物联网监管
最初发表于《华盛顿邮报》(2016年11月3日)
上个月末,Twitter、Pinterest、Reddit和PayPal等著名网站宕机了差不多一天。这些网站宕机的原因是遭到了分布式拒绝服务攻击,受到这种攻击的原因既包括技术漏洞,也包括市场和政策的失败。随着物联网的日益普及,如果我们想保护自身的安全,就需要政府积极地参与进来,加强对这些至关重要甚至威胁生命的技术的监管。这不再是是否需要的问题,而是何时开始的问题。
首先,事实上这些网站瘫痪是因为其域名提供商Dyn公司被攻击而无法正常提供服务。我们不知道到底是谁发动了该攻击,但很可能是一个黑客所为。无论谁发起了针对Dyn的分布式拒绝服务攻击,最终都利用了大量(可能是数百万个)物联网设备(如网络摄像头和数字录像机)的漏洞控制了它们,并最终将它们整理成一个僵尸网络并发动了攻击。僵尸网络用网络流量轰炸了Dyn,并最终使Dyn崩溃。当它崩溃时,数十个网站也就无法正常访问了。
你在互联网上的安全性取决于数百万个联网的设备的安全性,这些设备是由你从未听说过的公司设计和出售给消费者的,消费者对这些设备的安全性并不关心。
导致这些设备不安全的技术方面的原因很复杂,但是市场机制的不完善也是其重要原因。物联网将全球数千万种设备连接在了一起并赋予这些设备计算能力。这些设备将影响我们生活的方方面面,因为它们无处不在,比如汽车、家用电器、恒温器、灯泡、健身追踪器、医疗设备、智能路灯和人行道广场。这些设备许多都是廉价的,它们在海外设计和制造,然后在国内贴牌和销售。由于成本因素,这些设备的制造商往往无法像大型计算机或者手机制造商一样雇佣专业的安全技术人才并保证设备的安全性。我们昂贵的计算机有安全更新,但是这些廉价的设备没有,并且许多设备甚至无法打补丁。而且不像我们的计算机和电话,它们甚至会使用几年甚至数十年。
Dyn攻击说明的另一个市场问题是,这些设备的卖方和买方都不关心漏洞修复问题。这些设备的所有者不在乎,因为他们想要一个价格适中,功能强大的网络摄像头(或者恒温器或冰箱)。即使这些设备被攻击并组成了僵尸网络,但是它们仍然可以正常工作,消费者甚至不知道它们是不是正在被利用。这些设备的销售商也不在乎,因为他们已经在销售更新、更好的产品了。这些设备的漏洞无法对消费者或者经销商产生直接影响,因此没有市场化的解决方案。这是一种看不见的污染。
而且,像污染一样,唯一的解决方案就是监管。政府可以对物联网制造商实施最低安全标准,迫使他们确保其设备安全,即使他们的客户对此并不关心。如果制造商的设备被用于DDoS攻击,政府可以允许像Dyn这样的公司起诉他们,并让制造商承担一定的责任。具体的细节需要经过详细的探讨来确定,但是这两种选择中的任何一种都会增加不安全的成本,并给这些设备的制造商施加一定的压力来保证其设备的安全性。
的确,这是美国解决国际问题的一个方案,并且没有哪一项美国法规能够影响在南美销售亚洲制造的产品,即使该产品仍可用来对美国网站发起攻击。制作软件的主要成本来自研发。如果美国以及其他一些主要市场对物联网设备实施严格的互联网安全法规,那么制造商如果要向这些市场销售产品,将被迫升级其安全性。因为维护软件的两个不同版本是没有意义的,所以只要这些制造商提高了这些软件的安全性,那么无论这些设备在哪个市场销售,其安全性都将提升。这确实是几个国家联合行动就可以推动全球变化的领域。
无论你对监管与市场化解决方案有何看法,我相信最终结果都是一样的,那就是政府终将对物联网进行监管,因为物联网面临的风险太大。现在,计算机能够以更加直接和实际的方式影响我们的世界。
安全研究人员已经展示了远程控制联网的汽车的能力。他们也已经发现了针对家用恒温器的勒索软件以及植入的医疗设备中的漏洞,甚至可以入侵投票机和发电厂。在最近发表的一篇论文中,研究人员展示了如何组合利用智能灯泡中的多个漏洞并最终控制它们,这样的话,攻击者可能是城市中的每一个人。这些设备中的安全漏洞可能导致人员伤亡和财产损失。
没有什么比恐惧更能刺激美国政府了。还记得2001年吗?在“9·11”恐怖袭击之后,美国创立了国土安全部,这是一个仓促且欠考虑的决定,十多年来我们一直在努力修正这一决定。致命的物联网灾难同样会促使我们的政府采取行动,而这些行动很可能是未经过深思熟虑的。我们的选择不是政府是否介入,而是是否选择一个聪明的政府介入。我们现在必须开始考虑这一点。监管是必要的,同时也是重要的和复杂的,并且即将到来。我们不能忽视这些问题,否则将后悔莫及。
通常,软件市场要求产品必须能快速发布且便宜,安全性往往是次要考虑因素。这样做是没关系的,前提是软件无关紧要,比如电子表格偶尔崩溃是可以接受的。但是,导致汽车崩溃的软件错误就完全是另一回事了。物联网中的安全漏洞是广泛且深入存在的,如果任由市场自行解决,安全漏洞将无法修复。我们需要积极讨论良好的监管解决方案,否则灾难终将使我们遭受重创。