【51CTO.com 快譯】你每天都要接觸的每個(gè)物品很快就會實(shí)現(xiàn)聯(lián)網(wǎng)，收集數(shù)據(jù)，很容易被黑客攻擊。物聯(lián)網(wǎng)安全狀況已經(jīng)極其糟糕，連簡單的搜索引擎都已經(jīng)索引并提供了關(guān)于全球數(shù)百萬聯(lián)網(wǎng)設(shè)備的詳細(xì)信息，從常見的可穿戴設(shè)備、家庭空調(diào)系統(tǒng)，到公眾場所的安全攝像頭，不一而足。

[[165472]]

物聯(lián)網(wǎng)會支持很多新公司，豐富了廣大消費(fèi)者的生活。但是如果在未來十年，200億個(gè)設(shè)備接入網(wǎng)絡(luò)的時(shí)候，物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)就會與回報(bào)一樣大。Rapid7公司的高級安全研究經(jīng)理Tod Beardsley說：“看過物聯(lián)網(wǎng)后，安全專業(yè)人員的情緒化反應(yīng)就是舉手投降，譴責(zé)一切總是永遠(yuǎn)有漏洞，我們注定完蛋。當(dāng)然，物聯(lián)網(wǎng)領(lǐng)域存在嚴(yán)重的系統(tǒng)性問題。這些問題確切存在，雖然很難解決，但并非克服不了。”

雖然物聯(lián)網(wǎng)很年輕，但是在這個(gè)領(lǐng)域已有數(shù)百萬聯(lián)網(wǎng)設(shè)備。Shodan和Thingful這兩個(gè)搜索引擎最近成了互聯(lián)網(wǎng)上被炮轟的對象，起因是其服務(wù)被用來拍攝家庭及其他私密場所里面的畫面。

ZDNet報(bào)道：

Shodan是偷窺狂所夢寐以求的。無論付費(fèi)用戶還是免費(fèi)用戶，只要使用port:554 has_screenshot:true之類的關(guān)鍵詞，快速掃描一下，就可以顯示安裝在各個(gè)地方的攝像頭，從日本停車場，到法國酒吧，從韓國的私密休息室，到德國的兔籠，無所不有。

物聯(lián)網(wǎng)的龐大規(guī)模有利也有弊。Beardsley解釋，廠商方面無法拿出可互操作的安全固件、Web和移動應(yīng)用程序，無法適應(yīng)物聯(lián)網(wǎng)的廣泛性，這帶來了許多安全漏洞。他說：“消費(fèi)者無法準(zhǔn)確而可靠地評估自己家里的設(shè)備和裝置的安全性，這實(shí)際上提出了非常大的挑戰(zhàn)。”

Beardsley表示對物聯(lián)網(wǎng)的安全問題非常擔(dān)心，物聯(lián)網(wǎng)攻擊可能完全看不見，因?yàn)榇蠖鄶?shù)物聯(lián)網(wǎng)產(chǎn)品并沒有強(qiáng)大的安全或日志控制機(jī)制。 他說：“如果我侵入了你的聯(lián)網(wǎng)設(shè)備，你可能察覺不到。”

Facebook的前任公共政策主管，SPQR Strategies創(chuàng)始人Timothy Sparapani也贊同這個(gè)觀點(diǎn)。他說：“物聯(lián)網(wǎng)安全的狀況非常差。我們現(xiàn)在明白，大多數(shù)物聯(lián)網(wǎng)系統(tǒng)實(shí)際上不安全。”

對于物聯(lián)網(wǎng)的安全問題，Sparapani解釋，幾乎沒有做多少的工作來確保物聯(lián)網(wǎng)系統(tǒng)安全，因?yàn)槲锫?lián)網(wǎng)設(shè)備被廠商和安全專業(yè)人員同樣認(rèn)為優(yōu)先級較低。數(shù)據(jù)安全的重點(diǎn)一直放在對付由于個(gè)人信息(比如銀行賬戶和醫(yī)療信息)丟失而可能直接危害消費(fèi)者的攻擊上。

Sparapani說：“對公司和消費(fèi)者來說最大的安全漏洞是，我們還沒有開發(fā)出一套標(biāo)準(zhǔn)，通過遠(yuǎn)程分發(fā)堵住安全漏洞的補(bǔ)丁。”

在不久的將來，物聯(lián)網(wǎng)碎片現(xiàn)象會覆蓋諸多行業(yè)。Sparapani說：“我們會日益依賴傳感器，這些傳感器出現(xiàn)在我們的設(shè)備、運(yùn)輸系統(tǒng)、糧食生產(chǎn)及運(yùn)送系統(tǒng)、工廠、農(nóng)場和家里。如果那些物聯(lián)網(wǎng)系統(tǒng)被黑客破壞，可能會造成巨大的混亂。如果我們將設(shè)備交給物聯(lián)網(wǎng)監(jiān)控系統(tǒng)，很少會有人擁有修復(fù)被黑客攻擊的那個(gè)設(shè)備的技能，靠近設(shè)備、以物理方式推翻原來編程的人就更少了。”

Sparapani和Beardsley都一致認(rèn)為，公司和消費(fèi)者越了解物聯(lián)網(wǎng)安全環(huán)境，就越容易在享受互聯(lián)世界帶來的好處的同時(shí)，保持安全。

強(qiáng)大的物聯(lián)網(wǎng)安全模式該是什么樣子?

