探讨:面对如此现实,物联网的应用会让黑客掌控一切吗?
信息时代,技术的发展似乎已经超出了任何行业应用的想象,不同行业的信息化发展,正在加大行业应用中信息安全的风险。由于了解一些技术,密码和安全性,行业应用专家往往认为其电子设备在防御黑客方面是非常安全的,然而在参加了一些网络安全会议后,就不再确定了,当然也就无法淡定了,说服那些仅仅看到眼下的商业利益,而放弃今后信息安全风险的投资者们是一件非常困难的事,他们往往是呲之以鼻,或者企业黑客的攻击不要太快地降临在自己产品的身上。面对这样的现实,物联网的应用会让黑客掌控一切吗?
以下有一些有趣的见解分享,比如汽车中的数据价值是汽车的三倍。但对于大多数汽车来说,保护数据似乎成为了附加的或事后考虑的事!而且汽车中的各种软件最多可以使用6种不同的操作系统,大多数汽车的软件可以相对容易地被攻击,即使是特斯拉的安全性设计曾经也被攻破。美国在“汽车间谍”(简称“2015年SPY汽车法”)中规定了安全隐私权,要求2017年制造的所有车辆“采取合理措施防止黑客攻击”,这样可以管理汽车的内部网络,以便管理关键功能(如转向和中断)的软件不会被黑客入侵。而目前大多数的车企并没有这样的要求。
除了智能汽车的安全外,还有太多的其他行业的讨论,例如:如何保护智能城市,如何处理物联网时代的安全,以及隐私和访问问题等等。
师从国内知名密码安全专家南湘浩教授、引石(INS)科技安全技术专家李维刚在行业安全会议中指出:针对信息安全,目前行业应用中主要存在的核心问题是,行业应用中的安全很多都是遇到问题后的补救,而不是在应用设计之初就进行的设计考虑,这将是今后行业应用中最大的风险。
安全功能必须是行业应用中软件和硬件整体设计的组成部分,而不是在设计之后的附加组件。只有这样,安全成为行业应用中不可分割的一部分,才可以从上而下起到有效的强化作用。
服务器曾经是黑客的目标,当黑客入侵时,他们可以访问各种信息。现在,不光是智能手机和移动设备已经成为了黑客的目标,物联网(IoT)每天连接那么多的设备、终端,都将会有可能成为黑客攻击的对象。根据调研机构Gartner公司的报告,2016年全球一共有64亿台物联网设备,平均每天增加1000万个新设备。保护物联网设备不仅涉及设备本身的保护,还涉及链接这些物联网设备的网络和应用。所以,一方面用户在采用物联网设备时,如果这些设备安全体系比较薄弱,那它一定会进行系统的升级或打补丁,所以,请用户检查是否有升级路径,以便可以应用更新和安全补丁。另一方面,一些新兴的行业应用已经开始在自己的终端或产品起初开发设计中加入安全保护,以防御黑客的攻击。
举几个有趣的例子,提醒行业应用的专家们可以在起初的产品设计中提早考虑安全设计:
连接到智能手机的婴儿或家庭监视器等项目可能被黑客入侵,这样的远程监控风险已经越来越多。
行业应用会议中,一家企业的发言人描述了其公司每年如何让他们的内部“黑客”团队成为一个挑战,去年是通过他们的网络侵入茶壶。当水壶沸腾时,他们在水壶里安装了一个小巧的传感器,向智能手机发出警报。黑客注意到设备自动连接到最强的Wi-Fi,并使用该链路来攻击网络。
使用通过USB端口连接的医疗设备(例如医用输液泵),黑客使用定制代码或控制指令能够对患者施用致命剂量;患者的心脏起搏器也可能被黑客入侵,因为这类专业设备在设计时是假定只有心脏病专家才能获得信息和设备的,因此没有内置安全装置。
随着物联网设备的预期增加,设备的安全性将越来越重要。纽约大学教授ClayShirky指出:“在过去,将公开和成本低廉的东西变得私有化成本高昂,而现在把私有化和和廉价化东西公开化却是件成本高昂的事情。”这就是黑客喜欢做的事。因此,安全应该是我们在任何项目开始之前就需要首先考虑的事项。
物联网中有众多的、各种各样的端点和系统,甚至是海量系统之间在做交互,物联网的发展中,安全将是人类越来越需要重视的问题,针对物联网安全,国内有一些安全保护措施和方法,但基本上是事后防御(系统出了问题后进行安全整改与投入),事后更新与完善(将系统的病毒库与木马库更新).......只有建立物联网系统主动防御的安全体系才可以让系统真正面对风险!尤其针对移动物联网,基于窄带通讯实现对移动物联网的安全防御将是对目前信息安全行业的挑战!