通過開發(fā)硬件設(shè)備及其后端系統(tǒng)的原型,以及銷售物聯(lián)網(wǎng)設(shè)備,我們了解了很多關(guān)于物聯(lián)網(wǎng)安全方面的陷阱和問題。
事實(shí)證明,幾乎所有的連網(wǎng)設(shè)備都容易受到攻擊。研究人員表明,可以遠(yuǎn)程控制自動(dòng)駕駛汽車、操縱植入式醫(yī)療設(shè)備、破壞投票機(jī),當(dāng)然還有其他各種“智能”設(shè)備,例如門鎖、燈泡、恒溫器等。在奧地利,一家酒店受到黑客威脅,如果酒店不支付比特幣贖金,他們的客人將無法打開房門。
后果是顯而易見的。未經(jīng)授權(quán)的人能夠控制關(guān)鍵設(shè)備和基礎(chǔ)設(shè)施是一場(chǎng)噩夢(mèng)。很明顯,一些攻擊甚至?xí)斐缮鼡p失——想想汽車剎車失靈或是操縱飛機(jī)系統(tǒng)。
但是,除了能夠控制這些設(shè)備及其行為的后果之外,這些設(shè)備還帶來了更大的威脅:它們是攻擊者侵入同一網(wǎng)絡(luò)中其他系統(tǒng)的跳板,這可能更為關(guān)鍵。試想一下,一家大公司的文件或郵件服務(wù)器因?yàn)榫W(wǎng)絡(luò)中有一個(gè)不安全的IP攝像頭而遭到黑客攻擊。黑客利用一臺(tái)價(jià)值50美元的設(shè)備作為攻擊媒介,來獲取非常敏感的信息?;蛘呦胂肜帽徊倏v的物聯(lián)網(wǎng)設(shè)備對(duì)域名系統(tǒng)進(jìn)行的分布式拒絕服務(wù)攻擊,這使得Netflix、Yahoo和其他公司的服務(wù)在相當(dāng)長的時(shí)間內(nèi)無法使用。
物聯(lián)網(wǎng)易受攻擊的原因
攻擊物聯(lián)網(wǎng)設(shè)備的吸引力顯著增加,因?yàn)檫@些設(shè)備的采用率在過去幾年里增加了很多,而且它們非常容易破解。
另一個(gè)因素在于,大多數(shù)系統(tǒng)都在統(tǒng)一的軟件堆棧上運(yùn)行,因此,在攻擊者知道如何接管特定模型或操作平臺(tái)的那一刻,他通常能夠都訪問更多具有類似特征的設(shè)備。
攻擊這些設(shè)備的潛在利益進(jìn)一步增加,因?yàn)檫@些設(shè)備被用于越來越多的關(guān)鍵應(yīng)用,并且通常連接到包含關(guān)鍵系統(tǒng)的網(wǎng)絡(luò),這些網(wǎng)絡(luò)可以通過這種方式滲透。
因此,在過去的幾年里,攻擊利益發(fā)生了很大的變化,有利于攻擊者,并使攻擊它們成為一個(gè)很好的生意。
但是,為什么這些設(shè)備很容易被攻擊?
