信息化觀察網(wǎng)

在2018年度世界移動(dòng)通信大會(huì)(MWC)首日舉行的一場題為“物聯(lián)網(wǎng)與安全區(qū)塊鏈”(IoT and the Security Blockchain)的座談會(huì)上，“信任”(trust)與“安全性”(security)是兩個(gè)最常被提到的詞，但若非用充滿希望的語氣，就是徹底的諷刺。

該場研討會(huì)主持人、市場研究機(jī)構(gòu)451 Research的物聯(lián)網(wǎng)分析師Ian Hughes表示，物聯(lián)網(wǎng)設(shè)備的暴增，讓仰賴因特網(wǎng)通訊的系統(tǒng)安全性面臨“不斷膨脹的巨大風(fēng)險(xiǎn)”；與會(huì)的微軟(Microsoft)物聯(lián)網(wǎng)暨人工智能(AI)解決方案部門總經(jīng)理Rashni Misra則表示，物聯(lián)網(wǎng)設(shè)備的擴(kuò)增：“基本上開啟了一個(gè)新的攻擊面，而且達(dá)到特別嚴(yán)重的程度。”

這場MWC座談會(huì)的與會(huì)專家們要傳達(dá)之信息，是安全性終究為各大公司將認(rèn)真看待的議題，但今日相關(guān)解決方案都是理論性大于實(shí)質(zhì)性，而且會(huì)需要某種程度的相互信任(社會(huì)主義？)，這在科技業(yè)競爭者(資本家)之間并不常見。

沒有一位專家對(duì)純軟件方法表示樂觀，例如區(qū)塊鏈(blockchains)──這一開始是為了加密貨幣比特幣(Bitcoin)開發(fā)的分布式交易分類賬(decentralized transaction ledger)；如高通(Qualcomm)物聯(lián)網(wǎng)產(chǎn)品管理副總裁Seshu Madhavapeddy所言：“你的安全性就是不能只靠軟件。”

Arm物聯(lián)網(wǎng)設(shè)備IP部門副總裁Paul Williamson則表示，物聯(lián)網(wǎng)擁有“改變世界的龐大潛能”，該公司還為物聯(lián)網(wǎng)應(yīng)用打造了平臺(tái)安全架構(gòu)(Platform Security Architecture)；但他也坦承，今日的物聯(lián)網(wǎng)領(lǐng)域仍是“蠻荒世界”，或許IoT用「不安全的事物」(insecurity of things)來形容會(huì)更貼切。 PaulWilliamson_ARMsvicepresidentforIoTDeviceIPsArm物聯(lián)網(wǎng)設(shè)備IP部門副總裁Paul Williamson （來源：EE Times）

另一位與會(huì)專家，電信業(yè)者Syniverse的企業(yè)開發(fā)副總裁Erin Linch進(jìn)一步指出，公眾因特網(wǎng)每秒會(huì)產(chǎn)生2萬4,000筆數(shù)據(jù)、6萬2,000次Google搜尋，以及2,600萬封電子郵件，每個(gè)項(xiàng)目都是潛在的網(wǎng)絡(luò)攻擊目標(biāo)。

Williamson指出，當(dāng)物聯(lián)網(wǎng)設(shè)備啟動(dòng)之后，那樣的危險(xiǎn)就不再適用于它們：“我們得思考在那些物聯(lián)網(wǎng)設(shè)備的整個(gè)生命周期中如何進(jìn)行管理。”

Linch強(qiáng)調(diào)了如高速鐵路、醫(yī)院網(wǎng)絡(luò)等大規(guī)模系統(tǒng)之安全漏洞的潛在沖擊；但KPN Telecom首席資訊安全官Jaya Baloo則表示，該公司身為安全系統(tǒng)的客戶，會(huì)以“最小設(shè)備”的角度來考慮安全性議題，并舉了非洲索馬里(Somalia)的Fitbit智能手表使用者為案例。

