在一年前，筆者呼吁正在測(cè)試IoT的制造企業(yè)不要將其傳統(tǒng)未聯(lián)網(wǎng)的產(chǎn)品連接到互聯(lián)網(wǎng)，很多人都擔(dān)心IoT會(huì)帶來(lái)很多不安全的產(chǎn)品，并且最終進(jìn)入我們的日常生活中。

[[160252]]

我們現(xiàn)在面臨著很多安全挑戰(zhàn)，如果幸運(yùn)的話，也許不會(huì)導(dǎo)致全球安全和隱私泄露事故。

一方面，戴爾和聯(lián)想等公司銷售的電腦具有開放的根級(jí)CA，讓攻擊者可以偽造證書和欺詐SSL網(wǎng)站，運(yùn)行中間人攻擊，以及在這些Windows系統(tǒng)安裝惡意軟件。

而且，在戴爾公司推出的新筆記本電腦中，該公司還將這些證書增加到新電腦的Trusted Root Store中，其中包括私鑰。這樣一來(lái)，任何人都可以創(chuàng)建證書在這些筆記本作為合法證書使用。

另一方面，世界各地的政府機(jī)構(gòu)認(rèn)為他們應(yīng)該由某種神奇的訪問密鑰可訪問一切形式的加密，讓他們可以解密數(shù)據(jù)，從而在某種程度上抵御“壞人”。正如Hanlon’s Razor所說，“但凡能用愚蠢解釋，就莫要?dú)w咎于惡意。”

無(wú)論是政府對(duì)反加密的欲望，還是戴爾和聯(lián)想的失誤，其結(jié)果都是一樣：他們通過向外部人士提供對(duì)“加密”通信的訪問權(quán)限，而破壞了加密和隱私性。當(dāng)然，戴爾和聯(lián)想只是影響其自己的產(chǎn)品，而反加密組織則會(huì)影響到每個(gè)制造商的每個(gè)設(shè)備。

然后我們看到IoT的崛起。在看到各種規(guī)模的企業(yè)糟糕的安全做法后，筆者并不看好企業(yè)將互聯(lián)網(wǎng)連接到以前未聯(lián)網(wǎng)的產(chǎn)品的做法。

例如，如果冰箱連接到互聯(lián)網(wǎng)，糟糕的安全做法可能讓攻擊者控制冰箱功能。聯(lián)網(wǎng)和受控制的污水泵聽起來(lái)不錯(cuò)，但它可能被惡意遠(yuǎn)程關(guān)閉。我們看到各種家庭內(nèi)部安全攝像機(jī)生成能提供更高的安全性，但這些攝像頭也很容易被用來(lái)記錄你家庭的每個(gè)動(dòng)作。我們看到微軟為Xbox One增加了永遠(yuǎn)在線的高清攝像頭和麥克風(fēng)，而且無(wú)法被禁用，這讓微軟遭受指控，因其可能監(jiān)控用戶或讓政府這樣做。

無(wú)論是何種設(shè)備，只要房間里有能夠記錄視頻和音頻的設(shè)備，這些設(shè)備就可能被利用來(lái)在暗中記錄一切，而且也不一定是微軟或政府在監(jiān)控(+本站微信networkworldweixin)，如果安全做法不夠好，這可以是任何人。

總之，使用閉源代碼的聯(lián)網(wǎng)設(shè)備都可能構(gòu)成安全威脅。你購(gòu)買的漂亮的WiFi裝置可能被用來(lái)訪問你的家庭網(wǎng)絡(luò)以及連接到僵尸網(wǎng)絡(luò)。你的新智能電視可能會(huì)監(jiān)聽房間里說的話，并發(fā)送這些數(shù)據(jù)進(jìn)行分析。或者，有人會(huì)遠(yuǎn)程控制你的汽車，并開車上路。

這并不是猜測(cè)或者假設(shè)，這肯定也不是陰謀論，這就是現(xiàn)在發(fā)生的事情。

你可以信任微軟和三星不會(huì)窺探你的客廳，并相信戴爾和聯(lián)想會(huì)努力保證你的隱私性，同時(shí)，希望供應(yīng)商添加互聯(lián)網(wǎng)連接到其核心產(chǎn)品。在這種情況下，你還需要相信他們能夠保護(hù)所有連接、數(shù)據(jù)以及數(shù)據(jù)收集方法，讓攻擊者不會(huì)來(lái)添亂。

對(duì)于私營(yíng)企業(yè)和政府，歷史經(jīng)驗(yàn)表明，這是愚蠢的賭注。(鄒錚編譯)