论文部分内容阅读
物联网是划时代的科技,它让我们的生活更加便利。连接家电的物联网与连接电脑的互联网有本质上的区别,互联网仅存在于虚拟的世界,物联网则与真实世界直接相连。
| 无处不在的安全漏洞 |
2009年,可连接无线局域网的恒温器和家门摄像头开始普及,“物联网”的概念出现了。计算机科学家安·托伊对此展开调查,探究家用电器是否会被轻易入侵。
他先在网络中搜索没有更改默认用户名和密码的电器,只要利用程序检索出这些电器,就能轻松入侵。他在144个国家区域内检索出了超过50万台有漏洞的电器。基于这个数字,托伊推测出有13%的家庭处于“家门大开”的无防护状态。
十年过去了,容易被黑客入侵的電器急剧增多,但这丝毫没能阻挡物联网的发展脚步,反而更多操作便捷的智能家电出现在市场上,人们通过简单的语音指令或手机操作,就可以打开电暖气、关闭电灯、启动烤箱烤面包。
但如果智能家电或监控摄像被入侵,会发生什么?物联网的安全性值得信赖吗?
网络安全专家们对第二个问题的意见基本一致,正如美国蓝博士半导体设计公司的产品经理本·莱柏恩所说,“一言以蔽之,现阶段的答案是‘不’。”
过去互联网主要由掌握信息科技和专业电脑知识的技术人员构建,而物联网涉及的许多制造商却并不具备反黑客专业知识,甚至有相当一部分厂商并未意识到安全系统的必要性,漏洞随处可见。
阿尔巴罗·卡德纳斯是德克萨斯大学达拉斯学院的副教授,他曾指导学生对物联网电器进行入侵。学生们证实,通过网络,他们能直接利用家用监控摄像头对用户进行窥视。他们还成功操纵了他人的无人机。这类电器若被怀有恶意的人入侵,那么极有可能出现房屋被偷拍或窃听的风险。
学生们甚至能远程操纵热卖玩具。比如,如果一款通过联网实现更新存储信息的会说话的玩具海马被入侵,黑客就能利用海马的声音向幼儿传递不恰当的语言,甚至指使孩子做些什么。
“极端隐私”的电器也很容易被攻破,比如成人震动棒。有些美军要员因为驻守外地,有时会与伴侣远程使用情趣用品,或者用来自慰。这些电子情趣用品的使用信息很容易被窃取,存在安全隐患。
目前,全球具备物联网功能的电器总计约有266亿台。预计到2025年,这一数字将突破750亿。但由于现在很多用户还没有将这些电器联网,部分电器还处于离线状态,因此黑客们无从下手。但如果厂家不断宣传物联网的便捷操作性,现状就可能发生改变。
| 脆弱的系统 |
随着接入网络的电器越来越多,黑客入侵也就越发容易。帕拉斯·贾是一名性格内向的男生。大学中途退学后,他通过向网络游戏《我的世界》的玩家们出租服务器,赚了不少钱。但这项业务竞争激烈,有人会向用户电脑恶意投放病毒,或向竞争对手的电脑发送大量垃圾信息或数据,目的是让对方的电脑宕机,这就是所谓的分布式拒绝服务攻击(DDoS攻击)。
2016年,贾和他的朋友入侵了他人的台式电脑、监控摄像头、无线路由器,传播了名为“Mirai”的蠕虫病毒。在发起病毒攻击的20个小时内,他们就入侵了6.5万台机器,成功将它们感染为“僵尸”设备。据推测,该黑客团伙入侵的机器总数多达60万台。
打败附近的竞争对手后,他们还入侵了法国数据中心运营商巨头OVH等公司。美国司法部最终将包括帕拉斯·贾在内的3名嫌疑人以“制作并传播Mirai病毒”的罪名起诉,判5年保护观察期,罚款12.7万美元,做社区服务2500小时。
