物聯(lián)網(wǎng)變成“僵尸網(wǎng)絡(luò)” 并非虛幻

責(zé)任編輯:editor008

2014-08-27 09:43:29

摘自:雷鋒網(wǎng)

當(dāng)前,在物聯(lián)網(wǎng)時代下,隨著物聯(lián)網(wǎng)的快速發(fā)展,筆記本和移動手機(jī)已經(jīng)不是訪問互聯(lián)網(wǎng)的唯一途徑了,電視機(jī),嬰兒監(jiān)視器,烤箱,汽車都可以連網(wǎng)。甚至越來越多的醫(yī)療器械和其他重要設(shè)備也開始嵌入互聯(lián)網(wǎng)功能。不幸的是,技術(shù)發(fā)展同樣會引發(fā)一個問題——安全。

當(dāng)前,在物聯(lián)網(wǎng)時代下,隨著物聯(lián)網(wǎng)的快速發(fā)展,筆記本和移動手機(jī)已經(jīng)不是訪問互聯(lián)網(wǎng)的唯一途徑了,電視機(jī),嬰兒監(jiān)視器,烤箱,汽車都可以連網(wǎng)。甚至越來越多的醫(yī)療器械和其他重要設(shè)備也開始嵌入互聯(lián)網(wǎng)功能。不幸的是,技術(shù)發(fā)展同樣會引發(fā)一個問題——安全。

就在前不久的黑帽大會和Defcon安全大會上,技術(shù)人員展示了很多物聯(lián)網(wǎng)設(shè)備被黑的場景。雖然物聯(lián)網(wǎng)安全受到了很多關(guān)注,但我們依然要面對一場艱苦的戰(zhàn)斗。

更新不足是要害

對于物聯(lián)網(wǎng)安全而言,最大的障礙就是部署無效的,或是不合理的安全更新。代碼隨時會出現(xiàn)漏洞,如果在設(shè)計和開發(fā)過程中就慎重考慮安全問題,那么相關(guān)威脅肯定會明顯減少。不僅如此,所有的軟件商必須要對漏洞做出快速反應(yīng),及時發(fā)布補(bǔ)丁。

從過去學(xué)習(xí)經(jīng)驗

如果我們看看目前的iOS和Android系統(tǒng),就知道補(bǔ)丁修復(fù)的影響。這兩款系統(tǒng)都有很多安全資源,而且也有非常優(yōu)秀的系統(tǒng)組織,一旦發(fā)現(xiàn)了安全問題他們都可以快速提供補(bǔ)丁包。不過,相比于蘋果,Android升級的及時性似乎做的不夠好。蘋果可以通過iOS更新將安全補(bǔ)丁直接發(fā)送給用戶,但Android由于設(shè)備制造商和運(yùn)營商的問題,通常會出現(xiàn)各種時延,很多設(shè)備要經(jīng)過數(shù)月、甚至數(shù)年才能更新。目前只有不到18%的Android設(shè)備運(yùn)行最新的版本,82%沒有及時完成安全更新。

物聯(lián)網(wǎng)各方都在為自己考慮,讓安全補(bǔ)丁“很受傷”

如果你最近購買的可連網(wǎng)烤箱,冰箱或是嬰兒監(jiān)視器出現(xiàn)了一個安全漏洞,補(bǔ)丁包可以解決這個問題嗎?我們不妨先看看涉及物聯(lián)網(wǎng)的各方都在考慮什么。

制造商

銷售產(chǎn)品;把互聯(lián)網(wǎng)連接看做是一項功能,而不是要涉足的一塊特殊領(lǐng)域;關(guān)注公眾對產(chǎn)品的看法,驅(qū)動銷售。

消費(fèi)者

設(shè)備可以滿足主要需求;互聯(lián)網(wǎng)連接是一個不錯的功能,或是次要功能;絕大多數(shù)人不希望為“修設(shè)備”費(fèi)神。

犯罪組織

控制設(shè)備,把目標(biāo)網(wǎng)絡(luò)變成“僵尸網(wǎng)絡(luò)”,進(jìn)行分布式攻擊;“隱藏自己”,不被發(fā)現(xiàn),盡量不影響設(shè)備工作,這樣“受害者”就不會“維修”設(shè)備,也不會根除惡意軟件。

