智能物聯(lián)網(wǎng)出現(xiàn)之后,與之相關(guān)的安全問題就沒有消停過。
不過,近年來像“黑客入侵心臟起搏器”“黑客攻破車聯(lián)網(wǎng)”這樣能引發(fā)好萊塢式炸裂場(chǎng)面的事故新聞,已經(jīng)不怎么讓大眾心潮起伏。
而替代它們的,則是一些不斷于細(xì)微處考驗(yàn)用戶心理承受能力的“日式驚悚”時(shí)刻。
比如說前不久The Verge報(bào)道的,一位Reddit用戶將小米米家安全攝像頭連接到Google Nest Hub,卻意外看到了他人房屋內(nèi)部的圖像。其中,既有躺在客廳的老人,還有搖籃里的嬰兒。
一時(shí)間坊間嘩然,谷歌更是直接把自家設(shè)備上所有的小米設(shè)備集能暫時(shí)給禁了……
當(dāng)然,小米很快修復(fù)了相關(guān)軟件bug,從官方聲明中我們也看到,有相關(guān)使用場(chǎng)景的用戶是1044人,只有極少數(shù)可能受到影響。
實(shí)際上,包括亞馬遜、谷歌在內(nèi)的家居物聯(lián)科技公司,其產(chǎn)品都被爆出過有這樣那樣的問題。比如亞馬遜的Ring攝像頭也曾被黑客攻破,對(duì)用戶自稱是“圣誕老人”;360也曾為了防止攝像頭被惡意利用,永久關(guān)閉了水滴直播。
小孩子才會(huì)相信“圣誕老人”,大人只會(huì)相信“黑暗森林”邏輯——自家的智能設(shè)備背后有沒有一雙正在窺視的眼睛,它會(huì)在什么時(shí)候成為一把刺向家庭安全的尖刀?
隱藏在暗處的危險(xiǎn),就如同那只總也掉不下來的靴子,讓用戶時(shí)時(shí)沉浸在想象的恐懼里。那么,究竟怎樣才能逃離“被直播”的命運(yùn)呢?
從好萊塢到日式驚悚:物聯(lián)網(wǎng)の安全怪談
解決物聯(lián)網(wǎng)安全問題最直接有效的辦法,其實(shí)就是:
當(dāng)然,這是開玩笑的。用一句流行的話——我們遇到什么困難,都不要懼怕它,消除恐懼的最好辦法就是面對(duì)恐懼,奧利給!
所以在討論物聯(lián)網(wǎng)安全狀況時(shí),我們還是先弄清楚,物聯(lián)的安全水位,都經(jīng)歷了怎樣的發(fā)展階段。
第一個(gè)階段:政府與黑客的PK
物聯(lián)網(wǎng)安全開始引發(fā)注意,要從21世紀(jì)的第一個(gè)十年說起。
盡管目前公認(rèn)最早的概念出現(xiàn),是1995年比爾蓋茨在《未來之路》一書中提及物聯(lián)網(wǎng),但這一概念真正開始成形,要到1999年美國召開的移動(dòng)計(jì)算和網(wǎng)絡(luò)國際會(huì)議,明確了“物聯(lián)網(wǎng)”作為實(shí)物互聯(lián)網(wǎng)——“Internet of Things”的定位。
此后,物聯(lián)網(wǎng)就被抬上了國家舞臺(tái),在政府主導(dǎo)下開始鋪設(shè),一大批物聯(lián)項(xiàng)目開始崛起。比如2004年日本總務(wù)省(MIC)就曾提出u-Japan計(jì)劃,就力求將日本建設(shè)成一個(gè)泛在網(wǎng)絡(luò)社會(huì)。
而最早,這些設(shè)備都是通過頻識(shí)別RFID技術(shù)與互聯(lián)網(wǎng)結(jié)合,配合GPS、紅外感應(yīng)器等信息傳感設(shè)備,借助無線數(shù)據(jù)通信來實(shí)現(xiàn)物品之間的交流。與IT設(shè)備相比的弱安全性,使其成為黑客挑戰(zhàn)政府權(quán)威、刷存在感的絕佳標(biāo)的。
像是2007年,美國副總統(tǒng)迪克·切尼心臟病發(fā)作,就是暗殺者遠(yuǎn)程攻破了他的心臟除顫器。2008年,波蘭的一個(gè)黑客則用改裝過的電視遙控器控制了波蘭第三大城市羅茲的有軌電車系統(tǒng)。2010年,美國得克薩斯州一個(gè)汽車經(jīng)銷商的電腦系統(tǒng)被入侵,然后大量客戶的車輛開始故障,出現(xiàn)喇叭半夜鳴響、車輛無法發(fā)動(dòng)等bug。