Beardsley

強(qiáng)大、成熟的物聯(lián)網(wǎng)安全模式其實(shí)就是我們在傳統(tǒng)平臺上享用的基本級別的安全：軟件的日常自動更新，打上補(bǔ)丁，防范安全漏洞。

通常來說，物聯(lián)網(wǎng)設(shè)備在交付時(shí)通常沒有任何補(bǔ)丁到位，所以如果我們遇到實(shí)際上的確支持自動打補(bǔ)丁的物聯(lián)網(wǎng)設(shè)備，那么我會很高興，因而我面對的這家廠商至少認(rèn)真考慮了這方面。

公司在做物聯(lián)網(wǎng)決定時(shí)一方面要立足于安全。對你考慮購買其產(chǎn)品的公司要做一番了解，看看有沒有在過去發(fā)布并修復(fù)了安全漏洞。如果一家公司歡迎而不是摒棄安全漏洞報(bào)告，那么我會做出購買決定，以示支持。

弱密碼或不設(shè)密碼在互聯(lián)網(wǎng)上很常見，這對物聯(lián)網(wǎng)來說尤其是個(gè)問題。設(shè)計(jì)糟糕的物聯(lián)網(wǎng)設(shè)備還缺少加密通信，這帶來了幾個(gè)重大問題。其一，敏感的個(gè)人信息明文傳輸，本地網(wǎng)絡(luò)和上游網(wǎng)絡(luò)上的任何人都能竊聽。其二，物聯(lián)網(wǎng)設(shè)備無法確信自己是在與廠商提供的真實(shí)、正確的Web應(yīng)用程序或移動應(yīng)用程序進(jìn)行通信。加密不僅僅在于確保秘密，還在于驗(yàn)證身份，所以明文狀態(tài)下使用，而不是基于加密通道的物聯(lián)網(wǎng)設(shè)備天生就靠不住。

Sparapani

首先要認(rèn)識到，物聯(lián)網(wǎng)安全必須成為一個(gè)優(yōu)先事項(xiàng)，安全功能必須在默認(rèn)情況下就要做入到物聯(lián)網(wǎng)設(shè)備中。我們期盼的下一個(gè)發(fā)展階段就是，構(gòu)建的系統(tǒng)可以分發(fā)代碼補(bǔ)丁，堵住安全漏洞，并消除攻擊，可以針對部署的設(shè)備實(shí)現(xiàn)大規(guī)模遠(yuǎn)程操作。

如今的物聯(lián)網(wǎng)安全是什么樣子，到2020年又會是什么樣子?

Beardsley

我希望，我們能克服加密和默認(rèn)/弱/丟失密碼這些問題，并且規(guī)范補(bǔ)丁分發(fā)解決方案。這些基本要素到位后，我們才會處于一個(gè)有利的位置，確保物聯(lián)網(wǎng)領(lǐng)域安全無虞。

Sparapani

四年后，我們會看到物聯(lián)網(wǎng)系統(tǒng)被黑客攻破，有的出于好玩，有的蓄意制造混亂和破壞。我們會清醒地認(rèn)識到不安全設(shè)備帶來的風(fēng)險(xiǎn)，我們會奮力追趕。

物聯(lián)網(wǎng)給個(gè)人和社會帶來的好處會得到充分證明，我們會竭力改造舊設(shè)備，為其添加新的安全協(xié)議。如果我們幸運(yùn)的話，會有一些標(biāo)準(zhǔn)化系統(tǒng)給已知的安全漏洞遠(yuǎn)程打上補(bǔ)丁。

Beardsley表示，這些問題確實(shí)存在，也很困難，但并非克服不了。“安全專業(yè)人員仍有時(shí)間趕在即將到來的物聯(lián)網(wǎng)海嘯的前頭。我們擁有相應(yīng)的專長，懂得如何設(shè)計(jì)更好的安全、如何修復(fù)和維護(hù)快速補(bǔ)丁開發(fā)和部署，以及如何對消費(fèi)者和監(jiān)管者進(jìn)行安全方面的宣傳教育。我們前面有好多工作要做，不過我很樂觀，認(rèn)為我們能夠及早駕馭這些問題，以免為時(shí)太晚。”

原文標(biāo)題：Security experts: what's wrong with Internet of Things security, and how to fix it

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】