如今,物聯(lián)網(wǎng)持續(xù)發(fā)展���,筆記本和移動(dòng)手機(jī)已經(jīng)不是訪問(wèn)互聯(lián)網(wǎng)的唯一途徑了��,電視機(jī)�,嬰兒監(jiān)視器�����,烤箱����,汽車都可以連網(wǎng)。甚至越來(lái)越
如今���,物聯(lián)網(wǎng)持續(xù)發(fā)展��,筆記本和移動(dòng)手機(jī)已經(jīng)不是訪問(wèn)互聯(lián)網(wǎng)的唯一途徑了���,電視機(jī),嬰兒監(jiān)視器���,烤箱�����,汽車都可以連網(wǎng)��。甚至越來(lái)越多的醫(yī)療器械和其他重要設(shè)備也開始嵌入互聯(lián)網(wǎng)功能�。不幸的是,技術(shù)發(fā)展同樣會(huì)引發(fā)一個(gè)問(wèn)題——安全����。就在前不久的黑帽大會(huì)和Defcon安全大會(huì)上,技術(shù)人員展示了很多物聯(lián)網(wǎng)設(shè)備被黑的場(chǎng)景���。雖然物聯(lián)網(wǎng)安全受到了很多關(guān)注��,但我們依然要面對(duì)一場(chǎng)艱苦的戰(zhàn)斗。
更新不足是要害
對(duì)于物聯(lián)網(wǎng)安全而言�,最大的障礙就是部署無(wú)效的,或是不合理的安全更新�。代碼隨時(shí)會(huì)出現(xiàn)漏洞,如果在設(shè)計(jì)和開發(fā)過(guò)程中就慎重考慮安全問(wèn)題���,那么相關(guān)威脅肯定會(huì)明顯減少����。不僅如此,所有的軟件商必須要對(duì)漏洞做出快速反應(yīng)�,及時(shí)發(fā)布補(bǔ)丁。
從過(guò)去學(xué)習(xí)經(jīng)驗(yàn)
如果我們看看目前的iOS和Android系統(tǒng)�,就知道補(bǔ)丁修復(fù)的影響。這兩款系統(tǒng)都有很多安全資源��,而且也有非常優(yōu)秀的系統(tǒng)組織�����,一旦發(fā)現(xiàn)了安全問(wèn)題他們都可以快速提供補(bǔ)丁包�����。不過(guò)�,相比于蘋果,Android升級(jí)的及時(shí)性似乎做的不夠好���。蘋果可以通過(guò)iOS更新將安全補(bǔ)丁直接發(fā)送給用戶�,但Android由于設(shè)備制造商和運(yùn)營(yíng)商的問(wèn)題���,通常會(huì)出現(xiàn)各種時(shí)延���,很多設(shè)備要經(jīng)過(guò)數(shù)月�、甚至數(shù)年才能更新���。目前只有不到18%的Android設(shè)備運(yùn)行最新的版本�����,82%沒(méi)有及時(shí)完成安全更新��。
物聯(lián)網(wǎng)各方都在為自己考慮�,讓安全補(bǔ)丁“很受傷”
如果你最近購(gòu)買的可連網(wǎng)烤箱���,冰箱或是嬰兒監(jiān)視器出現(xiàn)了一個(gè)安全漏洞�,補(bǔ)丁包可以解決這個(gè)問(wèn)題嗎?我們不妨先看看涉及物聯(lián)網(wǎng)的各方都在考慮什么����。
制造商
銷售產(chǎn)品;把互聯(lián)網(wǎng)連接看做是一項(xiàng)功能�����,而不是要涉足的一塊特殊領(lǐng)域;關(guān)注公眾對(duì)產(chǎn)品的看法�,驅(qū)動(dòng)銷售���。
消費(fèi)者
設(shè)備可以滿足主要需求;互聯(lián)網(wǎng)連接是一個(gè)不錯(cuò)的功能,或是次要功能;絕大多數(shù)人不希望為“修設(shè)備”費(fèi)神�����。
犯罪組織
控制設(shè)備����,把目標(biāo)網(wǎng)絡(luò)變成“僵尸網(wǎng)絡(luò)”,進(jìn)行分布式攻擊;“隱藏自己”���,不被發(fā)現(xiàn)�,盡量不影響設(shè)備工作��,這樣“受害者”就不會(huì)“維修”設(shè)備�,也不會(huì)根除惡意軟件。
如果評(píng)估一下上述因素���,就會(huì)發(fā)現(xiàn)在制造商一端����,給設(shè)備打補(bǔ)丁的優(yōu)先級(jí)并不高�����。而犯罪組織則會(huì)在一系列過(guò)時(shí)的設(shè)備上尋找漏洞,他們非常聰明�����,可以在不影響設(shè)備性能的前提下�,部署惡意軟件。這意味著消費(fèi)者無(wú)法察覺(jué)設(shè)備已經(jīng)被部署了惡意軟件��,安全漏洞幾乎不會(huì)影響消費(fèi)者對(duì)設(shè)備的看法�,也不會(huì)刺激制造商去主動(dòng)關(guān)注物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題。
