物聯網安全不可放任自流

寂靜天花板

在物聯網初期，安全問題是最不受重視的方面。
        自從美國玩具業巨頭美泰公司（Mattel）于1959年推出首款塑料娃娃以來，芭比娃娃已然走過了一段漫長的道路。從前，孩子們要是想讓這首款娃娃“開口說話”，只能對著它自言自語。今年二月紐約玩具展上推出的最新款芭比在這方面有所進步。內置芯片賦予新款芭比“聆聽”孩子們說話的能力。無線連接將孩子對芭比說的話傳送至某個數據中心。那里的電腦性能更強，負責對這些話語進行解讀并給予恰當的回應。美泰的一名員工在一部示范片里說道：“歡迎來到紐約，芭比。”芭比回答：“我愛紐約，你呢？”“你最喜歡紐約什么？美食、時尚、風景還是妓院？”

        當然，芭比事實上并沒有給出最后一個選項。但“物聯網”這個概念之所以會讓一些人感到擔憂，正是因為某些想要自娛自樂或讓美泰難堪的黑客有可能黑進程序，讓芭比吐出那最后一個詞。現代汽車越來越像裝了輪子的電腦。糖尿病患者佩戴由電腦控制的胰島素泵，患者的生命體征可實時傳送給主治醫生。智能恒溫控制器對其用戶的習慣了如指掌，相應調節屋內溫度。為了造福人類，一切物品都和互聯網相連接。

        不過最初的互聯網也存在弊端。人們曾利用互聯網來傳播病毒、蠕蟲和各種惡意軟件。懷疑論者如今擔心有人會蓄意控制他人的汽車并造成事故，有人遠程導致糖尿病患的胰島素泵失靈而致其喪生，竊賊根據用電模式得知戶主何時外出從而實施入室盜竊。安全隱患叢生的互聯網有可能導致反烏托邦現象。

互聯帶來的機遇

        這一切聽上去像末日啟示，令人難以置信。但黑客和安全研究者們已經證實這一切是有可能發生的。比方說，美籍電腦安全研究者比利·里奧斯（Billy Rios）于今年六月宣布，他已經找到辦法來入侵并控制由電腦控制的藥泵網絡，從而改變原本的劑量。這種入侵醫療器械的方式由來已久。2011年，電腦安全研究者杰·拉德克里夫（Jay Radcliffe）在臺上親自演示了如何在神不知鬼不覺的情況下進行遠程遙控，導致他所佩戴的胰島素泵失靈——他本人就是一名糖尿病患者。

        汽車同樣易受侵害。幾位研究者已經展示了如何破壞控制汽車的電腦，包括導致剎車或方向盤失靈。汽車制造商指出，多數情況下需將一臺筆記本電腦同汽車內部相連接才能實施此類攻擊。每年八月，洛杉磯都會舉辦黑帽技術大會（Black Hat，電腦安全方面的會議）。今年的大會將涉及一項匯報。該匯報將向與會者展示如何對一輛車進行遠程無線操控。

        此類噱頭吸引了大量的媒體報道。但大多數網絡罪犯更關心的是如何低調地賺錢，況且智能設備給如今遍布網絡的惡意軟件的作者帶來了絕佳的新機遇。網絡罪犯利用受攻擊的計算機形成的龐大網絡，即僵尸網絡來達成一切目的，從生成垃圾郵件到執行拒絕訪問攻擊。拒絕訪問是指網址的訪問請求泛濫，導致合法用戶無法登陸。網址所有者需花費數千美金才能讓網絡罪犯停手。

        在黑客看來，風險在于殺毒軟件可能會監測到他們的“大作”，開始對受感染的電腦進行殺毒。劍橋大學的計算機安全專家羅斯?安德森（Ross Anderson）說：“假設有一天，某臺智能電視機受到感染，形成一個由一千萬臺機器構成的僵尸網絡，到時候會發生什么？”這種設備不具備通用計算機的功能，因而所有的殺毒軟件都是不適用的。普通用戶也許無法辨別出自己的電視機是否受到了攻擊。安德森博士指出，很多情況下，對設備“打補丁”都是行不通的。換而言之，如果設備在賣出后出現任何安全漏洞，生產商無法利用網絡采取相應的補救措施。