▲增加攻擊面
大多數(shù)物聯(lián)網(wǎng)設(shè)備都提供了許多功能,包括存儲(chǔ)和處理能力以及重要的軟件堆棧——通常是功能完善的設(shè)備操作系統(tǒng)。系統(tǒng)中軟件和功能的增加會(huì)導(dǎo)致更大的攻擊面,從而允許更多的攻擊可能性。
對(duì)于互連的異構(gòu)環(huán)境尤其如此,在這種環(huán)境中,一個(gè)設(shè)備中的漏洞可能導(dǎo)致對(duì)其他設(shè)備的攻擊。日益復(fù)雜的互連和訪問可能性使得監(jiān)測(cè)、保護(hù)和控制環(huán)境變得更加困難。
一個(gè)簡單的例子:過去,入侵醫(yī)療設(shè)備的方法是闖入醫(yī)院的機(jī)房,然后連接到其串行接口以刷新其固件,但現(xiàn)在黑客可以坐在世界另一端的沙發(fā)上,通過使用常規(guī)的通信網(wǎng)絡(luò)和他的筆記本電腦來攻擊醫(yī)療設(shè)備。在破壞了這個(gè)設(shè)備后,他可以檢查網(wǎng)絡(luò)的其他部分,尋找其他有希望的目標(biāo)。
▲供應(yīng)商沒有建立安全系統(tǒng)的動(dòng)力
構(gòu)建硬件是一個(gè)復(fù)雜的、持久的過程,并且芯片組的價(jià)格比較低。此外,物聯(lián)網(wǎng)領(lǐng)域的技術(shù)發(fā)展非常迅速,尤其是在無線通信標(biāo)準(zhǔn)方面。因此,硬件制造商寧愿投資支持新功能和標(biāo)準(zhǔn)的新芯片組,也不愿修復(fù)舊芯片組。
物聯(lián)網(wǎng)設(shè)備本身通常是由第三方硬件和軟件開發(fā)商構(gòu)建,這些供應(yīng)商沒有建立安全系統(tǒng)的動(dòng)力,因?yàn)槠淇蛻舾鶕?jù)功能和定價(jià)做出購買決策,而不是根據(jù)安全性或工程質(zhì)量。因此,經(jīng)常使用過時(shí)軟件、固件和硬件(已知存在安全漏洞)來運(yùn)行設(shè)備,因?yàn)樾迯?fù)缺陷或使自己的軟件適應(yīng)已修復(fù)的第三方庫意味著大量的工作。有時(shí)這甚至是不可能的,因?yàn)轵?qū)動(dòng)程序通常只能作為二進(jìn)制文件使用。
最新的編譯器可以幫助修復(fù)軟件中一些最嚴(yán)重的安全缺陷,但更糟糕的是,開發(fā)環(huán)境通常也完全過時(shí)了。
甚至這些設(shè)備的運(yùn)營商有時(shí)也沒有解決問題的真正動(dòng)力,因?yàn)樵O(shè)備通常僅被視為銷售其他服務(wù)的媒介。
▲運(yùn)營自有物聯(lián)網(wǎng)設(shè)備的公司缺少專業(yè)知識(shí)
銷售和運(yùn)營自有物聯(lián)網(wǎng)設(shè)備的公司通常不將硬件或軟件開發(fā)視為其核心能力,因此缺乏有關(guān)如何構(gòu)建安全設(shè)備和服務(wù)的專業(yè)知識(shí)。
看看物聯(lián)網(wǎng)設(shè)備的生態(tài)系統(tǒng)就能明白這一點(diǎn)。鎖、加熱器、冰箱和汽車制造商現(xiàn)在正在生產(chǎn)其IT產(chǎn)品——他們很難雇傭到必要的人才來生產(chǎn)開發(fā)的產(chǎn)品,甚至很難有效地協(xié)調(diào)服務(wù)合作伙伴。
為什么修復(fù)起來這么困難?
