廉价物联网设备:未来的另一个安全隐忧

  

  作者:Jean-Louis Gasse 法国巴黎人,曾于1980年代担任Apple欧洲营运负责人、以及Mac计算机开发主管;之后创立Be公司,旗下产品BeOS曾传出将为Apple所并购,并成为后来的Mac OS X,但后来并未实现。之后亦曾任职于PalmSource,目前为Allegis Capital投资公司合伙人。

  智能手机的崛起有个副作用,就是造就了一个丰富(但廉价)的功能模块生态系。这些模块在信息安全方面都不是很理想,而如果轻率的将这些模块拼成一些廉价装置,将可能会对市场带来负面的影响。

  事实上,这个问题已经在发生之中。

  从前自己组,现在别人帮你组。你放心吗?

  从前,如果你想自己组装一部计算机,通常必须从走一趟东京秋叶原之类的地方开始。因为这类市场里有任何想象得到的零组件,从电阻到主板,真空管到黑胶唱片用的唱针应有尽有;如果需要的话还可以顺道买个按摩器之类的东西。

  你只要带支螺丝起子,就可以把机壳、电源供应器、主板、超频处理器、水冷装置、风扇、霓虹灯之类有用没用的东西组起来。对于PC来说,这类市场就像是个器官银行一样。

  现在,或许从头自己组PC的人没有以前多了,但有许多人又在疯另外一种东西:IoT(物联网)。如果你也觉得这些东西有前途,也可以开一家公司来卖自己组出来的监视摄影机、婴儿监控装置、或是智能型烤面包机等等。

  如果你想要找个地方,既可以看看别人做了些什么,又可以找到零组件、设计师、代工厂和相关的报价,最好的去处莫过于中国深圳的华强北一带;那里不只是著名的鸿海富士康大本营,也是全球最大的传感器、摄影镜头、GPS卫星定位、以及(最重要的)无线传输等模块集散中心。

  在研发上省下来的钱,终究还是得用在打品牌上。

  你的第一步可以从买一套联发科(Mediatek)或类似厂商的单芯片系统开始;这里面可能包括一颗ARM处理器、精简版的Linux软件引擎、以及有线或无线连网模块。只要再加上镜头、传感器、还有驱动程序,然后找一家代工组装厂,贵公司的专属自有品牌安全监视摄影机就可以上市了。

  但是,这样做出来的产品通常都跟别人家的差不多;你在研发上省下来的钱,终究还是得用在打品牌上,还得说服财迷心窍的通路卖你的产品、靠写开箱文赚钱的部落客愿意帮你开箱……。

  谁说消费性电子产品生意好做的?

  如果你的产品失败了,只有投资人和同事会伤心而已;但如果你成功了,恭喜,但后面的麻烦才正要开始而已。

  你能,别人也能。你放心吗?

  卖你模块的供货商,可能也同时卖了几百万个一样的东西给你的竞争对手、或是其他一样做着物联网IoT产品梦的创业者,像是做智能录像机的、智能锁的、智能天气站的、智能家居照明系统的等等。

  而这些产品的销售对象,通常是对科技不熟的家庭用户;他们不知道软件或固件是可以升级的,忘了账号密码更是家常便饭。

  各家厂商都很聪明,多半会帮产品留一道“后门”。

  幸好各家厂商都很聪明,多半会帮产品留一道“后门”,让客服人员可以用这组通用的账号密码来远程解锁,毫不费力的帮顾客解决燃眉之急。

  这一点你(现在)知道、厂商知道、当然技艺高超的黑客们也会知道。只要利用最常见的Linux解译工具,他们就可以轻松检视这些设备中的嵌入式系统,然后找到这组便利的后门账号密码,把这些偷懒厂商做的设备统统解开。

  大军压境

  这时候,已经登堂入室的黑客们就可以搞更多花样了:例如上传一些软件,把无辜的智能型影机等设备们征召入伍,变成阻断服务攻击(Denial-of-Service,DoS)大军的成员,再用来攻击特定网站,让网站因为被联机塞爆而无法运作。

  这些黑客的攻击目标,通常不会是设备的用户本身,而是(例如)立场跟他们不合的网站;甚至有越来越多的人透过这种方式来“绑架”特定网站,并且勒索赎金。

  尤有甚者,还有一些大规模攻击是针对DNS之类的网络基本架构服务进行;DNS(Domain Name Service/Server,域名服务/服务器)的主要功能,在于将“example.com”之类的域名转换成像是“93.184.216.34”的IP地址。