物联网的致命弱点:转角遇黑客

4ddf403481735e2e

很多人都认同信息安全的重要性,但又始终不当一回事儿。互联网犯罪也同样如此,除非经历过,否则不会体会到它的严重性。对于还处于萌芽期的物联网,它那脆弱的安全性就显得太过稚嫩。实际上安全问题就是物联网技术的致命弱点,也是关乎物联网能否存活并成功应用于市场的关键。

韩国产业研究院认为,2020年因物联网信息安全问题导致的经济损失将达到17兆8千亿韩元(约合180亿美元)。现今的黑客行为主要发生在互联网(虚拟空间),表现为网上个人信息泄露或者金融账户上的犯罪;但进入物联网时代,其受害领域不仅包括网络虚拟空间,也将涉及现实生活当。这意味着除了个人隐私泄露、经济损失以外,个人的生命安全以及国家基础设施也都将受到威胁。

被称为“黑客专用谷歌”、“物联网谷歌”的Shodan是一款提供互联网在线设备的搜索引擎。只要输入搜索关键字,就可以帮你找到全世界在线的网络摄像头、路由器、信号灯、核电站等有信息漏洞的设备。

CNN表示,世界上最强、最恐怖的互联网搜索引擎不是谷歌,而是Shodan。该公司的创始人约翰·马瑟利(John Math-erly)表示,人们通常认为谷歌不能搜索到的、找不到的,就真的找不到,但这不是事实。有些公司甚至利用Shodan寻找有安全漏洞的网络节点,并公开销售获利。

Vupen就是其中一家涉及上述业务的互联网安全公司。2015年初该公司更名为Zerodium,通过向全球的黑客购买互联网上的各种信息漏洞并销售,实现了新的事业增长点。最近又以100万美金的价格,公开悬赏收购苹果iOS 9的安全漏洞,引起各界的广泛热议。这些漏洞信息将被用在什么地方,想必所有人都心知肚明。所有与互联网相连的事物,包括智能家庭、智能汽车、智能城市等显得更加不安全和脆弱。

据估计,2020年将会有500亿台设备与互联网连接,但目前的联网设备仅仅为预测值的1%。即便如此,就已经在家庭、工业、交通、广播、医疗等各个领域发生了多次信息漏洞导致的安全事故。在这里列举几个代表性的案例:2014年11月,位于俄罗斯的一家名为Insecam的公司,在其网站上公布了被黑客破解的全球7.3万多台监控摄像头的信息;其中包括了位于寝室、起居室、游泳池的监控摄像头,弄得人心惶惶。

互联网家电产品也不能掉以轻心。2014年1月,美国一家安全技术企业Proofpoint表示,“通过电视和冰箱,已经向全球各大企业及个人发送了75万件以上的垃圾信息和诈骗信息”。物联网如果被破解,就可以远程控制家里的智能设备,即所谓的“Home Hacking(家庭黑客)”;黑客可以随心所欲地控制玄关的智能大门,解除监控摄像头的监视功能,甚至可以随意控制室内的温控器。

该领域的代表性企业Synack,就曾把谷歌收购的监控摄像头企业DropCam的信息漏洞找到并公之于众;在外部攻击密码薄弱点(heartbleed)后,通过摄像头监控室内,并偷偷打开了摄像头上的麦克;甚至在2014年国际安全技术大会(ISEC)上,现场破解了打扫机器人的安全系统,通过机器人身上的摄像头,将室内的环境一五一十地直播到大会现场。看来今后人们将不得不提防来自监控摄像头以及打扫机器人的犀利眼神。

互联网汽车也不例外。前段时间Youtube上有一段视频,内容是两名黑客破解了切诺基吉普车的安全系统,并实现了远程遥控。黑客们表示,他们只是想证明汽车也和电脑一样,可以成为网络攻击的对象。因为这段视频,菲亚特·克莱斯勒随即宣布召回140万辆汽车;知名打车软件公司Uber甚至聘用了查理·米勒、克里斯·巴拉塞两位顶级黑客,作为该公司的首席信息安全专家。

这些黑客们也表示,购买汽车的车主们无法为自己的爱车提供足够的安全保障,只能寄希望于厂家为他们生产更加安全的汽车。看来智能汽车以及无人汽车也不能安心地乘坐了。

医疗或者健康领域的情况又会如何呢?国际黑客·安保论坛上曾经展示过现场破解医疗设备,并远程遥控糖尿病患者用的胰岛素泵浦和心脏病患者用的心跳器的活动。美国食药监督局(FDA)最近也开始禁止使用具有互联网功能、但缺少安全功能的药物注射泵的使用。原因是物联网被黑客破解的话,患者的生命也会受到危险。据信息安全企业Symantec的测试结果显示,智能手环的运动传感器可以实现用户的位置定位,所以提醒用户谨慎使用各类智能手环。看来医疗、健康智能设备也成为了黑客们的“狩猎场”。

集成了传感器以及基本通信功能的一般物联网产品,它的安全漏洞更令人担心。在如此低廉的设备上,几乎不可能使用复杂又耗电的现有安全系统。并且有太多种类的网络环境、运营体系以及运营商,使用一个通用的安全系统难上加难;发现问题也很难指定责任方。安全技术专家们表示,实现物联网的安全,必须要由传感器、设备、网络、平台、服务等领域各自推出安全方案,最后集成并实现一个综合的解决方案。韩国政府已经启动了物联网信息安全路线图计划,力争实现智能的、可以放心使用物联网的国家。所有这一切都需要耗费大量的资金投入,但为了保证物联网的成功普及,这些都是必须要付出的代价。

除了物理安全,个人信息的保护也将变得越来越难。甚至是顾客的一些喜好数据都能作为产品,收集并销售;包括顾客的方位、什么时候买了什么、喜欢什么食物等。物联网时代,个人的所有信息都将存储于物联网设备中的某个模块,个人信息不再是个人的。就如美国政府的棱镜计划,政府也参与到了入侵IT企业服务器的事件中。谷歌的埃里克·施密特会长说,“若想人不知,就离开网络。”只要连上了互联网,信息泄露将不可避免。美国联邦交易委员会委员长艾迪斯·拉米雷斯在2015年CES主题演讲时着重表示,物联网或许现在正席卷IT行业,但仍然没有建立让消费者信赖的体系。不管什么技术、服务,就算再先进,如果没有用户安全和个人隐私的保障,也无法实现市场的容纳。这将是物联网所面临的又一个难题。