過去,我們關(guān)注的是我們必須保護(hù)服務(wù)器和客戶端計(jì)算機(jī)。在90年代經(jīng)歷慘痛教訓(xùn)后,我們?cè)诒3窒到y(tǒng)安全方面做得更好了。不是因?yàn)槲覀冃迯?fù)了軟件的開發(fā)過程,從而避免了錯(cuò)誤,而是,我們通過推出自動(dòng)更新和快速修復(fù)關(guān)鍵錯(cuò)誤而變得非常擅長修復(fù)問題,而無需用戶交互。智能手機(jī)也是如此。
我們有數(shù)十億這樣的設(shè)備,但奇怪的是,到目前為止,我們還沒有遇到全球安全問題,這是因?yàn)橐坏┌l(fā)現(xiàn)缺陷,制造商就會(huì)提供軟件更新來相對(duì)快速地解決安全問題。
但是,物聯(lián)網(wǎng)的情況有所不同。
▲無法解決更新問題
通常不可能通過軟件更新來解決安全問題,因?yàn)榇蠖鄶?shù)物聯(lián)網(wǎng)設(shè)備的存儲(chǔ)、網(wǎng)絡(luò)帶寬有限。有時(shí)有可能安裝更新,但安裝過程非常繁瑣且有風(fēng)險(xiǎn)。一些物聯(lián)網(wǎng)設(shè)備的產(chǎn)品使用壽命很長,這使得這個(gè)問題更加嚴(yán)重。因此,有可能發(fā)生的情況是,一臺(tái)易受攻擊的冰箱保持在線25年而沒有得到修復(fù)。
▲自主操作
即使可以進(jìn)行更新,用戶也不會(huì)定期進(jìn)行檢查。因此,不必要的、過時(shí)的或行為異常的設(shè)備常常不被注意。通常情況下,設(shè)備只需要設(shè)置一次,就可以自主運(yùn)行,但是幾乎沒有設(shè)備支持自動(dòng)更新。更糟糕的是,設(shè)備始終處于聯(lián)機(jī)狀態(tài),并且通常留有默認(rèn)密碼和配置。
▲對(duì)軟件缺陷造成的損害不承擔(dān)賠償責(zé)任
軟件許可通常排除了所有損害賠償責(zé)任。因此,物聯(lián)網(wǎng)設(shè)備的運(yùn)營商沒有動(dòng)力修復(fù)其產(chǎn)品中的缺陷,或確保指導(dǎo)其硬件和軟件服務(wù)提供商謹(jǐn)慎地構(gòu)建安全可靠的產(chǎn)品。取而代之的是,他們將損害成本外部化。
如何修復(fù)物聯(lián)網(wǎng)
物聯(lián)網(wǎng)設(shè)備安全性不足,會(huì)因缺少適當(dāng)?shù)拈_發(fā)投資而造成他人損失,從而造成外部效應(yīng)。這些外部性的例子是,在DDOS攻擊中,設(shè)計(jì)不良的物聯(lián)網(wǎng)設(shè)備使第三方服務(wù)變得不可用,或者不安全的自動(dòng)駕駛汽車撞倒行人。
空氣污染也是類似的情況。一家不使用過濾器來清潔廢氣的公司會(huì)產(chǎn)生外部效應(yīng),因?yàn)槲廴镜某杀緯?huì)強(qiáng)加給其他人,比如被污染的空氣會(huì)給生活在城市中人們帶來嚴(yán)重的健康問題。
在某些時(shí)候,政府采取了避免這些外部效應(yīng)的措施,并頒布了過濾廢氣的法規(guī)。另一種將外部問題內(nèi)部化的方法是二氧化碳排放證書,這種方法試圖使公司的成本與它們施加給外部的影響相匹配。
在物聯(lián)網(wǎng)時(shí)代,外部效應(yīng)日益嚴(yán)重,這就是為什么我們呼吁把安全從作為一種保護(hù)性手段轉(zhuǎn)變?yōu)楸Wo(hù)他人免受傷害手段的原因所在。
因此,我們認(rèn)為就物聯(lián)網(wǎng)而言,在法規(guī)方面也需要采取類似防止空氣污染的監(jiān)管方法。
已經(jīng)有一些法規(guī)影響了一些物聯(lián)網(wǎng)設(shè)備,如主要針對(duì)電磁干擾的強(qiáng)制性FCC或CE認(rèn)證,以及旨在保護(hù)用戶數(shù)據(jù)的一般數(shù)據(jù)保護(hù)規(guī)范(GDPR)。
