编者按:本文作者 Min-Pyo Hong 是旧金山一家移动端安全解决方案公司的创始人兼 CEO,他在文章中表示物联网行业之所以不安全的源头是硅谷的文化。
最近几年来,“物联网” 一词在硅谷一直是一个热词,因此当我们在一些科技类新闻中读到物联网黑客时,会觉得有种讽刺的意味。最近几个月,VentureBeat 曾发表过几篇文章 “FBI 警告汽车制造商和用户,车辆具有被黑客袭击的风险”“物联网设备可能是特洛伊木马”。
很多从事科技行业的人都有较深的黑客和恶意软件意识,常常认为这只是新平台成长的烦恼。但是对于广大消费者来说,这是非常严重的威胁,不仅对设备和个人数据来说是一种威胁,同时对自己的身体健康和家人的身心安全也是一种威胁。随着设备的不断增多,Google 最新发布的智能家具等新设备加剧了它的脆弱性,该行业整体上处于危险之中。
我们该怎么解决这个问题呢?为了全面抓住这个问题,我们需要从基础层面了解一下为什么会有很多物联网黑客的问题,以及现在科技行业必须做什么才能解决这个问题。
硅谷的文化使得物联网不安全
随着移动 App 的快速发展,很多 PC 时代优秀的开发实践无法应用到物联网开发中。物联网设备使用的代码库与创建网站、App 或者 PC 软件使用的语言并没有发生根本性的改变。虽然事实如此,但是我常常在物联网产品中发现十几年前就已经知道的脆弱性,即使大公司的产品也有此类的问题。发布一款设备,但是客户的软件缺乏足够的保护措施,或者发布一款服务器间的加密交流设备,但是却无法确保设备的互联网联通协议安全。
再次重申一下,这种失败并不是因为物联网是一种前沿科技,开发者们还在学习如何使用;而是因为人们忽视了长期建立起来的关于安全代码的传统意识,这将直接导致非常危险的事情,对消费者的安全造成了严重的危险。拿最近的一个案例来说,我们知道黑客经常攻击通过 Wi-Fi 连接的婴儿监控器,但是人们很少知道之所以可以进行攻击,是因为设备会发送、存储敏感的数据,包括证书和纯文本。
这里的罪魁祸首不是代码,而是文化。在硅谷,人们最关注的是成为最新的平台,快速抢占市场。我们好像都患有失忆症。我们在移动生态圈里一遍又一遍地看到安全问题,因为经验不足的团队会匆忙地将自己的 App 放到市场上,使得很多产品都可以被攻击。重复这种模式,我们经常也会看到制造物联网设备的人具有很少或没有硬件经验,缺乏了解硬件、中间设备、软件之间相互关系的背景。
开发新产品的市场
所有这些文化的缺陷是连接设备的快速发展的结果。IDG 预测到 2020年 物联网市场将到达 17000 亿,Gartner 估计物联网的黑市交易到 2020年 将会超过 50 亿美元。诚然,物联网设备的恶意软件已经成为一个繁荣的行业,而且通过各种各样的攻击途径,它日渐变得越来越复杂。所有连接网络的设备都会受到恶意软件的影响,这意味着一个恶意软件可以影响连接的所有设备。由于系统的复杂性,很难确定问题的源头。
我们该怎么办?
基于以上列出的原因,科技公司工程师团队可能无法从内部进行改革,即使他们内心深处希望进行改变。但是,我认为解决问题的重任应该交给公司的领导以及投资人,他们可以施加压力,从现在开始改变。
进行更多的审计:据 AT&T 在物联网方面的报告表示,开发产品的公司中每天检查一次或多次安全日志和警告的公司不到一半,检查安全日志和警告是当风险预测提高时必须的要做的一个步骤。更糟糕的是,在被调查的公司中,只有 14%的公司设置了正式的审计过程,帮助用户了解他们的设备是否安全;只有 17%的公司在做决策时会围绕物联网的安全问题进行讨论。
不断监测并将安全过程自动化:公司需要对自己的设备情况更加透明。他们需要记录所有的设备活动,分类并立刻关闭可疑的活动和差异。由于连接端点在大量增加,物联网设备产生的数据量也在大幅度增减,在理想情况下,数据监测、危险监测和保护的整个过程都应该实现自动化。