聳人聽聞的案件,此時(shí)正是普通大眾在新聞報(bào)紙上讀到的談資,但很快,危險(xiǎn)變開始登堂入室了。
第二階段:消費(fèi)級(jí)物聯(lián)網(wǎng)的黑客帝國
到了第二個(gè)十年,國家基礎(chǔ)設(shè)施的信息化已經(jīng)基本完成,大眾消費(fèi)級(jí)市場(chǎng)開始得到關(guān)注,物聯(lián)網(wǎng)也借助互聯(lián)網(wǎng)企業(yè)、家電廠商等助推,形成了如火如荼的發(fā)展之勢(shì)。
從2012年的87億臺(tái),以每年30%的速度增長(zhǎng)。據(jù)美國有線電視協(xié)會(huì)(NCTA)預(yù)測(cè),到2020年,連接設(shè)備的安裝基數(shù)預(yù)計(jì)將增長(zhǎng)到500億臺(tái)以上。
聯(lián)網(wǎng)設(shè)備越來越普及,可攻擊范圍與商業(yè)利益變廣,加上“安全性”總是消費(fèi)者巨選擇物聯(lián)網(wǎng)產(chǎn)品的次要要素,最終導(dǎo)致的結(jié)果就是,物聯(lián)網(wǎng)“被黑”成為全社會(huì)的潛在“毒瘤”。
最臭名昭著的2016年物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊,就是黑客通過操縱物聯(lián)網(wǎng)設(shè)備的漏洞,比如網(wǎng)絡(luò)攝像頭、智能開關(guān)等,將其作為“肉雞”攻擊其他網(wǎng)絡(luò)設(shè)備。這場(chǎng)超過百萬臺(tái)設(shè)備參與的DDoS攻擊,一度導(dǎo)致整個(gè)美國東海岸的互聯(lián)網(wǎng)癱瘓,Twitter、Paypal、Spotify 等網(wǎng)站被迫中斷服務(wù),科技公司Dyn直接損失就超過了1.1億美元。
而眾多小微智能家居產(chǎn)品的出現(xiàn),更是讓風(fēng)險(xiǎn)進(jìn)入了千家萬戶。比如可以讓家長(zhǎng)和孩子們互相發(fā)送音頻信息的cloudspets智能玩具,就曾被發(fā)現(xiàn)父母的電子郵件和密碼以及語音記錄容易被黑客竊取,任何在10米范圍內(nèi)的人只要用普通智能手機(jī)就可以連接,一旦玩具被劫持,后果令人毛骨悚然。
物聯(lián)網(wǎng)的“短板效應(yīng)”,決定了其“技術(shù)下限”就能夠直接影響整個(gè)系統(tǒng)的安全性,這也是為什么,2015年短暫的“春天”之后,物聯(lián)網(wǎng)迄今為止一直在落地的過程中阻礙重重。
2018年,亞馬遜公布的物聯(lián)網(wǎng)操作系統(tǒng) FreeRTOS 以及 AWS 連接模塊的 13 個(gè)安全漏洞,該開源操作系統(tǒng)已經(jīng)被應(yīng)用在包括汽車、飛機(jī)及醫(yī)療設(shè)備等 40 余種硬件平臺(tái)。而入侵者很容易利用漏洞破壞設(shè)備,獲得完全的控制權(quán)。
實(shí)際上,2018年Gartner發(fā)布的物聯(lián)網(wǎng)成熟度曲線顯示,物聯(lián)網(wǎng)市場(chǎng)還未達(dá)到谷底,距離反彈更是有著不少距離。
至少縱觀整個(gè)物聯(lián)網(wǎng)的發(fā)展,“安全”仍然是市場(chǎng)爆發(fā)的基礎(chǔ)條件。
從2019年的“5G元年”開始,人們對(duì)海量物聯(lián)重新點(diǎn)燃了期待。尤其是在人工智能系統(tǒng)落地終端之后,幫助聯(lián)網(wǎng)設(shè)備獲得了源源不斷的計(jì)算能力。萬物智聯(lián)的AIoT趨勢(shì),能否成為物聯(lián)網(wǎng)市場(chǎng)的上揚(yáng)起點(diǎn)呢?
