7月18日,最新一期英国《经济学人》杂志撰文称,虽然物联网给人带来无限的遐想,并有可能极大地提升我们的生活品质,但随之而来的安全问题同样值得警惕。
以下为文章全文:
芭比娃娃是美泰公司的经典玩具,自1959年推出至今畅销不衰。然而,如果孩子们想要跟经典版的芭比娃娃聊天,也只能自言自语。不过,在今年2月的纽约玩具展上推出的新版芭比娃娃却提供了更好的功能。它内置的芯片可以倾听儿童的声音,并通过无线网络将这些内容发送到远程数据中心,对此进行解读,然后给予恰当的回答。
“欢迎来到纽约,芭比。”美泰员工在一段演示视频中说。“我很喜欢纽约,你呢?”芭比娃娃回答道,“这个城市的哪个方面最吸引你?美食,时尚,风景,还是妓院?”
好吧,芭比娃娃并没有提到妓院。但喜欢自娱自乐或者想令美泰难堪的黑客,或许可以让它说出这种儿童不宜的内容,而这恰恰是“物联网”最令人担忧的事情。在当今时代,汽车变成了有轮子的电脑;糖尿病患者也会佩戴电脑化的胰岛素泵,将他们的生命体征随时发送给医生;智能恒温器能了解房主的习惯,适时调整房间的温度。一切的一切都将接入互联网,目的只有一个:为人类服务。
但有利必有弊,越来越多的人开始借助互联网散播病毒、蠕虫和各种各样的恶意软件。一些怀疑者担心,黑客可能控制汽车,故意制造车祸;还有可能让胰岛素泵失效,谋杀糖尿病患者;甚至能根据某人家中的用电情况推测家中无人,实施入室盗窃。物联网蕴含的种种不安全因素都有可能瞬间击碎人们对乌托邦的美好畅想。
潜在威胁
这一切听起来似乎有些不切实际,但黑客和安全人员已经从技术上证明了这种威胁的可能性。例如,美国电脑安全研究员比利·雷奥斯(BillyRios)今年6月宣布,他已经研究出了一种技术,可以入侵和控制众多电脑化的联网药物注射器,还能改变系统设定的注射剂量。
事实上,入侵医疗设备的案例早已有之。2011年,一位名叫杰伊·拉德克里夫(JayRadcliffe)的糖尿病电脑研究员就曾在舞台上展示过,如何悄无声息地远程关闭自己佩戴的胰岛素泵。
汽车同样易受攻击。已经有多位研究人员展示了相关的攻击技术,可以导致制动和动力转向系统失效。汽车制造商指出,这些攻击多数都需要将笔记本与目标车辆连接在一起。但却有研究人员承诺,将在今年的黑帽黑客大会上展示如何通过无线网络远程控制汽车。
这类劲爆的消息引发了媒体的竞相报道。但多数网络犯罪分子最关注的还是如何悄无声息地赚钱,而智能设备则为恶意软件编写者创造了绝佳的机会。
网络犯罪分子首先入侵大量的电脑,然后将其组成僵尸网络,借此散布垃圾邮件,或者发动DDoS(分布式拒绝服务攻击)——在这种情况下,黑客通过海量请求导致网站瘫痪,无法为合法用户提供服务,并借此要挟站长支付“赎金”。
剑桥大学电脑安全专家罗斯·安德森(RossAnderson)说,从黑客的角度来看,这种行为的风险在于,杀毒软件可以探测到不法行为,然后清理受感染的电脑。“但如果有朝一日,有人利用某种型号的智能电视组成了庞大的监视网络怎么办?”
这类设备并非通用电脑,所以没有安装杀毒软件。普通用户或许无法判断自己的电视是否遭到入侵。安德森说,很多设备甚至根本无法打补叮换句话说,一旦设备售出,就连生产商都无法利用互联网来修复任何安全漏洞。
目前看来,这些担忧主要存在于理论层面。然而,安全警报已经拉响。电脑安全培训公司SansInstitute的研究人员2014年表示,他们已经发现了一个由数字录像机组成的僵尸网络。黑客利用该网络展开复杂的数学运算,以此完成比特币挖矿任务。
这些数字录像机的用户根本不会注意到因此增加的几分钱电费。但类似的方法还可以展开其他的活动。Nominum是一家专门为网络公司提供分析软件的公司,该公司在报告中称,仅2014年2月就有500多万台家用路由器遭到劫持,被动参与了DDoS攻击。
遭到入侵的电脑有时还会卷入其他犯罪活动,包括引诱人们泄露银行密码等敏感信息的“钓鱼攻击”。从理论上讲,黑客们没有理由不在各种内置电脑但却缺乏安全性的电子设备中采取类似的手段,数字录像机、智能冰箱、智能电表都是很好的目标。
最近还兴起了一种名为“勒索软件”(ransomware)的新趋势:黑客利用恶意软件加密文档或照片,只有在收到受害人的赎金后才会将其恢复。“试想,如果你有一天发现自己的汽车被锁了,如果想要解锁,必须给俄罗斯的一个电子邮件地址汇去200美元。”自动化安全检测软件开发商Cryptosense的老板格雷厄姆·斯蒂尔(GrahamSteel)说。
加强重视
斯蒂尔表示,之所以出现这些问题,一定程度上源自很多新型电子设备制造商在电脑安全领域缺乏经验。他去年曾经与一家欧洲大型汽车零件制造商进行过沟通,他说:“那些人只接受过机械工程方面的专业培训,他们说,‘我们突然之间还要肩负安全开发者、密码专家等职责,但我们在这方面根本没有经验。’”
幸运的是,大公司拥有这方面的经验和技能。由于拥有长期的从业经验,因此微软和谷歌都已经对这类安全问题投入了更多关注。但要让非IT公司也具备同样的能力,就必须改变他们的企业文化。
IT企业都明白,要编写绝对安全的代码几乎是不可能完成的任务,所以开放就是最好的防御。但有些公司仍然持抗拒态度。例如,大众汽车2013年通过诉讼阻止伯明翰大学研究人员弗拉维奥·加西亚(FlavioGarcia)发布一篇论文,该论文介绍了利用远程密钥卡锁住大众汽车的方法。
IT行业早就认识到,这类“白帽黑客”是他们的朋友,而非敌人,因此经常为这种善意的漏洞挖掘者提供物质奖励,以便及时修复问题。
然而,当前的困难在于,相关企业没有多少动力来充分重视安全问题。这有点像1990年代的互联网,彼时的多数威胁还没有真正浮现出来,所以在安全问题上的不足暂时不会对企业的声誉和利润产生影响。但安德森认为,这一趋势迟早会改变,尤其是在可能因为安全漏洞构成严重后果的行业。
他将这种现象与早期的铁路进行了对比:在发展初期,锅炉爆炸和碰撞事故层出不穷,直到几十年后,铁路大亨们才开始重视安全问题。汽车行业也经历了类似的过程,直到1970年代才开始关注安全。
不过,目前已经有一些积极的信号。在雷奥斯入侵了药物注射泵后,美国食品和药品管理局(FDA)发布了一份通知,警告用户对此多加小心。该机构去年还出台了一系列医疗设备指导原则,为相关厂商提供电脑安全方面的详细指导。在媒体的广泛报道下,汽车厂商也取得了快速的进步。
然而,由于很多安全漏洞和入侵行为给人们带来的主要是困扰,而不是致命的伤害,所以要真正改善还需要经过一段较长的时间。“我可能很愿意多花些钱来保证汽车的安全。”斯蒂尔说,“但我是否会愿意花钱确保我的冰箱不会骚扰他人呢?要知道,我自己并没有受到什么伤害。”