首先,我們參考一下近期發(fā)生的幾起物聯(lián)網(wǎng)(IoT)安全事件:
谷歌旗下智能家居公司Nest的攝像頭遭黑客攻擊
美國國家廣播公司新聞報道稱,智能家居技術(shù)的“狂熱”用戶向電視臺爆料,他聽到嬰兒室有一些噪音,檢查后發(fā)現(xiàn)安裝在里面的Nest安全攝像頭發(fā)出了“深沉的男聲”。網(wǎng)絡(luò)入侵者還控制了房間內(nèi)的恒溫器,將溫度設(shè)定為90華氏度。
智能手表可成為黑客攻擊的目標
挪威消費者委員會曾經(jīng)分析了四款兒童可穿戴式手機/智能手表。這些設(shè)備是為了方便讓父母與孩子交流并定位他們的位置。
經(jīng)過分析,消費者委員會報告了這些產(chǎn)品的“關(guān)鍵缺陷”,這可能讓黑客“控制應(yīng)用程序,從而獲得孩童的實時和歷史位置以及個人信息”。黑客甚至可以“在父母不知情的情況下直接聯(lián)系孩子”。
藍牙設(shè)備也可能被入侵
來自巴西伯南布哥聯(lián)邦大學(xué)和美國密歇根大學(xué)的研究人員研究了32款智能手機應(yīng)用程序。亞馬遜平臺上銷售的96款暢銷的Wi-Fi和支持藍牙的設(shè)備都有安裝這些應(yīng)用程序。
他們發(fā)現(xiàn)“31%的應(yīng)用程序不使用任何加密以保護設(shè)備應(yīng)用程序通信;19%的應(yīng)用程序使用硬編碼密鑰。很大一部分應(yīng)用程序(40-60%)使用本地通信或本地廣播通信,因此提供了利用加密或使用硬編碼加密密鑰的攻擊路徑。“
增長過快對IoT本身發(fā)展有好處嗎?
物聯(lián)網(wǎng)應(yīng)用已經(jīng)開始滲入我們的生活,并正在呈爆炸性增長。但是物聯(lián)網(wǎng)行業(yè)仍然存在一個嚴重的問題:制造商傾向于在違規(guī)之后,或者安全研究人員發(fā)現(xiàn)漏洞后才去進行修復(fù)。他們不會在發(fā)布之前就為產(chǎn)品構(gòu)建強大的安全性以防患于未然。
同時,新思科技首席顧問Larry Trowell認為指出: “隨著越來越多的專業(yè)人士加入物聯(lián)網(wǎng)行業(yè),進行安全測試的設(shè)備的比率正在上升。而且安全測試工具也越來越精細。”
呼吁政府監(jiān)管物聯(lián)網(wǎng)
盡管如此,物聯(lián)網(wǎng)安全事件現(xiàn)在仍然層出不窮。一些專家呼吁政府對物聯(lián)網(wǎng)安全進行監(jiān)管。
Larry Trowell指出政府監(jiān)管的主要問題是技術(shù)發(fā)展速度比立法要快。他說:“物聯(lián)網(wǎng)的每個元素都會產(chǎn)生新的技術(shù),而且在大多數(shù)情況下,這些技術(shù)還不夠安全。”
開源管理有待加強
新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁指出:“設(shè)計缺陷、安全漏洞和弱密碼等是造成物聯(lián)網(wǎng)威脅的主要因素。同時,物聯(lián)網(wǎng)行業(yè)也需要重視開源代碼的安全使用。”
物聯(lián)網(wǎng)需要無數(shù)的軟件來支撐。但是開發(fā)人員往往更關(guān)注他們創(chuàng)建的軟件代碼,而忽略了使用的開源代碼,導(dǎo)致黑客有機可乘。例如,不久前,黑客竊取了分析服務(wù)Picreel和開源項目Alpaca Forms的數(shù)據(jù),并修改了它們的JavaScript文件,進而在超過4,600個網(wǎng)站上嵌入惡意代碼。
根據(jù)新思科技發(fā)布的《2019年開源安全和風(fēng)險分析》(OSSRA)報告 <https://www.synopsys/zh-cn/software-integrity/resources/reports/2019-open-source-security-risk-analysis.html?cmp=pr-sig>,2018年物聯(lián)網(wǎng)行業(yè)被審計代碼庫中使用了開源代碼的占比為91%,而存在許可證沖突的被審代碼庫的百分比為72%。
楊國梁強調(diào):“當然,我們不是說企業(yè)應(yīng)該停止使用開源,而是應(yīng)該積極主動地去進行開源管理,從一開始就將安全內(nèi)置在物聯(lián)網(wǎng)中。”
如何防止IoT黑客攻擊
那怎么能正確地執(zhí)行IoT安全方案?
Larry Trowell歸結(jié)為:重視。
他補充說:“人們重視駕駛安全,配置了安全帶、車架、安全氣囊,提升汽車的安全性。大家注意到這些問題,意識到重要性,所以會要求有所改變。往往這些改變先發(fā)生在頂級車型中,然后才強制配置到普通車輛。”
他說:“安全專業(yè)人員要解釋為什么這些事情很重要,以及如何解決這些問題。如果我們只做這兩項任務(wù)中的一項,那么也不會取得效果。”