Baloo表示，那些Fitbit智能手表使用者的活動(dòng)以及跑步的里程數(shù)、心率等數(shù)據(jù)，會(huì)持續(xù)被追蹤監(jiān)測，并透過內(nèi)建的監(jiān)測系統(tǒng)饋送到因特網(wǎng)；但有未經(jīng)授權(quán)的觀察者入侵網(wǎng)絡(luò)后，發(fā)現(xiàn)在東非的某個(gè)偏遠(yuǎn)地區(qū)出現(xiàn)Fitbit資料異常集中的情形，因此判斷當(dāng)?shù)赜幸粋€(gè)擁有大量健身者群集，是秘密軍事基地的所在位置。

而Baloo指出，該網(wǎng)絡(luò)的漏洞并非錯(cuò)誤、也不需要復(fù)雜的攻擊程序，而是設(shè)計(jì)者刻意留下的缺口，以支持“分享”功能：“設(shè)備的設(shè)計(jì)者對(duì)于預(yù)防錯(cuò)誤，知道得還不夠多。”

在該場MWC座談會(huì)上，來自Cisco的信任物聯(lián)網(wǎng)聯(lián)盟(Trusted IoT Alliance)主席以及區(qū)塊鏈計(jì)劃負(fù)責(zé)人Anoop Nannra，提出了一種區(qū)塊鏈物聯(lián)網(wǎng)注冊表(Blockchain IoT Registry)的方案，他表示每一種物聯(lián)網(wǎng)系統(tǒng)──例如以無人機(jī)遞送藥物──應(yīng)該要透過“在注冊表中定義物聯(lián)網(wǎng)設(shè)備通用模型(common model)的智能契約”來保障安全性。 AnoopNannr_ChairmanatCiscooftheTrustedIoTAlliance來自Cisco的信任物聯(lián)網(wǎng)聯(lián)盟(Trusted IoT Alliance)主席Anoop Nannra （來源：EE Times）

他推動(dòng)了一個(gè)項(xiàng)目，為每一種物聯(lián)網(wǎng)“資產(chǎn)”提供包括軟件與硬件的保護(hù)措施；舉例來說，一輛智能卡車可能會(huì)包括：注冊(registration)、驗(yàn)證(verification)、轉(zhuǎn)移安全性(transfer security)、安全分類賬系統(tǒng)(secure ledger system)，以及用來為服務(wù)付款與被付款的數(shù)字錢包。

但Baloo表示，那樣的智能卡車要上路，提出標(biāo)準(zhǔn)、注冊、建立聯(lián)盟與信任，是實(shí)現(xiàn)因特網(wǎng)最基本的部份，特別是在工業(yè)領(lǐng)域；“我們在每一件事情與每一個(gè)層面上都失敗了…”她指出：“有標(biāo)準(zhǔn)，但是在實(shí)施方面卻很糟糕，其他就更不用說了。”

Baloo舉了另一個(gè)實(shí)際案例，案例中的高科技醫(yī)療設(shè)備經(jīng)過謹(jǐn)慎且嚴(yán)格的注冊程序以防杜安全漏洞，但那些機(jī)器因此拒絕需要進(jìn)行的遠(yuǎn)程軟件更新；而如果那些設(shè)備被開放接受新軟件，其安全通訊協(xié)議看來會(huì)取消被允許其使用的認(rèn)證。

Baloo的公司聘雇了一個(gè)白帽黑客(white-hat hacker)團(tuán)隊(duì)，攻擊才剛剛完成開發(fā)的先進(jìn)安全系統(tǒng)，而黑客們發(fā)現(xiàn)在通訊協(xié)議標(biāo)準(zhǔn)中有一個(gè)漏洞，會(huì)讓系統(tǒng)有弱點(diǎn)且需要大規(guī)模的修復(fù)；她指出，大多數(shù)的公司都沒有資源或是沒有想到要雇用這樣的黑客團(tuán)隊(duì)，用激烈手段來測試系統(tǒng)安全性。

而Baloo總結(jié)指出，物聯(lián)網(wǎng)安全是一條漫長的路：“深度防御(defense in depth)實(shí)際上需要我們這么做──信任，但永遠(yuǎn)需要是能夠驗(yàn)證的。”