物聯(lián)網(wǎng)的安全桎梏,能否解綁單飛?
從幾個(gè)發(fā)展時(shí)期整體來看,物聯(lián)網(wǎng)的安全桎梏,始終存在三個(gè)關(guān)鍵要素的捆綁:
1.安全防護(hù)整體性理念的缺失
我們知道,物聯(lián)網(wǎng)從來都不是一個(gè)單獨(dú)的個(gè)體,如此多技術(shù)堆棧的排列組合,構(gòu)成了一個(gè)較為復(fù)雜的系統(tǒng),也提供了多樣的攻擊性窗口。
舉個(gè)例子,2018年北美一家賭場(chǎng)曾發(fā)生一起黑客攻擊事件,竟然是通過一個(gè)魚缸實(shí)現(xiàn)的。這個(gè)魚缸使用物聯(lián)網(wǎng)進(jìn)行自動(dòng)清潔、喂食等功能,也因此連著賭場(chǎng)的網(wǎng)絡(luò),尋常并不會(huì)有人注意到,也就成了網(wǎng)絡(luò)中最薄弱的安全環(huán)節(jié)。
可以說,設(shè)備的“技術(shù)最短板”就是整屋物聯(lián)網(wǎng)的“安全最長(zhǎng)板”。物聯(lián)網(wǎng)需要的安全水位,需要考慮到所有小而密的微點(diǎn),但許多產(chǎn)品制造企業(yè)在消費(fèi)級(jí)物聯(lián)網(wǎng)部署的初期,都會(huì)將安全性作為低優(yōu)先級(jí)的考慮因素,付出額外的精力投入在安全能力研發(fā)上,無疑是自己先掏了一筆“罰金”。企業(yè)沒有考慮到具體產(chǎn)品如何與整個(gè)安全系統(tǒng)對(duì)接,使用中自然漏洞百出。
2.缺乏嚴(yán)格統(tǒng)一的加密標(biāo)準(zhǔn)
當(dāng)然,實(shí)現(xiàn)物聯(lián)網(wǎng)的微點(diǎn)安全管理,除了廠商的主觀意愿,還會(huì)受到加密技術(shù)的水平限制與標(biāo)準(zhǔn)體系的困擾。
未做加密,或使用弱密碼,是物聯(lián)網(wǎng)設(shè)備出現(xiàn)安全風(fēng)險(xiǎn)的頭號(hào)殺手。據(jù)國家信息安全漏洞共享平臺(tái)(CNVD)公布的數(shù)據(jù)顯示,所有IoT終端中,80%的設(shè)備存在隱私泄露或?yàn)E用的風(fēng)險(xiǎn),80%的設(shè)備使用弱密碼、70%的設(shè)備的網(wǎng)絡(luò)通訊沒有加密、60%設(shè)備的web界面存在漏洞、60%設(shè)備的軟件更新未做加密。
一方面,物聯(lián)網(wǎng)設(shè)備使用的通信協(xié)議十分多樣,除了Zigbee、藍(lán)牙、WIFi主流選擇之外,也會(huì)用到HTTP、HTTPS、XMPP等互聯(lián)網(wǎng)協(xié)議。這就導(dǎo)致,要讓安全能力泛化在物聯(lián)網(wǎng)的每個(gè)環(huán)節(jié),需要進(jìn)行充分考慮和規(guī)劃。而硬件端里可能僅有幾K字節(jié)的運(yùn)行USC泛在安全保護(hù)架構(gòu)代碼,存儲(chǔ)能力、計(jì)算能力都極為有限,無法像IT設(shè)備一樣部署傳統(tǒng)的安全軟件或高復(fù)雜度的解密算法,這就讓黑客們有機(jī)可乘。
比如前面提到的2016僵尸網(wǎng)絡(luò)攻擊Dyn的黑客只試了35個(gè)密碼,就碰到了正確答案。