安全漏洞有很多受害者
制造商可能不急于解決設(shè)備缺陷�,但不意味著損害不嚴(yán)重。
設(shè)備的擁有者
消費(fèi)者將會(huì)失去隱私����,數(shù)據(jù)會(huì)被監(jiān)視,甚至被賣給他人���。隨著物聯(lián)網(wǎng)的擴(kuò)張����,這些數(shù)據(jù)會(huì)涉及到更多隱私��,比如健康數(shù)據(jù)���、地理位置�����、室內(nèi)視頻���、孩子等。
網(wǎng)絡(luò)上的應(yīng)用程序
跨互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序會(huì)遇到非常大的風(fēng)險(xiǎn)��?����?蛇B接設(shè)備很容易受到攻擊�,它們不僅會(huì)被盜用,甚至?xí)贿B接到惡意“僵尸網(wǎng)絡(luò)”上面���。被盜用的設(shè)備會(huì)發(fā)送垃圾郵件�����,參與阻斷服務(wù)攻擊����,甚至?xí)诰W(wǎng)絡(luò)上偷竊用戶的認(rèn)證信息。
有效部署補(bǔ)丁是一個(gè)大問(wèn)題
黑客非常謹(jǐn)慎���,不過(guò)還是會(huì)有漏洞被發(fā)現(xiàn)���,用戶會(huì)要求打補(bǔ)丁。但是這又能怎樣?
設(shè)備制造商們?nèi)绻龅竭@種情況��,通常會(huì)“匆忙”發(fā)布一個(gè)補(bǔ)丁包�����,但是之后呢?這些補(bǔ)丁是如何發(fā)送到設(shè)備上的?完成更新后��,消費(fèi)者需要重啟他們的烤箱��,汽車�����,或是起搏器嗎?這些補(bǔ)丁適用于下一代產(chǎn)品嗎?不幸的是����,這些問(wèn)題都是我們目前遇到的挑戰(zhàn)��,即使有了一個(gè)補(bǔ)丁包���,也無(wú)法及時(shí)有效地部署到設(shè)備上���。
我們?nèi)绾文茏龅母?
消費(fèi)者需要改變“動(dòng)機(jī)模式”���,讓制造商快速修補(bǔ)漏洞。實(shí)現(xiàn)這一點(diǎn)��,需要加大對(duì)安全威脅的披露和宣傳�����,同時(shí)還要研究物聯(lián)網(wǎng)安全漏洞的相關(guān)數(shù)據(jù)�����。那些經(jīng)常從事物聯(lián)網(wǎng)犯罪的黑客�,必須對(duì)其行為負(fù)責(zé),也要受到嚴(yán)懲����。還需要了解正面�、積極的安全方法����,幫助構(gòu)建更加穩(wěn)定和安全的物聯(lián)網(wǎng)設(shè)備。
設(shè)備制造商必須為產(chǎn)品可能出現(xiàn)的安全漏洞做好準(zhǔn)備����。在設(shè)計(jì)和制造階段就要將安全問(wèn)題考慮進(jìn)去,避免明顯的安全漏洞��。此外���,還必須建立可行的“補(bǔ)丁模式”��,至少在每次升級(jí)更新的時(shí)候也要安裝一些必要的安全補(bǔ)丁����。
物聯(lián)網(wǎng)很快就會(huì)“封裝”我們的生活�����,過(guò)去幾十年如果我們從互聯(lián)網(wǎng)和計(jì)算機(jī)安全里面學(xué)到一些經(jīng)驗(yàn)和教訓(xùn)�,那就是就要把安全主動(dòng)應(yīng)用到物聯(lián)網(wǎng)規(guī)劃之中�。我們無(wú)法每一個(gè)漏洞和威脅做好規(guī)劃�����,但必須設(shè)計(jì)好快速部署代碼補(bǔ)丁的方法��,否則物聯(lián)網(wǎng)將會(huì)變成“僵尸網(wǎng)絡(luò)”�����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無(wú)意�。如您是字體廠商��、圖片文字廠商等版權(quán)方��,且不允許本站使用您的字體和圖片文字等素材����,請(qǐng)聯(lián)系我們����,本站核實(shí)后將立即刪除���!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解�����!
粵公網(wǎng)安備 44030402000264號(hào)