來自聯(lián)邦貿(mào)易委員會(huì)的所有人以及各種安全專家不斷警告稱，在物聯(lián)網(wǎng)(IoT)的爆炸式發(fā)展中，安全沒有得到重視。

[[111779]]

Duo Security公司安全傳道者M(jìn)ark Stanislav和高級(jí)安全研究人員Zach Lanier表示，盡管如此，事情并沒有得到改善，反而越發(fā)嚴(yán)重。

在題為“物聯(lián)網(wǎng)：我們有話要說”的演講中，這兩位表示，這在很大程度上是因?yàn)檫@個(gè)領(lǐng)域的民主化。Stanislav表示：“現(xiàn)在有數(shù)百家IoT相關(guān)的企業(yè)，其中大部分你可能從來沒有聽說過。”

這意味著物聯(lián)網(wǎng)的發(fā)展，不僅是針對(duì)大型企業(yè)，任何人都可以從事IoT事業(yè)，從眾籌來源獲得8萬美元。但問題是，這些都不是具有安全頭腦的人。他們沒有任何經(jīng)驗(yàn)，也沒有預(yù)算，而且他們不知道為什么其他人想要打破自己的東西。

Stanislav和Lanier表示，他們的目標(biāo)是幫助那些小型供應(yīng)商了解安全的重要性，這樣做，是幫助他們免于牢獄之災(zāi)，他們發(fā)起了BuildItSecure.ly倡議來幫助小型供應(yīng)商。

安全問題正變得越來越嚴(yán)重。根據(jù)Gartner預(yù)測(cè)，到2020年，將會(huì)有260億嵌入式設(shè)備連接到互聯(lián)網(wǎng)，而FTC主席Edith Ramirez則預(yù)測(cè)是500億。

Lanier指出，硬件價(jià)格從25美元到169美元不等，每個(gè)都提供了通用用途。你買東西，建立一個(gè)賬號(hào)，編寫應(yīng)用代碼，他會(huì)發(fā)送消息到任何設(shè)備。這是一種SaaS[注]。

問題在于，對(duì)于開發(fā)人員的門檻非常低。這是具有無限可能性的廉價(jià)硬件。

硬件越便宜，對(duì)小型開發(fā)人員就更具吸引力，他們可以用極少的預(yù)算開發(fā)產(chǎn)品，并且也不太可能會(huì)內(nèi)置嚴(yán)格的安全性。

在他們所謂的“A Case Study in IoT Failure IZON”研究中，他們發(fā)現(xiàn)了19個(gè)漏洞，包括未加密的客戶數(shù)據(jù)、信息泄露、糟糕的密碼安全、缺乏對(duì)客戶數(shù)據(jù)的身份驗(yàn)證，以及單個(gè)IoT設(shè)備糟糕的移動(dòng)安全。

物聯(lián)網(wǎng)對(duì)這個(gè)行業(yè)帶來的挑戰(zhàn)包括一切事物的安全性，包括硬件、軟件、網(wǎng)絡(luò)和平臺(tái)，以及用戶意識(shí)和行為。如果這些安全問題沒有解決，IoT漏洞可能會(huì)導(dǎo)致攻擊者獲取對(duì)你的冰箱和溫度器的控制，甚至你的車庫門、車門鎖的控制。

這樣的事情已經(jīng)在各種會(huì)議中得到證明，并已經(jīng)發(fā)生在現(xiàn)實(shí)世界中。例如在2012年1月，攻擊者侵入TRENDnet的700臺(tái)攝像頭，并將實(shí)時(shí)攝像內(nèi)容放在網(wǎng)上。

解決這些問題的主要障礙是用戶可能不知道或者不關(guān)心更新安裝。他們只想要使用設(shè)備。

BuildItSecure.ly的目標(biāo)專注于沒有預(yù)算或者不了解安全重要性的小型供應(yīng)商，與他們建立合作伙伴關(guān)系，指導(dǎo)他們采用最佳做法。

他們希望這個(gè)舉措能在未來兩個(gè)月推出。“我們想要給供應(yīng)商和研究人員了解如何構(gòu)建安全性，并且我們會(huì)開始尋找漏洞、獎(jiǎng)勵(lì)研究人員和解決問題。” (鄒錚編譯)