物联网的失控可能会变得非常快。虽然我们仍然距离发达的物联网技术很遥远,但Gigaom研究所的分析师Craig Foster在其最近关于物联网的一份安全报告中指出,危险其实已经近在眼前了。例如在航运业,今年早些时候,黑客入侵并非法关闭了石油钻井平台,许多油轮船员都禁用自己的电子跟踪其和制导系统,以避免那些信息拦截技术娴熟的海盗获得有用信息。那些载运超过100万加仑石油的船舶就如同盲人在路上行走一样。
如果上面这个例子中的能源安全和环境问题不会令你在意,那考虑一下:任何在高通公司的tricorder XPrize比赛中获得决赛资格的选手,他们的带来的消费级设备都将能在最低限度下诊断出下列疾病: 贫血、尿路感染、糖尿病、心房颤动、睡眠呼吸暂停、结核病、慢性阻塞性肺疾病(COPD)、肺炎、中耳炎(“耳道感染”)、白细胞增多、A型肝炎等。
这些都是高度敏感的信息,对于罪犯和投机取巧的营销商来说可能是非常有价值的。呈现三相分布的各种类型的消费设备,也是黑客的理想目标。它们存储或传送有价值的个人信息,一般在消费级网络,其拥有足够的信息总量,使黑客值得对其耗费心力并非法盗用。再加上未来不可避免的自动化处方配药过程,你将成为那些黑客的美梦。虽然这一切还都没有发生,但黑客利用起搏器来进行暗杀的确是很有可能的。
不管物联网发展的速度如何,现在的物联网还非常年轻,这对我们来说既是好消息也是坏消息。没有人能有信心预测在未来五年内,设备连接的通道将是什么样子的。我们不知道其中哪种设备的连接协议能最具优势,哪些类别的设备将被规范,或者哪些将是安全的。在短期内,这对黑客来说是好消息,但也为我们其余的人敲响了警钟,我们需要在事情变得危险前做出并采取正确的行动。
那么一个单独的设备制造商或应用程序开发人员应该做些什么呢?其实还是相当多的。这里有三个建议:
1. 第一步是承认风险的存在。很少有公司在物联网的世界实行这种方式。比如耐克的衣服,可口可乐的饮料,在大多数情况下,商机就这样出现了,基础设施都是以赚钱为目的,功能第一,安全第二。当你插入一个匿名的心脏监测仪到PC,安全或许不是一个大问题,但心跳速率与你的电话号码和血糖跟踪器绑定在一起的话,你就需要注意了。
Foster指出,许多企业都不愿意接受有关如何支撑网络和设备的建议,因为它仍然不是一个大问题。从它的安全团队忽略重复的错误提示直到崩溃之前,受害目标都是这样自以为是的。所以不要成为下一个目标。
2.基于传感器的新产品将与之前有所不同,但它并没有特别的改善。转而使用像安全加载和沙盒技术已经是现在发展和努力的方向之一了,如果您使用的是常见的通信协议的话,一定要采用与之类型相匹配的安全技术。政府和行业法规通常很难及时赶上硬件的发展步伐,所以为了保护自己,您最好利用移动性的或基于网络的措施作为权宜之计。你会堵上大部分的漏洞,并告诉你的监管机构,你是在安全性方面做得最好的。
3.在今年的TechEd大会上,记者问Windows Intune的系统工作人员,行业要如何解决物联网的问题时。他们的回答是“参与制定标准的讨论,这可以使得标准的制定更加合理,如果你并没有任何建议,去听一下也是会受益的。”虽然这个回答没有浮华的成分,但你永远也不要指望一个供应商能提供更好的建议。
如果你所在的行业已经有了监管机构,你一定会想把技术问题推给他们,但物联网需要更多的志愿者或志愿组织来帮助完成标准的制定。例如 AllSeen联盟(Linux基金会Alljoyn的以安全性为重点的合作伙伴)正在制定标准,这将远远比任何一个行业或用例更有意义。重要的是要了解物联网的未来会变得怎样,其中更重要的是帮助确保未来的标准能真正为你工作。