廉價(jià)物聯(lián)網(wǎng)設(shè)備:未來的另一個(gè)安全隱憂

責(zé)任編輯:editor005

作者:Jean-Louis Gassée  

2016-11-17 14:30:15

摘自:物聯(lián)之家

你只要帶支螺絲起子,就可以把機(jī)殼、電源供應(yīng)器、主板、超頻處理器、水冷裝置、風(fēng)扇、霓虹燈之類有用沒用的東西組起來。幸好各家廠商都很聰明

作者:Jean-Louis Gassée  法國(guó)巴黎人,曾于1980年代擔(dān)任Apple歐洲營(yíng)運(yùn)負(fù)責(zé)人、以及Mac計(jì)算機(jī)開發(fā)主管;之后創(chuàng)立Be公司,旗下產(chǎn)品BeOS曾傳出將為Apple所并購,并成為后來的Mac OS X,但后來并未實(shí)現(xiàn)。之后亦曾任職于PalmSource,目前為Allegis Capital投資公司合伙人。

智能手機(jī)的崛起有個(gè)副作用,就是造就了一個(gè)豐富(但廉價(jià))的功能模塊生態(tài)系。這些模塊在信息安全方面都不是很理想,而如果輕率的將這些模塊拼成一些廉價(jià)裝置,將可能會(huì)對(duì)市場(chǎng)帶來負(fù)面的影響。

事實(shí)上,這個(gè)問題已經(jīng)在發(fā)生之中。

從前自己組,現(xiàn)在別人幫你組。你放心嗎?

從前,如果你想自己組裝一部計(jì)算機(jī),通常必須從走一趟東京秋葉原之類的地方開始。因?yàn)檫@類市場(chǎng)里有任何想象得到的零組件,從電阻到主板,真空管到黑膠唱片用的唱針應(yīng)有盡有;如果需要的話還可以順道買個(gè)按摩器之類的東西。

你只要帶支螺絲起子,就可以把機(jī)殼、電源供應(yīng)器、主板、超頻處理器、水冷裝置、風(fēng)扇、霓虹燈之類有用沒用的東西組起來。對(duì)于PC來說,這類市場(chǎng)就像是個(gè)器官銀行一樣。

現(xiàn)在,或許從頭自己組PC的人沒有以前多了,但有許多人又在瘋另外一種東西:IoT(物聯(lián)網(wǎng))。如果你也覺得這些東西有前途,也可以開一家公司來賣自己組出來的監(jiān)視攝影機(jī)、嬰兒監(jiān)控裝置、或是智能型烤面包機(jī)等等。

如果你想要找個(gè)地方,既可以看看別人做了些什么,又可以找到零組件、設(shè)計(jì)師、代工廠和相關(guān)的報(bào)價(jià),最好的去處莫過于中國(guó)深圳的華強(qiáng)北一帶;那里不只是著名的鴻海富士康大本營(yíng),也是全球最大的傳感器、攝影鏡頭、GPS衛(wèi)星定位、以及(最重要的)無線傳輸?shù)饶K集散中心。

在研發(fā)上省下來的錢,終究還是得用在打品牌上。

你的第一步可以從買一套聯(lián)發(fā)科(Mediatek)或類似廠商的單芯片系統(tǒng)開始;這里面可能包括一顆ARM處理器、精簡(jiǎn)版的Linux軟件引擎、以及有線或無線連網(wǎng)模塊。只要再加上鏡頭、傳感器、還有驅(qū)動(dòng)程序,然后找一家代工組裝廠,貴公司的專屬自有品牌安全監(jiān)視攝影機(jī)就可以上市了。

但是,這樣做出來的產(chǎn)品通常都跟別人家的差不多;你在研發(fā)上省下來的錢,終究還是得用在打品牌上,還得說服財(cái)迷心竅的通路賣你的產(chǎn)品、靠寫開箱文賺錢的部落客愿意幫你開箱……。

誰說消費(fèi)性電子產(chǎn)品生意好做的?

如果你的產(chǎn)品失敗了,只有投資人和同事會(huì)傷心而已;但如果你成功了,恭喜,但后面的麻煩才正要開始而已。

你能,別人也能。你放心嗎?