監(jiān)管有時(shí)不夠靈活,限制了創(chuàng)新,并增加了企業(yè)的運(yùn)營成本,而且只覆蓋最基本的東西。但這是可以改變的。
就像安全資深人士布魯斯·施耐爾(Bruce Schneier)所說的那樣:“我們需要重建對(duì)集體治理機(jī)構(gòu)的信心。法律和政策可能看起來沒有數(shù)字技術(shù)那么酷,但它們也是關(guān)鍵的創(chuàng)新領(lǐng)域。”
激勵(lì)措施
無論生產(chǎn)過程中涉及的各方以及運(yùn)營物聯(lián)網(wǎng)設(shè)備的方式如何,都必須有效地激勵(lì)他們生產(chǎn)和銷售安全的產(chǎn)品,并激勵(lì)最終客戶正確安裝這些設(shè)備。
朝著這個(gè)方向邁出的關(guān)鍵一步是讓各方對(duì)不符合法律要求的設(shè)備造成的損害承擔(dān)責(zé)任。由于生產(chǎn)完全安全的設(shè)備既不可能,也不符合經(jīng)濟(jì)利益,因此應(yīng)強(qiáng)制規(guī)定適當(dāng)?shù)谋kU(xiǎn)。這樣,保險(xiǎn)費(fèi)就可以作為額外的靈活可能性來激勵(lì)適當(dāng)?shù)脑O(shè)計(jì)和安裝。
為此,需要一種有效的方法來評(píng)估設(shè)備的安全性。擴(kuò)展的CE或FCC認(rèn)證可以作為等式的一部分,而可靠、高效和及時(shí)的軟件安全評(píng)估可能是迄今為止難以實(shí)現(xiàn)的另一部分。
到目前為止,軟件認(rèn)證提供商鼓勵(lì)開發(fā)滿足最低要求的軟件,但那些制造更安全產(chǎn)品的公司卻得不到獎(jiǎng)勵(lì)。此外,營利性組織通常不公開其測(cè)試程序,這使它們?cè)谠S多專家看來都不可信。除此之外,他們的獨(dú)立性經(jīng)常受到質(zhì)疑。
強(qiáng)制更新功能
除了從一開始就鼓勵(lì)構(gòu)建安全的產(chǎn)品外,軟件驅(qū)動(dòng)的產(chǎn)品必須經(jīng)常更新。
即使制造商有足夠的動(dòng)力去投資適當(dāng)?shù)脑O(shè)計(jì),也無法從技術(shù)上或經(jīng)濟(jì)上評(píng)估物聯(lián)網(wǎng)設(shè)備在其生命周期中可能面臨的所有威脅和問題。(來源物聯(lián)之家)因此,做出反應(yīng)和推出更新對(duì)于維護(hù)設(shè)備安全至關(guān)重要,并且對(duì)于所有物聯(lián)網(wǎng)產(chǎn)品都是強(qiáng)制性的。
降低復(fù)雜性
一些物聯(lián)網(wǎng)設(shè)備的使用案例(例如,在線烤面包機(jī))會(huì)因法規(guī)和保險(xiǎn)費(fèi)而變得過于昂貴。這也許是個(gè)好主意,因?yàn)槲覀冋娴谋仨毥档臀覀儤?gòu)建的系統(tǒng)的復(fù)雜性。
這可以通過以下兩種方法來實(shí)現(xiàn):要么不將它們互連,因?yàn)榕c日益增加的復(fù)雜性可能造成的損害相比,附加值太小了,要么通過鎖定這些設(shè)備來實(shí)現(xiàn)。這意味著將它們放在安全的子網(wǎng)絡(luò)中,以確保網(wǎng)絡(luò)參與者不會(huì)影響它們。
總結(jié)
如果我們不改變我們開發(fā)和使用物聯(lián)網(wǎng)設(shè)備的方法,我們將面臨嚴(yán)重的麻煩。一般來說,政府只有在許多人受到傷害、公眾輿論要求承擔(dān)后果后才會(huì)采取行動(dòng)。
我們必須預(yù)見這種發(fā)展,并減少在此過程中造成的損害。否則,我們將不得不迅速解決問題,而倉促行事通常不是采取立法行動(dòng)的最佳因素。