另外,大部分智能物聯(lián)設(shè)備如智能家居,對(duì)系統(tǒng)的實(shí)時(shí)性要求不高,信息傳輸允許延遲,這就極有可能出現(xiàn)系統(tǒng)軟硬件升級(jí)困難或者忘記更新維護(hù)的情況,從而導(dǎo)致自身安全防御體系很快落后,在新出現(xiàn)的網(wǎng)絡(luò)攻擊方式和病毒面前變成“脆皮兒”。
3.SoC系統(tǒng)級(jí)AI芯片在物聯(lián)網(wǎng)領(lǐng)域應(yīng)用尚不足
既然終端設(shè)備加密困難,那么不如將“安全水位”做到云級(jí)別,是不是就能從根本上實(shí)現(xiàn)物聯(lián)安全呢?理論上是可行的,越來越多的物聯(lián)設(shè)備開始按照“端-管-云”構(gòu)架鋪設(shè),將安全解決方案交給專業(yè)的云計(jì)算企業(yè)來實(shí)施,從而實(shí)現(xiàn)物聯(lián)網(wǎng)系統(tǒng)的整體安全管控。
那么,這個(gè)云端大腦的性能就至關(guān)重要了。
如何讓云端與邊緣產(chǎn)生智慧、實(shí)時(shí)的響應(yīng)與協(xié)作,讓物聯(lián)網(wǎng)和AI系統(tǒng)實(shí)現(xiàn)雙向交互,互相輔助優(yōu)化,SoC這種整合了嵌入式處理器和無線通訊的系統(tǒng)級(jí)芯片,就成了開路先鋒。
作為安全系統(tǒng)的集中單元,SoC芯片顯著地降低了使用功耗,更適合在物聯(lián)網(wǎng)終端部署。與此同時(shí),兼具計(jì)算能力,可以取代傳統(tǒng)處理單元和工業(yè)網(wǎng)絡(luò)連接,讓安全防御不再以孤島的形式運(yùn)轉(zhuǎn),而是依托云計(jì)算進(jìn)行連通,實(shí)現(xiàn)整體管控。
不過目前市面上整合了AI能力、能夠應(yīng)用于大規(guī)模物聯(lián)網(wǎng)的SoC芯片還并不多見,聯(lián)發(fā)科的第一顆5G SoC芯片價(jià)格就高達(dá)70美元,未來物聯(lián)網(wǎng)智能安全防護(hù),還需要半導(dǎo)體領(lǐng)域持續(xù)發(fā)力護(hù)航,才有可能不給惡意攻擊一絲可乘之機(jī)。
總而言之,物聯(lián)網(wǎng)的特性決定了,其所面臨的安全問題遠(yuǎn)比互聯(lián)網(wǎng)更復(fù)雜。而其應(yīng)用又必定會(huì)越來越與人們的日常生活產(chǎn)生高粘度、自動(dòng)化的連接,如何在AIoT的底座上建立一個(gè)產(chǎn)業(yè)安全大廈,需要的是將新的準(zhǔn)則嵌入到各個(gè)行業(yè)、各個(gè)企業(yè)、各個(gè)業(yè)務(wù)當(dāng)中。
目前,還沒有一個(gè)可以讓人放下恐懼的方式來讓我們告別那些“安全鬼故事”。
可以肯定的是,唯有將散落的星子統(tǒng)一成銀河,才能讓物聯(lián)網(wǎng)安全清晰地呈現(xiàn)在世人面前。到那時(shí)提起物聯(lián)網(wǎng),人們想到的,不再是“日式驚悚”的無限未知和恐懼,而是對(duì)一個(gè)全新市場(chǎng)崛起的期待,以及為萬物智聯(lián)璀璨盛景的無限心折。
責(zé)任編輯:ct
評(píng)論
查看更多