目前看來，這種擔憂很大程度上是一種假設。不過警示燈已再度亮起。2014年，Sans 研究所（計算機安全培訓提供商）的研究人員稱他們發現了一個由數字視頻錄像機組成的僵尸網絡。僵尸網絡的控制者利用受感染的播放器來運行挖掘比特幣（一種虛擬貨幣）所需的復雜的運算程序。

        而這些數碼播放器的用戶可能并沒有注意到電費賬單上由此多出的幾美分。Nominum（一家致力于為網絡公司提供分析軟件的企業）于2014年表示，同年二月，超過五百萬個家庭路由器——一種連接用戶住宅與網絡的小設備——遭遇黑客劫持，用來執行拒絕訪問攻擊。

        黑客有時利用受攻擊的計算機來進一步實現其他陰謀詭計，比如釣魚式攻擊，即誘使用戶泄露包括銀行密碼在內的敏感信息。至于為何利用安全級別低下的聯網小發明（包括數字視頻錄像機、智能冰箱和智能電表在內）的內置計算機無法達到這一目的，其原因尚不明了——至少大體上是這樣。

        除此之外，近期還出現了“勒索軟件”，即黑客利用惡意程序對受害人的文件和照片進行加密，受害人須支付一定金額才能贖回這些資料。自動安全檢測軟件提供商Cryptosense的總裁格雷厄姆?斯蒂爾（Graham Steel）認為：“想象一下，某天你正在開車門，卻被告知車已上鎖，想進去就得匯兩百美元給某個可疑的俄文郵件地址。”

改變，從此刻開始

        斯蒂爾博士認為，一部分原因在于許多制造這些聯網新玩意的企業對計算機安全這一神秘領域所知甚少。他去年采訪了歐洲一家大型汽車零部件制造商。“這些人都是受過培訓的機械工程師。他們的原話是：‘突然間我們成了安全開發人員、密碼專家之類的人，可我們壓根就沒有這方面的經驗。’”

        幸運的是一些大型計算機企業有相關經驗。在經歷過二十年的摸爬滾打后，像Microsoft和google這樣的企業如今對安全問題的關注度提升顯著。但要想讓非計算機領域的企業仿效這一做法，就得相應改變企業文化。

        計算機企業意識到編寫安全代碼幾乎是行不通的，保持開放就是最好的防御措施。其他企業則樹立起了防御機制。比如，大眾汽車于2013年向英國一法院提起上訴，禁止伯明翰大學的研究人員弗拉維奧?加西亞（Flavio Garcia）公開其研究成果。加西亞發現，用于解鎖大眾車型的遠程密鑰存在嚴重問題。自那時起，計算機行業便認識到像加西亞這樣的善意黑客不是敵人。計算機企業經常實施漏洞發現獎勵計劃，即向發現漏洞的黑客提供獎勵，從而為企業修復這些漏洞留出了時間。

        但最大的障礙在于，企業目前缺乏重視安全問題的動機。正如上世紀九十年代發生的網絡安全危機，大多數威脅仍未消除。這意味著忽視安全問題暫時不會影響到企業的聲譽或利潤。安德森博士認為情況將發生變化，至少對于那些被攻破則后果嚴重的行業是這樣。

        他以早期的鐵路為例，指出鐵路業在最初幾十年里發生了許多次鍋爐爆炸和碰撞事故，那之后行業巨頭才開始重視安全問題。同樣，汽車業也是從上世紀七十年代起才開始重視安全問題。網絡安全方面已經有好轉的跡象。在里奧斯黑進藥泵網絡后，美國主要的醫療監管部門食品藥品管理局發布了一項建議性通告，告誡用戶要提高警惕。去年，管理局針對醫療器械制造商出臺了一系列方針，指出了電腦安全方面的隱秘細節。由于媒體對相關問題的高度關注，汽車制造商也很快意識到安全問題的重要性。

        對于那些受安全漏洞和黑客問題煩擾但影響并不致命的行業而言，要想使情況好轉，需要更長時間。“我也許會愿意另外花點錢來保證我的車是安全的，”斯蒂爾博士說，“假如我的冰箱沒給我添麻煩，我會花更多的錢來確保它沒有給別人添麻煩嗎？”

王忠澤93

科技，帶著雙刃在發展

濾油機廠家

物聯網是噱頭