第3章 物联网
攻击你的设备
最初发表于CNN.com(2013年8月15日)
上周末,得克萨斯州的一对夫妇突然发现他们孩子卧室里的婴儿电子监护仪被攻击了。据当地一家电视台报道,这对夫妇说他们听到孩子卧室传来陌生的声音,检查之后发现有人远程控制了摄像头并进行了语言上的攻击。孩子的父亲立刻拔下了监视器的电源。
这意味着什么?现在消费者的电子设备都已连接到互联网了,那么它们的安全性怎么样呢?
答案是不太好,而且多年来情况一直很糟糕。在所有类型的网络摄像头、各种摄像机、植入的医疗设备、汽车甚至智能厕所中都存在安全漏洞,更不用说游艇、ATM、工业控制系统和军用无人机了。
这些设备长期以来都是有可能被黑客入侵的。但大多数人不知道这样的事实,这让从事安全工作的人感到惊讶。
为什么它们容易被黑客攻击?因为安全问题很难解决。这需要专业知识,并且需要时间。大多数公司不在乎安全问题,因为多数购买安全系统和智能设备的客户对此并不关心。既然购买婴儿电子监护仪的普通顾客不会特别关注产品是否安全,那制造商为什么要花大量资金来确保设备安全性良好呢?
更糟糕的是,消费者会对比两台相互竞争的婴儿监护仪,一台价格更高,安全性也更高,另一台价格低廉,但安全性也低,然后消费者常常会购买价格更便宜的监护仪。如果消费者没有足够的专业知识来做出明智的选择的话,那么便宜的监护仪可能更容易被买走。
许多黑客事件的发生都是因为用户没有正确配置或安装其设备,但这确实应是制造商的责任。这些设备应该是为普通消费者生产的,其安全配置应该是默认设置的或者是足够简单的,而不是仅面向安全专家。
这类事情在社会的其他方面也存在,我们有各种各样的机制来处理它。政府监管就是其中之一。例如,我们当中很少有人能够区分真正的药品和假药,因此FDA规定了哪些药品可以出售以及厂家可以宣称这些药品具有哪些疗效。专门的产品测试就是另外一回事了。我们可能无法一目了然地分辨出优质和劣质汽车,但是可以阅读各种测试机构的报告。
这些机制却不太适用于计算机安全领域,不仅是因为该行业变化很快,还因为这种测试既困难又昂贵。结果是,我们都购买了许多含有漏洞的嵌入式计算机产品。随着这些计算机连接到互联网,安全问题将变得更加严重。
这里的问题不仅是你的婴儿监护仪可能会被黑客入侵,而且是几乎每一个“智能”的设备都可能被入侵,并且由于消费者不在乎,市场无法解决这些问题。
**********
这篇文章以前发表在CNN.com上。我根据要求在大约半小时内写完了它,但我对它并不满意。我应该更多地谈论具有良好安全性的经济学以及黑客的经济学。关键是,我们不必担心聪明的黑客会找到这些漏洞,而应该担心那些使用聪明黑客编写的软件的愚蠢黑客。嗯,下次吧。