五年前,我在纽约市第一次参加物联网(IoT)会议,当时“数字转型”(digital transformation)一词刚刚开始成为一个热门词汇,物联网设备正随处可见。就在那时,我意识到所有这些相互关联的“东西”对网络安全的影响。
如果没有物联网,设备仅仅是一件设备。他们运行代码,并被用来达到某一个特定的目的。它可以是你的恒温器,车库开门器,或心电图机的程序。现在,在物联网的世界所有这些设备都是相互连接的。可以很方便的让你的恒温器变暖。我们所有的设备都可以方便地连接在一起,并且可以通过中央控制系统或某些消费设备(如手机或平板电脑)相互通信。今天天气太热了? 让你的恒温器关闭你的百叶窗。或者,对着你的手机说话,让你的前门打开。如果你的洗衣机需要检查, 它可以通过API调用自己请求服务。
现代消费者便利性
当然,我们称之为现代消费者便利性,但它也非常方便攻击者。随着越来越多的设备连接在一起,攻击面会无限增加,因此,脆弱性潜力也会增加。
一些消费者可能并不担心这一点。“到底什么是攻击?”他们可能会问。制造商可能更关心把产品推出市场,而不是考虑他们产品的潜在漏洞。为什么有人会想要弄乱你的恒温器,你的窗帘,或阅读你的心电图? 当我们开始听到有人侵入我们的设备意味着什么时——也许是你的婴儿监护仪用奇怪的噪音和威胁恐吓你的家人,或者是有人侵入并关闭了你的起搏器——我们就会意识到它的危险性。
为什么保护物联网设备如此不同?
那么,保护这些设备与保护其他设备(如桌面、服务器和手机)有什么不同呢?攻击者攻击带有易受攻击代码的设备并不新鲜。那么,物联网有什么不同之处?为什么很难保护这些设备?
这里有很多因素在起作用,让我们看看其中的一些:
1. 没有完全理解风险
制造商总是希望率先上市,推出最新的设备,但不了解这些设备可能存在的真正安全风险。这意味着在功能竞争中,可能会忽略一些安全缺陷。消费者往往不了解这些设备的安全风险,因此不认为制造商应对这些风险负责。我曾听一个个人心电图设备制造商说过“我认为没有人会愿意破解我们的设备”,而一些潜在的消费者也同样支持他们。
当“事物”受到攻击时,很难检测到攻击,并最终将责任推给制造商。毕竟,如果Windows系统崩溃,导致一天的工作损失,人们很容易将其归咎于微软。然而,如果攻击者正在使用Wi-Fi路由器来挖掘比特币,那么它可能需要更多的电力,但消费者可能不会察觉。
2. 易于设置和身份验证
物联网设备的部署也继承了安全缺陷。通常,通过设置安全密码或安装通信安全密钥来锁定设备需要使用者方面的一些工作。然而,这些设备被设计为尽可能容易地安装,几乎没有配置。不幸的是,这意味着默认密码被硬编码到设备中,使用不安全的通信协议,并且选择最宽松的权限。
3. 缺少补丁管理
最后,当在服务器、桌面或手机中发现漏洞时,它们会被修补。补丁被分发并安装在受影响的系统上。然而,补丁管理在嵌入式设备中变得更加困难。在这里,补丁机制要么不存在,要么实现得很糟糕。有时修补甚至是不可能的。虽然您可以在重新启动时用一些停机时间来更新Windows机器,但是重新启动起搏器可能不是用户最感兴趣的。
4. 致力于更安全的物联网设备
这些原因是物联网世界中最紧迫的问题,对攻击者来说是有利可图的,对安全从业者来说是困难的。然而,这并不意味着我们应该放弃。有很多方法可以让物联网设备既方便消费者,又不受攻击。这只是需要一点努力和严谨。