8月1日消息,據(jù)Motherboard報(bào)道,涉及“物聯(lián)網(wǎng)”的災(zāi)難后果通常非常嚴(yán)重,汽車、電網(wǎng)、大壩以及隧道通風(fēng)系統(tǒng)等都可能成為黑客襲擊目標(biāo)。最近發(fā)表在《紐約雜志》上的科幻小說,詳細(xì)而生動地描述了紐約汽車、供水系統(tǒng)、醫(yī)院、電梯以及電網(wǎng)等遭到襲擊的情景。在這些災(zāi)難中,數(shù)以千計(jì)的人因此喪生,混亂隨之而來。有些假設(shè)可能言過其實(shí),但個人面臨的威脅卻真實(shí)存在,而傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)安全不足以應(yīng)對“物聯(lián)網(wǎng)”災(zāi)難。
傳統(tǒng)信息安全主要由三個部分組成,分別是保密性、完整性以及可用性,你可以將其簡稱為“CIA”,它們對國家安全至關(guān)重要?;旧希诳涂梢詮?個方面利用你的數(shù)據(jù),竊取(針對保密)、修改(針對完整)、防止你獲得和使用數(shù)據(jù)(可用性)。
美國下任總統(tǒng)可能被迫應(yīng)對導(dǎo)致無數(shù)人死亡的大規(guī)模網(wǎng)絡(luò)災(zāi)難。到目前為止,網(wǎng)絡(luò)威脅在很大程度上都針對保密性。這些災(zāi)難后果嚴(yán)重而昂貴。有調(diào)查估計(jì),每次數(shù)據(jù)泄漏造成的平均損失約為380萬美元。與此同時,這些災(zāi)難也令人感到尷尬,例如2014年黑客竊取蘋果iCloud名人照片或2015年婚外情交友網(wǎng)站Ashley Madison用戶信息被曝光等。
另外,這些網(wǎng)絡(luò)襲擊也具有很大破壞性,據(jù)稱朝鮮政府2014年竊取美國索尼公司數(shù)千份內(nèi)部文件,從美國投行摩根大通竊取8300萬個用戶帳號等。它們甚至可影響國家安全,比如2015年美國人事管理辦公室遭黑客襲擊數(shù)據(jù)泄漏。
但在“物聯(lián)網(wǎng)”領(lǐng)域,數(shù)據(jù)完整性和可用性的威脅要遠(yuǎn)超保密性威脅。比如你的智能門鎖可被竊聽,犯罪分子就可知道誰在家中。如果竊賊可打開智能門或阻止你開門,將產(chǎn)生更嚴(yán)重的后果。黑客甚至還可阻止你控制自己的汽車或接管汽車控制權(quán),這遠(yuǎn)比竊聽你的對話或追蹤你的汽車位置更加危險(xiǎn)。
但是隨著“物聯(lián)網(wǎng)”和網(wǎng)絡(luò)物理系統(tǒng)的出現(xiàn),我們將賦予互聯(lián)網(wǎng)直接影響物理世界的能力。而黑客對數(shù)據(jù)和信息的攻擊可能演變成對人類、鋼鐵以及混凝土的聯(lián)合攻擊。今天的威脅包括黑客侵入電腦網(wǎng)絡(luò)導(dǎo)致飛機(jī)墜毀,可遙控癱瘓汽車,讓它們在高速公路上熄火或加速。我們擔(dān)心電子投票機(jī)受到操縱、通過侵入恒溫器導(dǎo)致水管被凍、通過侵入醫(yī)療設(shè)備制造遠(yuǎn)程謀殺等。“物聯(lián)網(wǎng)”導(dǎo)致的災(zāi)難假設(shè)無窮多,將賦予黑客我們無法想象的攻擊能力。
隨著“物聯(lián)網(wǎng)”的發(fā)展,三個領(lǐng)域面臨的威脅日益增加,分別是系統(tǒng)軟件控制、系統(tǒng)之間互聯(lián)以及自動系統(tǒng)。下面讓我們著重討論下這3個方面:
1.軟件控制。“物聯(lián)網(wǎng)”是所有日常用品聯(lián)網(wǎng)的必然結(jié)果。在給我們提供更多方便的同時,它也會帶來安全威脅。因?yàn)樵蕉辔锲肥艿杰浖刂?,它們就越容易遭到黑客襲擊。但是由于這些物品通常價格不貴,且需要長期持續(xù)使用,電腦和智能手機(jī)常用的補(bǔ)丁和升級系統(tǒng)可能不太有用。現(xiàn)在,唯一避免家庭路由器威脅日增的方式就是放棄舊的購買新的。通過每隔幾年時間就更換電腦和手機(jī)確保安全的方式,在冰箱和恒溫器方面不能通用。平均算下來,人們更換冰箱的時間為15年,而恒溫器幾乎永遠(yuǎn)不需更換。普林斯頓大學(xué)最新調(diào)查顯示,互聯(lián)網(wǎng)上有50萬部不夠安全的設(shè)備,而這個數(shù)字將呈爆發(fā)式增長。