賣你模塊的供貨商,可能也同時(shí)賣了幾百萬個(gè)一樣的東西給你的競(jìng)爭(zhēng)對(duì)手、或是其他一樣做著物聯(lián)網(wǎng)IoT產(chǎn)品夢(mèng)的創(chuàng)業(yè)者,像是做智能錄像機(jī)的、智能鎖的、智能天氣站的、智能家居照明系統(tǒng)的等等。

而這些產(chǎn)品的銷售對(duì)象,通常是對(duì)科技不熟的家庭用戶;他們不知道軟件或固件是可以升級(jí)的,忘了賬號(hào)密碼更是家常便飯。

各家廠商都很聰明,多半會(huì)幫產(chǎn)品留一道“后門”。

幸好各家廠商都很聰明,多半會(huì)幫產(chǎn)品留一道“后門”,讓客服人員可以用這組通用的賬號(hào)密碼來遠(yuǎn)程解鎖,毫不費(fèi)力的幫顧客解決燃眉之急。

這一點(diǎn)你(現(xiàn)在)知道、廠商知道、當(dāng)然技藝高超的黑客們也會(huì)知道。只要利用最常見的Linux解譯工具,他們就可以輕松檢視這些設(shè)備中的嵌入式系統(tǒng),然后找到這組便利的后門賬號(hào)密碼,把這些偷懶廠商做的設(shè)備統(tǒng)統(tǒng)解開。

大軍壓境

這時(shí)候,已經(jīng)登堂入室的黑客們就可以搞更多花樣了:例如上傳一些軟件,把無辜的智能型影機(jī)等設(shè)備們征召入伍,變成阻斷服務(wù)攻擊(Denial-of-Service,DoS)大軍的成員,再用來攻擊特定網(wǎng)站,讓網(wǎng)站因?yàn)楸宦?lián)機(jī)塞爆而無法運(yùn)作。

這些黑客的攻擊目標(biāo),通常不會(huì)是設(shè)備的用戶本身,而是(例如)立場(chǎng)跟他們不合的網(wǎng)站;甚至有越來越多的人透過這種方式來“綁架”特定網(wǎng)站,并且勒索贖金。

尤有甚者,還有一些大規(guī)模攻擊是針對(duì)DNS之類的網(wǎng)絡(luò)基本架構(gòu)服務(wù)進(jìn)行;DNS(Domain Name Service/Server,域名服務(wù)/服務(wù)器)的主要功能,在于將“example.com”之類的域名轉(zhuǎn)換成像是“93.184.216.34”的IP地址。

就在前幾天,服務(wù)商Dyn就遭到了大規(guī)模的阻斷攻擊,導(dǎo)致美國(guó)東岸的Twitter、Netflix、甚至紐約時(shí)報(bào)等媒體網(wǎng)站斷線;沒有人知道主使者是誰、或是為了什么目的,但是這種事情的發(fā)生很令人擔(dān)憂:如果下一次攻擊是沖著電力或運(yùn)輸網(wǎng)絡(luò)而來怎么辦?如果整個(gè)通訊系統(tǒng)都斷了怎么辦?

我們也不知道怎么辦。但我們知道,如果網(wǎng)絡(luò)是如此的脆弱,再加上這些廉價(jià)的物聯(lián)網(wǎng)IoT產(chǎn)品、以及它們被蒙在鼓里的主人,往后可能會(huì)發(fā)生的威脅是我們所想不到的?!?/p>

  來自生態(tài)系的入侵

而這樣的威脅,也可以說是智能手機(jī)風(fēng)潮的副產(chǎn)品:上億支的手機(jī)產(chǎn)品,創(chuàng)造了一個(gè)由零組件、制造商、以及經(jīng)銷商所組成,而且競(jìng)爭(zhēng)激烈無比的生態(tài)系。為了競(jìng)爭(zhēng),有許多人會(huì)偷懶、抄近路,導(dǎo)致難以數(shù)計(jì)的“危險(xiǎn)”設(shè)備暴露在網(wǎng)絡(luò)上。

有誰會(huì)想到,有一天連保安攝影機(jī)都會(huì)被入侵,反而變成最不安全的東西?

如果這一點(diǎn)聽起來有點(diǎn)太夸張,這里可以提供一個(gè)故事給您參考:有許多聯(lián)機(jī)裝置(包括常見的飛利浦Hue智能燈泡)都使用了一個(gè)叫做ZigBee的通訊協(xié)議,而這個(gè)協(xié)定最近才被發(fā)現(xiàn)有安全漏洞。

最近的一篇紐約時(shí)報(bào)文章,就描述了研究人員如何找出破解ZigBee網(wǎng)絡(luò)的方式,并且“攻占”了整個(gè)照明系統(tǒng)、以及使用同一協(xié)議來聯(lián)機(jī)的裝置。

我們也相信,消費(fèi)等級(jí)的物聯(lián)網(wǎng)IoT產(chǎn)品必定會(huì)流行起來,但這個(gè)流行風(fēng)潮也可能帶來一些問題,也少不了覬覦這些設(shè)備漏洞的有心人士。所以,制造這些設(shè)備的廠商都必須正視這個(gè)問題、并且負(fù)起應(yīng)有的責(zé)任;而消費(fèi)者也必須先做點(diǎn)功課,了解哪些廠商在安全和隱私方面真的下過功夫,再用實(shí)際的購買行為來鼓勵(lì)它們的貼心。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)