幾周前,技術(shù)新聞網(wǎng)站The Verge報道了一款新的Ring安全攝像頭,它實際上是一架無人機,可以在屋子里飛來飛去。從明年開始,這款“永遠在家”的攝像頭應(yīng)該可以讓它的主人在不需要多個攝像頭的情況下,看到家里全貌。
傳統(tǒng)物聯(lián)網(wǎng)安全威脅
安全專業(yè)人士可能會從不同的角度來看待新聞,也就是說,要記住,物聯(lián)網(wǎng)(包括安全攝像頭等智能家居設(shè)備)的安全性往往較差。這些產(chǎn)品中有許多包含容易被利用的漏洞,包括常見的默認密碼。與此同時,安全研究人員越來越關(guān)注這些設(shè)備,從而使更嚴重的漏洞可供更廣泛的黑客使用。
目前有許多物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)處于活躍狀態(tài),參與大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊或作為代理網(wǎng)絡(luò)出租??赡芨屧O(shè)備擁有者擔(dān)心的是去年Motherboard報道的消息,一名黑客侵入了田納西州一間兒童臥室里安裝的Ring攝像頭,并與其中一名孩子交談。
物聯(lián)網(wǎng)設(shè)備在安全性方面享有當之無愧的壞名聲,但情況正在改善。許多制造商越來越重視安全性,而在全球范圍內(nèi),已經(jīng)制定或正在討論新的法律,以強制某些物聯(lián)網(wǎng)安全實踐,同時禁止不安全的實踐,例如使用通用默認密碼。
別忘了數(shù)據(jù)!
傳統(tǒng)的安全威脅并不是物聯(lián)網(wǎng)設(shè)備需要關(guān)心的唯一問題。收集數(shù)據(jù)(例如攝像頭圖像或位置數(shù)據(jù))的設(shè)備通常將此數(shù)據(jù)存儲在云中某處的中心位置。即使這樣的服務(wù)器不會被黑客攻擊,它也將成為執(zhí)法機構(gòu)、政府和情報機構(gòu)的金礦,同時制造商也可能被誘惑將數(shù)據(jù)以某種稍微匿名的形式出售給數(shù)據(jù)經(jīng)紀人。
樂觀主義者認為這種損害可能會得到緩解,因為法律可能會對數(shù)據(jù)的獲取和銷售設(shè)置高門檻。公司也可能被迫采取隱私優(yōu)先的做法,并限制集中存儲的數(shù)據(jù)量。
物聯(lián)網(wǎng)安全與虐待
但是,還有第三種安全風(fēng)險常常被忽視,也無法通過立法或更好的做法輕易減輕:虐待(前)伴侶或跟蹤狂。
對于施虐者來說,可以使用安全攝像頭,尤其是可以在房屋內(nèi)飛行的安全攝像頭,可以向他們提供目標者的信息。在其他情況下,施虐者會使用他們本不該知道的憑證:很多虐待行為都是關(guān)于權(quán)限的。
從傳統(tǒng)的安全角度來看,這似乎是可以預(yù)防的。使用強密碼,并在可能的情況下使用多因素身份驗證,可以防止不必要的帳戶訪問。而且,永遠不要讓潛在的不良人員靠近設(shè)備。
但這忽略了虐待關(guān)系的復(fù)雜性。對于許多虐待受害者來說,不讓施虐者使用她們的設(shè)備是不安全的,這樣做可能會加劇虐待和暴力。親密關(guān)系與傳統(tǒng)惡意網(wǎng)絡(luò)參與者和受害者之間的“關(guān)系”也有很大不同。
在今年早些時候發(fā)表的一篇論文中,凱倫·利維(康奈爾大學(xué))和布魯斯·施奈爾(哈佛大學(xué))研究了親密關(guān)系中的隱私威脅,例如,他們注意到這種關(guān)系往往是動態(tài)的。許多虐待關(guān)系開始于正常、健康的關(guān)系,在這種關(guān)系中,共享設(shè)備和服務(wù)不僅不是問題,而且通常是非??扇〉摹鹘y(tǒng)的威脅模型沒有考慮這種動態(tài)關(guān)系。
另一個問題是,在人際關(guān)系中,甚至是虐待關(guān)系中,人們經(jīng)常發(fā)現(xiàn)自己處于相同的地理位置。即使是在糟糕的關(guān)系中,對孩子的共同監(jiān)護也可能是有必要的。為了安全起見,這意味著不僅需要考慮遠程威脅,而且還需要考慮物理訪問更改設(shè)置或獲得永久訪問的風(fēng)險。
兩年多前,《紐約時報》報道了智能家居技術(shù)如何在許多家庭虐待事件中發(fā)揮作用。這個問題后來變得更糟了。
網(wǎng)絡(luò)安全專業(yè)人士如何提供幫助
在虐待關(guān)系中使用連網(wǎng)設(shè)備并沒有明顯的解決辦法。但任何從事此類產(chǎn)品工作的人,無論是作為制造商還是作為安全專家,都應(yīng)該了解虐待關(guān)系的復(fù)雜性,并了解技術(shù)在其中扮演的角色。因為這種隱私威脅,可能會造成生命損失。
那么,作為網(wǎng)絡(luò)安全專家,你能做些什么來降低智能設(shè)備被用于家庭暴力的可能性呢?
首先,推動物聯(lián)網(wǎng)制造商不僅在默認情況下啟用隱私,而且還要確保這種隱私考慮了親密伙伴的威脅。(來源物聯(lián)之家)其次,支持家庭暴力宣傳月之類的活動,為那些直接或間接幫助受害者的組織提供支持。第三,也許是最重要的,讓自己了解家庭虐待的復(fù)雜性,并聽聽受害者的故事。
編譯:iothome