2.系統(tǒng)互聯(lián)。隨著這些系統(tǒng)之間的聯(lián)系越來越緊密,某個系統(tǒng)遭襲就會連累其他系統(tǒng)受到攻擊。我們能已經(jīng)看到,三星智能冰箱遭襲導(dǎo)致Gmail帳號也會受到侵襲,通過醫(yī)療設(shè)備漏洞可侵入醫(yī)院IT網(wǎng)絡(luò),通過HVAC系統(tǒng)可侵入Target Corporation等。這些系統(tǒng)充滿了外部性,可以影響其他系統(tǒng),造成不可預(yù)見和潛在傷害。
此外,有些特殊設(shè)計(jì)的系統(tǒng)與其他系統(tǒng)相結(jié)合時可能產(chǎn)生有害結(jié)果。某個系統(tǒng)漏洞可能滲透到其他系統(tǒng)中,結(jié)果這個漏洞沒人注意到,也沒人負(fù)責(zé)修復(fù)。“物聯(lián)網(wǎng)”將會讓這種系統(tǒng)漏洞變得更加常見。這是簡單的數(shù)學(xué)問題。如果100個系統(tǒng)互聯(lián),它們可進(jìn)行5000種互聯(lián),并從中產(chǎn)生5000個漏洞。如果300個系統(tǒng)互聯(lián),就可以產(chǎn)生4.5萬次互聯(lián),1000個系統(tǒng)可產(chǎn)生1250萬次互聯(lián)。大多數(shù)互聯(lián)都是良性或無害的,但也有些后果很嚴(yán)重。
3.自主性。我們的電腦系統(tǒng)自動化程度越來越高,它們可買賣股票、開關(guān)熔爐、調(diào)節(jié)通過電網(wǎng)的電流等。在無人駕駛汽車方面,汽車自動駕駛系統(tǒng)可將用戶直接送到目的地。無論從哪方面來看,自動化都是非常棒的技術(shù)。但是從安全角度考慮,這意味著黑客襲擊可立即生效,且這種攻擊無所不在。我們越是將人類從循環(huán)中移除,黑客會越快發(fā)動襲擊并制造破壞,我們依賴智能系統(tǒng)糾錯的能力損失越大。
各國政府正介入其中。去年,美國國家情報(bào)總監(jiān)(DNI)詹姆斯·克拉珀(James Clapper)與國安局(NSA)局長邁克·羅杰斯(Mike Rogers)都在國會作證,警告這些威脅。他們都認(rèn)為我們正處于脆弱狀態(tài)。
DNI在2015年全球威脅評估中強(qiáng)調(diào):“大多數(shù)有關(guān)網(wǎng)絡(luò)安全的公共討論都集中于信息保密性和可用性方面,網(wǎng)絡(luò)間諜活動破壞了保密性,而拒絕服務(wù)式攻擊和數(shù)據(jù)刪除攻擊則會破壞可用性。然而將來,我們也會看到更多網(wǎng)絡(luò)攻擊,它們將改變或操縱電子信息以便破壞信息完整性,而非刪除數(shù)據(jù)或破壞訪問。如果高級政府官員、企業(yè)高管、投資者或其他人的決策無法信任他們收到的信息,那將產(chǎn)生更大傷害。”
DNI在2016年評估報(bào)告中得出類似結(jié)論稱:“幾乎可以肯定,未來的網(wǎng)絡(luò)攻擊將包括改變或操縱數(shù)據(jù)以破壞其完整性,并借此影響決策、減少對系統(tǒng)信任或造成不良的物理影響。廣泛采用“物聯(lián)網(wǎng)”設(shè)備和人工智能系統(tǒng),將會加速這些潛在影響的發(fā)揮。”
安全工程師們正在研發(fā)各種技術(shù)以減少這種危險(xiǎn),但許多解決方案若沒有政府參與就無法部署,這不是市場能夠解決的問題。就像數(shù)據(jù)隱私,對于大多數(shù)人和組織來說,危險(xiǎn)和解決方案都是難以理解的技術(shù),公司本身不太可能向客戶、用戶以及公眾隱藏系統(tǒng)的不安全性,互聯(lián)幾乎不可避免地會產(chǎn)生數(shù)據(jù)泄漏和傷害性后果,公司利益往往與公眾利益無法匹配。
政府需要發(fā)揮更大作用,包括設(shè)置標(biāo)準(zhǔn)、監(jiān)管規(guī)則以及執(zhí)行跨公司和跨網(wǎng)絡(luò)解決方案等。白宮網(wǎng)絡(luò)安全全國行動計(jì)劃中已經(jīng)談及很多正確的事情,但這還遠(yuǎn)遠(yuǎn)不夠,因?yàn)槲覀冎泻芏嗳藫?dān)心政府主導(dǎo)的解決方案。下任美國總統(tǒng)可能需要處理能夠?qū)е麓笠?guī)模傷亡的網(wǎng)絡(luò)災(zāi)難。我希望他/她能夠分清政府能做什么,行業(yè)不能做什么,而政治將會促使其成為現(xiàn)實(shí)。