36岁的安·托伊是现在美国红气球网络安全公司的CEO,在世界范围内协助多个公司保护网络服务器的安全。网络安全公司为资金雄厚的大型企业提供防御DDoS攻击的方法,但那些制造物联网电器的企业却几乎从未做过这项功课。托伊认为,企业轻视物联网安全性的原因在于“淘金热精神”,他们只想在急速发展的物联网市场里早点分得一杯羹。
最近五年物联网市场有过热迹象,各制造商都想让电器尽早上市。有些企业甚至完全没有考虑过安全问题,因为制定安全对策需要投入时间和金钱,而制造厂商的启动资金和获得的风投资金往往会用于尽快推出热卖电器。
另一方面,绝大多数消费者也没有意识到危险,没有向厂商提出安全保护诉求,物联网电器的生产厂商也就没有提供必要保护的义务了。
佐治亚理工学院电气计算机科学研究生院的玛诺斯·安托纳卡基斯副教授说:“要生产安全的智能电器,质控、入侵测试、脆弱性分析等检测都是必要步骤。”如果厂家对产品上市操之过急,就往往无暇顾及安全对策。
许多大型IT企业也投资飞速发展的智能家电领域。亚马逊推出的智能音响Amazon Echo搭载语音识别程序Alexa,可作为“中继器”控制多台智能家电。2014年,谷歌公司以32亿美元收购智能家居硬件公司Nest,扩充了公司生产数码中控设备的机能。2014年,韩国三星以两亿美元的价格收购了美国新兴智能家居平台SmartThings。苹果公司出品的智能音箱HomePad可通过语音助理Siri进行操作。
另外,可添加至智能家居系统的电器也陆续登场,通用电气、博世、霍尼韦尔等大型家电企业纷纷加入战局。不久前贝尔金公司也生产出可用手机操作的电锅和咖啡机。 据统计,截止到2019年末,整个智能家居行业的消费者人数达18亿,销售额超过4900亿美元。
为唤起大众对物联网危险性的关注,安托纳卡基斯、奥马尔·阿尔拉维与北卡罗来纳大学教堂山分校的研究者们共同制订独立基准,对各电器的安全性进行测评。令他们惊讶的是,即便是拥有最先进技术的企业,其开发电器的安全系统也是相当脆弱的。
| 伤人性命的暴走汽车 |
安托纳卡基斯提出,除了密码保护漏洞外,物联网电器的脆弱性还在于,黑客能借助家庭局域网直接入侵联网电器系统。就像物品的接缝往往是整体最脆弱的地方一样,家庭局域网的安全强度也是如此。即便给电器分别设置用户名和密码也未必安全。黑客只要找到途径入侵一臺电器,就能打开整个局域网的大门。阿尔拉维指出:“很多消费者在家中安装此类电器时,都不太了解自己会面临怎样的风险。”
电脑安全专家迪彼德·肯尼迪已经证实,智能冰箱、扫地机器人等家电产品存在被黑客入侵的风险,而现在最具悬念的应该是汽车了。
科学家们进行的试验足以让司机们感到震惊。安全专家突破了记者所驾汽车脆弱的车载系统,远程控制了扬声器和空调,甚至在高速公路上强制让车突然停下。美国大型汽车厂商菲亚特克莱斯勒就曾在2015年因安全隐患召回了140万台车。
肯尼迪指出,多数汽车各自搭载不同的系统,而且会联网上传维护所需的必要数据,汽车制造厂商往往还会将多个物联网部件的制作外包给其他公司,程序提供者各不相同,即便工作人员发现漏洞,也很难迅速进行修正。
为防止病毒、蠕虫入侵造成损失,微软的Windows系统和苹果手机的iOS系统时刻都在上传数据,但数码行业的这种常识还未在汽车行业扎根。肯尼迪对多家厂商生产的汽车进行安全测评,认为还有许多需要完善之处。
如果黑客入侵多辆汽车,操纵车辆暴走,就能在世界范围内引发多起交通事故。肯尼迪发出警告:“针对可联网汽车,这种操作易如反掌。或许只有在出人命之后,业界才会意识到风险并进行改善。”
[编译自日本版《新闻周刊》]
编辑:侯寅