和其他重要设备也开始嵌入互联网功能。不幸的是,技术发展同样会引发一个问题——安全。就在前不久的黑帽大会和Defcon安全大会上,技术人员展示了很多物联网设备被黑的场景。虽然物联网安全受到了很多关注,但我们依然要面对一场艰苦的战斗。

  更新不足是要害

  对于物联网安全而言,最大的障碍就是部署无效的,或是不合理的安全更新。代码随时会出现漏洞,如果在设计和开发过程中就慎重考虑安全问题,那么相关威胁肯定会明显减少。不仅如此,所有的软件商必须要对漏洞做出快速反应,及时发布补丁。

  从过去学习经验

  如果我们看看目前的iOS和Android系统,就知道补丁修复的影响。这两款系统都有很多安全资源,而且也有非常优秀的系统组织,一旦发现了安全问题他们都可以快速提供补丁包。不过,相比于苹果,Android升级的及时性似乎做的不够好。苹果可以通过iOS更新将安全补丁直接发送给用户,但Android由于设备制造商和运营商的问题,通常会出现各种时延,很多设备要经过数月、甚至数年才能更新。目前只有不到18%的Android设备运行最新的版本,82%没有及时完成安全更新。

  物联网各方都在为自己考虑,让安全补丁“很受伤”

  如果你最近购买的可连网烤箱,冰箱或是婴儿监视器出现了一个安全漏洞,补丁包可以解决这个问题吗?我们不妨先看看涉及物联网的各方都在考虑什么。

  制造商

  销售产品;把互联网连接看做是一项功能,而不是要涉足的一块特殊领域;关注公众对产品的看法,驱动销售。

  消费者

  设备可以满足主要需求;互联网连接是一个不错的功能,或是次要功能;绝大多数人不希望为“修设备”费神。

  犯罪组织

  控制设备,把目标网络变成“僵尸网络”,进行分布式攻击;“隐藏自己”,不被发现,尽量不影响设备工作,这样“受害者”就不会“维修”设备,也不会根除恶意软件。

  如果评估一下上述因素,就会发现在制造商一端,给设备打补丁的优先级并不高。而犯罪组织则会在一系列过时的设备上寻找漏洞,他们非常聪明,可以在不影响设备性能的前提下,部署恶意软件。这意味着消费者无法察觉设备已经被部署了恶意软件,安全漏洞几乎不会影响消费者对设备的看法,也不会**制造商去主动关注物联网设备的安全问题。

  安全漏洞有很多受害者

  制造商可能不急于解决设备缺陷,但不意味着损害不严重。

  设备的拥有者

  消费者将会失去隐私,数据会被监视,甚至被卖给他人。随着物联网的扩张,这些数据会涉及到更多隐私,比如健康数据、地理位置、室内视频、孩子等。

  网络上的应用程序

  跨互联网的网络应用程序会遇到非常大的风险。可连接设备很容易受到攻击,它们不仅会被盗用,甚至会被连接到恶意“僵尸网络”上面。被盗用的设备会发送垃圾邮件,参与阻断服务攻击,甚至会在网络上偷窃用户的认证信息。

  有效部署补丁是一个大问题

  黑客非常谨慎,不过还是会有漏洞被发现,用户会要求打补丁。但是这又能怎样?

  设备制造商们如果遇到这种情况,通常会“匆忙”发布一个补丁包,但是之后呢?这些补丁是如何发送到设备上的?完成更新后,消费者需要重启他们的烤箱,汽车,或是起搏器吗?这些补丁适用于下一代产品吗?不幸的是,这些问题都是我们目前遇到的挑战,即使有了一个补丁包,也无法及时有效地部署到设备上。

  我们如何能做的更好?

  消费者需要改变“动机模式”,让制造商快速修补漏洞。实现这一点,需要加大对安全威胁的披露和宣传,同时还要研究物联网安全漏洞的相关数据。那些经常从事物联网犯罪的黑客,必须对其行为负责,也要受到严惩。还需要了解正面、积极的安全方法,帮助构建更加稳定和安全的物联网设备。