智慧城市什么时候会变得不那么智慧?全球范围内各大城市争相采用能使诸如交通控制和街道照明之类服务自动化的技术,但其中大部分城市却在保护这些设施或服务不受网络攻击上欠缺良多。
以上言论出自曾攻入许多城市基础设施的安全研究员之口。从先进交通管理系统到电网,无一不被他们扒开面纱一探究竟,试图找出漏洞和弱点。
其中一位研究员名为恺撒·塞鲁多,来自位于西雅图的安全咨询公司IOActive实验室。受《虎胆龙威4》里黑客随心所欲切换红绿灯的启发,塞鲁多决定尝试看看自己能不能对世界上在用的智能交通控制系统做出同样的事。他发现这些设备根本没用任何加密或身份验证措施,可以直接控制空中飞过的无人机向传感器馈送虚假数据。
塞鲁多对自己的发现大为触动,与其他人一起发起了一场“保卫智慧城市”的行动,打算将政府、安全公司和科技公司联合起来,共同对抗针对智慧城市的网络攻击。
“我们的主旨是生成资源,让城市能够在整合技术的同时保证所用技术本身是安全的,且是按照安全规程部署的。”他说,“我从我的研究中看到的,是大多数城市的政府部门在评估技术时,往往只注重功能性,而不考虑安全性。”
一场针对城市的网络攻击能带来多大的破坏呢?与有统一的领导和策略的公司不同,城市分属于零散的公共和私有组织,使得防御网络攻击要困难上许多。
黑客可以锁定多个层级,从攻入官员邮箱账号到染指下水道井盖下的电缆,到瞄准你的家。
纽约西点军校的美国陆军网络研究所主任格雷格·康迪说:“复杂度简直超乎想象。”他的研究表明,在应对可能的攻击上,各个城市之间差别很大。
他说道,大约100万人口的中型城市是“甜区”,更小的城市资源不足,更大的城市则又太过复杂难控制。
塞鲁多认为,最坏的情况,是黑客切断了电网。尽管不是出于恶意,他指出了2003年影响了美国东北部的那次大停电作为例子。那次停电导致1千万人无电可用,由此引发的火灾和事故令10人丧生,而这一切,仅仅是因为一个软件漏洞。
另一种方式,是通过操纵智能电表令城市的某个地区断电。塞鲁多设想了一个场景:黑客控制了智能电网,以此作为要挟,要求市政支付赎金才肯恢复供电。
供水系统也是目标之一。去年,一个中国黑客团伙就因入侵美国某市的水控系统而被抓。幸运的是,这个系统并非真正的控制系统,而只是用来引诱黑客的‘蜜罐’。但此事也清楚表明黑客们真是相当积极地寻找此类系统的漏洞和弱点。
我们该怎样令智慧城市更安全呢?康迪说,我们需要的是一个针对网络安全的全盘计划。他认为,城市在网络防御方面应该向大型公司取经,市政领导应当委任一位首席信息安全官并赋予他适当的职权。拉斯维加斯黑帽大会上,康迪及其同事汤姆·克洛斯和戴维·雷蒙德向奋战在信息安全领域的其他人简短报告了智慧城市面临的安全挑战。
另一个问题是,向城市出售技术的很多公司都是软件产业的新面孔。尽管著名软件公司拥有恰当的安全机制,一些最新联网设备制造商却不愿让塞鲁多和其他人测试他们的产品。
塞鲁多说:“他们生产的设备不安全,因为他们就没有这方面的知识储备。”
塞鲁多认为,城市需要对网络攻击响应进行规划,就像对地震或是其他自然灾害制订预案那样。
他还认为市民也应该更多地参与进来:安全研究员可以指出弱点,但市民有责任了解威胁状况并要求官方采取行动。“群众应该开始向政府和公司投诉,这样他们才会开始着手处理。如果每个人都沉默,情况就不会好转。”
目前为止,塞鲁多有自信研究员们是抢在坏分子前头的。康迪则不那么确定这一点。
“如果你能在低端找到个体做出有大影响的事,更大更具能量的组织又能做到何种程度呢?”
原文地址:http://www.aqniu.com/neo-points/9636.html