现实世界的安全与物联网

最初发表于Vice Motherboard（2016年7月25日）

涉及物联网的灾难故事风靡一时。这些故事大多涉及汽车（有人驾驶和无人驾驶）、电网、水坝和隧道通风系统等。上个月，《纽约杂志》（New York Magazine）上发表了一篇特别生动、逼真、具有科幻色彩的小说，小说里描述了一场对纽约的汽车、供水系统、医院、电梯和电网的黑客攻击。在这个故事中，黑客攻击造成数千人死亡，混乱也随之而来。尽管其中一些场景过于夸大，但这些风险都是真实存在的。针对小说中描写的黑客攻击，目前的计算机网络安全防御措施还没有很好的应对方案。

经典的信息安全是一个三元组：机密性、完整性和可用性。它也被称为CIA，我们可能很容易把它和美国中央情报局混为一谈。但基本上，我可以对你的数据做的三件事是窃取它（机密性）、修改它（完整性）或阻止你获取它（可用性）。

到目前为止，互联网上的各种威胁主要与机密性有关。这些威胁造成的损失是非常昂贵的。一项调查估计，每次数据泄露平均会造成380万美元的损失。它们可能令人尴尬，例如2014年苹果公司iCloud的名人照片被盗，以及2015年Ashley Madison的失窃。它们可能造成破坏，例如，2014年，索尼公司被窃取了成千上万份内部文件，黑客从摩根大通窃取了约8300万个客户账户的数据，这甚至可能影响国家安全。

在物联网上，完整性和可用性威胁要比机密性威胁严重得多。可以窃听你的智能门锁从而知道谁在家，这是一回事。如果门锁可以被黑客入侵，并且由黑客打开门或阻止你打开门，那完全是另一回事。可以接管你的汽车控制权的黑客比可以窃听你的对话或跟踪你汽车位置的黑客要危险得多。

随着物联网和网络物理系统的普及，我们已经赋予了互联网“手”和“脚”：直接影响物理世界的能力。过去对数据和信息的攻击已经变成了对我们自身和实物的攻击。

当今的威胁包括黑客可以入侵飞机的计算机网络而使飞机坠毁，以及黑客可以远程劫持汽车，无论汽车是否是停好、熄火或者正在高速公路上飞驰。我们担心电子投票机中的计数被人为操纵，恒温器被黑客入侵导致水管结冰，医疗设备被入侵而导致远程谋杀。从字面上看，可能性是无限的。物联网将允许黑客发起我们甚至无法想象的攻击。

风险的增加来自三方面：系统的软件控制，系统之间的互联以及自动或自治系统。让我们依次了解一下。

软件控制。物联网把一切都变成了计算机。这为我们提供了强大的功能和灵活性，但同时也带来了不安全感。随着越来越多的事情受到软件控制，这些嵌入了微型计算机的设施也将面临各种各样的攻击。但是，由于其中许多设备既便宜又耐用，因此许多适用于计算机和智能手机的补丁程序和更新系统也将无法适用。目前，修补大多数家用路由器的唯一方法是扔掉它们并购买新的。而且，以前我们每隔几年更换一次计算机和电话，以此来保证这些设备的安全性，但这样的做法不适用于冰箱和恒温器：平均而言，消费者每隔15年会更换一次计算机或电话，但对后者，则很长时间不会更换。普林斯顿大学最近的一项调查发现，互联网上有50万个不安全的设备。这个数字即将爆炸式增长。

互联。当这些系统相互连接时，其中一个系统的漏洞会导致对其他系统的攻击。我们已经看到Gmail账户因三星智能冰箱中的漏洞而受到攻击，医院IT网络因医疗设备中的漏洞而受到损害，Target公司因其HVAC系统中的漏洞而受到黑客攻击。系统中充满了外部组件，这些外部组件以不可预见的和潜在的有害方式影响其他系统的安全性。当特定系统与其他系统结合使用时，对它们来说似乎是将无害的事情变得有害。结果就是一个没有人看到而且也没有人负责修复的漏洞间接导致了其他系统的漏洞。物联网将使可利用的漏洞变得更加普遍。这是简单的数学结论。如果100个系统都相互交互，则大约有5000个交互和这些交互导致的5000个潜在漏洞。如果300个系统都在相互交互，则为45 000个交互。如果有1000个系统，则有1250万个交互。它们中的大多数将是良性的或无害的，但是其中一些将是非常有害的。

自治。我们的计算机系统越来越具有自主性。这些系统可以用来买卖股票，打开和关闭熔炉，调节通过电网的电流，并且在无人驾驶汽车的情况下，自动驾驶数吨重的汽车到达目的地。基于各种原因，自治是很重要的，但是从安全角度来看，这意味着攻击的影响可以立即、自动和无处不在地生效。我们越是依赖这些功能强大的计算机系统，攻击就可以越快地对各种设施造成破坏，而我们也越难及时发现潜在的威胁。

我们正在构建功能越来越强大且有用的系统。随之而来的副作用是它们越来越危险。仅仅一个漏洞就迫使克莱斯勒（Chrysler）在2015年召回了140万辆汽车。过去几十年来大规模的计算机病毒感染事件多次发生，我们对此已经司空见惯，但当万物互联的物联网时代来临，如果再次爆发病毒感染事件，其后果将是灾难性的。

政府相关部门已经逐渐意识到这些问题了。去年，国家情报局局长詹姆斯·克拉珀（James Clapper）和国家安全局局长迈克·罗杰斯（Mike Rogers）都在国会上警告人们这些威胁会带来什么样的危害。他们都认为我们目前的形势非常危险。

DNI在2015年的全球威胁评估中这样说：“有关网络威胁的大多数探讨都集中在信息的机密性和可用性上；网络间谍破坏机密性，而拒绝服务攻击和数据删除攻击破坏的是可用性。在将来，我们可能还会看到更多形式的网络攻击，这些形式的攻击将在保证信息完整性（即准确性和可靠性）的同时具备改变或操纵数据信息的能力，而不像传统形式的攻击那样对信息进行删除或破坏对其的访问。如果政府高级官员（文职和军人）、公司高管、投资者或其他人不能信任所接收的信息，那么他们决策时将受到极大的影响。”

DNI 2016年的威胁评估包括类似的内容：“未来的网络攻击肯定会更加强调在保证数据完整性（即准确性和可靠性）的同时，对其进行更改或操纵，从而影响决策，减少人们对系统的信任甚至造成严重的物理损失。在公共事业和医疗保健等环境中广泛采用IoT设备和AI只会加剧这些潜在影响。”

安全工程师正在研究可以减轻这种风险的技术，但是如果没有政府的参与，许多解决方案将无法部署。这不是市场可以解决的问题。像数据隐私一样，风险和解决方案对于大多数人和组织而言，技术性太强，不易理解。市场化竞争实际上在鼓励公司向客户、用户和公众隐瞒自己系统的不安全因素，互联可能导致无法将数据泄露与危害联系在一起，而且公司的利益与客户的利益往往是不一致的。

政府需要发挥更大的作用：制定标准，监管合规性以及在公司和网络之间实施解决方案。尽管《白宫网络安全国家行动计划》（White House Cybersecurity National Action Plan）中说出了一些正确的话，但进展还远远不够，因为我们当中许多人对政府主导的解决方案持恐惧态度。

下一任总统可能将被迫应对导致多人丧生的大规模的互联网灾难。我希望他既能明确政府可以做而这个行业不能做的事情，又能有政治意愿来实现它。