如果評估一下上述因素,就會發(fā)現(xiàn)在制造商一端,給設(shè)備打補(bǔ)丁的優(yōu)先級并不高。而犯罪組織則會在一系列過時的設(shè)備上尋找漏洞,他們非常聰明,可以在不影響設(shè)備性能的前提下,部署惡意軟件。這意味著消費(fèi)者無法察覺設(shè)備已經(jīng)被部署了惡意軟件,安全漏洞幾乎不會影響消費(fèi)者對設(shè)備的看法,也不會刺激制造商去主動關(guān)注物聯(lián)網(wǎng)設(shè)備的安全問題。

安全漏洞有很多受害者

制造商可能不急于解決設(shè)備缺陷,但不意味著損害不嚴(yán)重。

設(shè)備的擁有者

消費(fèi)者將會失去隱私,數(shù)據(jù)會被監(jiān)視,甚至被賣給他人。隨著物聯(lián)網(wǎng)的擴(kuò)張,這些數(shù)據(jù)會涉及到更多隱私,比如健康數(shù)據(jù)、地理位置、室內(nèi)視頻、孩子等。

網(wǎng)絡(luò)上的應(yīng)用程序

跨互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序會遇到非常大的風(fēng)險。可連接設(shè)備很容易受到攻擊,它們不僅會被盜用,甚至?xí)贿B接到惡意“僵尸網(wǎng)絡(luò)”上面。被盜用的設(shè)備會發(fā)送垃圾郵件,參與阻斷服務(wù)攻擊,甚至?xí)诰W(wǎng)絡(luò)上偷竊用戶的認(rèn)證信息。

有效部署補(bǔ)丁是一個大問題

黑客非常謹(jǐn)慎,不過還是會有漏洞被發(fā)現(xiàn),用戶會要求打補(bǔ)丁。但是這又能怎樣?

設(shè)備制造商們?nèi)绻龅竭@種情況,通常會“匆忙”發(fā)布一個補(bǔ)丁包,但是之后呢?這些補(bǔ)丁是如何發(fā)送到設(shè)備上的?完成更新后,消費(fèi)者需要重啟他們的烤箱,汽車,或是起搏器嗎?這些補(bǔ)丁適用于下一代產(chǎn)品嗎?不幸的是,這些問題都是我們目前遇到的挑戰(zhàn),即使有了一個補(bǔ)丁包,也無法及時有效地部署到設(shè)備上。

我們?nèi)绾文茏龅母?

消費(fèi)者需要改變“動機(jī)模式”,讓制造商快速修補(bǔ)漏洞。實現(xiàn)這一點(diǎn),需要加大對安全威脅的披露和宣傳,同時還要研究物聯(lián)網(wǎng)安全漏洞的相關(guān)數(shù)據(jù)。那些經(jīng)常從事物聯(lián)網(wǎng)犯罪的黑客,必須對其行為負(fù)責(zé),也要受到嚴(yán)懲。還需要了解正面、積極的安全方法,幫助構(gòu)建更加穩(wěn)定和安全的物聯(lián)網(wǎng)設(shè)備。

設(shè)備制造商必須為產(chǎn)品可能出現(xiàn)的安全漏洞做好準(zhǔn)備。在設(shè)計和制造階段就要將安全問題考慮進(jìn)去,避免明顯的安全漏洞。此外,還必須建立可行的“補(bǔ)丁模式”,至少在每次升級更新的時候也要安裝一些必要的安全補(bǔ)丁。

D1Net評論:

隨著物聯(lián)網(wǎng)對人們生活的影響越來越大,物聯(lián)網(wǎng)很快就會“封裝”我們的生活,過去幾十年如果我們從互聯(lián)網(wǎng)和計算機(jī)安全里面學(xué)到一些經(jīng)驗和教訓(xùn),那就是就要把安全主動應(yīng)用到物聯(lián)網(wǎng)規(guī)劃之中。我們無法每一個漏洞和威脅做好規(guī)劃,但必須設(shè)計好快速部署代碼補(bǔ)丁的方法,否則物聯(lián)網(wǎng)將會變成“僵尸網(wǎng)絡(luò)”,這并非虛幻。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號