事实证明,几乎所有的连网设备都容易受到攻击。研究人员表明,可以远程控制自动驾驶汽车、操纵植入式医疗设备、破坏投票机,当然还有其他各种“智能”设备,例如门锁、灯泡、恒温器等。在奥地利,一家酒店受到黑客威胁,如果酒店不支付比特币赎金,他们的客人将无法打开房门。
后果是显而易见的。未经授权的人能够控制关键设备和基础设施是一场噩梦。很明显,一些攻击甚至会造成生命损失——想想汽车刹车失灵或是操纵飞机系统。
但是,除了能够控制这些设备及其行为的后果之外,这些设备还带来了更大的威胁:它们是攻击者侵入同一网络中其他系统的跳板,这可能更为关键。试想一下,一家大公司的文件或邮件服务器因为网络中有一个不安全的IP摄像头而遭到黑客攻击。黑客利用一台价值50美元的设备作为攻击媒介,来获取非常敏感的信息。或者想想利用被操纵的物联网设备对域名系统进行的分布式拒绝服务攻击,这使得Netflix、Yahoo和其他公司的服务在相当长的时间内无法使用。
物联网易受攻击的原因
攻击物联网设备的吸引力显著增加,因为这些设备的采用率在过去几年里增加了很多,而且它们非常容易破解。
另一个因素在于,大多数系统都在统一的软件堆栈上运行,因此,在攻击者知道如何接管特定模型或操作平台的那一刻,他通常能够都访问更多具有类似特征的设备。
攻击这些设备的潜在利益进一步增加,因为这些设备被用于越来越多的关键应用,并且通常连接到包含关键系统的网络,这些网络可以通过这种方式渗透。
因此,在过去的几年里,攻击利益发生了很大的变化,有利于攻击者,并使攻击它们成为一个很好的生意。
但是,为什么这些设备很容易被攻击?
(1) 增加攻击面
大多数物联网设备都提供了许多功能,包括存储和处理能力以及重要的软件堆栈——通常是功能完善的设备操作系统。系统中软件和功能的增加会导致更大的攻击面,从而允许更多的攻击可能性。
对于互连的异构环境尤其如此,在这种环境中,一个设备中的漏洞可能导致对其他设备的攻击。日益复杂的互连和访问可能性使得监测、保护和控制环境变得更加困难。
一个简单的例子:过去,入侵医疗设备的方法是闯入医院的机房,然后连接到其串行接口以刷新其固件,但现在黑客可以坐在世界另一端的沙发上,通过使用常规的通信网络和他的笔记本电脑来攻击医疗设备。在破坏了这个设备后,他可以检查网络的其他部分,寻找其他有希望的目标。
(2) 供应商没有建立安全系统的动力
构建硬件是一个复杂的、持久的过程,并且芯片组的价格比较低。此外,物联网领域的技术发展非常迅速,尤其是在无线通信标准方面。因此,硬件制造商宁愿投资支持新功能和标准的新芯片组,也不愿修复旧芯片组。
物联网设备本身通常是由第三方硬件和软件开发商构建,这些供应商没有建立安全系统的动力,因为其客户根据功能和定价做出购买决策,而不是根据安全性或工程质量。因此,经常使用过时软件、固件和硬件(已知存在安全漏洞)来运行设备,因为修复缺陷或使自己的软件适应已修复的第三方库意味着大量的工作。有时这甚至是不可能的,因为驱动程序通常只能作为二进制文件使用。
最新的编译器可以帮助修复软件中一些最严重的安全缺陷,但更糟糕的是,开发环境通常也完全过时了。
甚至这些设备的运营商有时也没有解决问题的真正动力,因为设备通常仅被视为销售其他服务的媒介。
(3) 运营自有物联网设备的公司缺少专业知识
销售和运营自有物联网设备的公司通常不将硬件或软件开发视为其核心能力,因此缺乏有关如何构建安全设备和服务的专业知识。
看看物联网设备的生态系统就能明白这一点。锁、加热器、冰箱和汽车制造商现在正在生产其IT产品——他们很难雇佣到必要的人才来生产开发的产品,甚至很难有效地协调服务合作伙伴。
为什么修复起来这么困难?
过去,我们关注的是我们必须保护服务器和客户端计算机。在90年代经历惨痛教训后,我们在保持系统安全方面做得更好了。不是因为我们修复了软件的开发过程,从而避免了错误,而是,我们通过推出自动更新和快速修复关键错误而变得非常擅长修复问题,而无需用户交互。智能手机也是如此。
我们有数十亿这样的设备,但奇怪的是,到目前为止,我们还没有遇到全球安全问题,这是因为一旦发现缺陷,制造商就会提供软件更新来相对快速地解决安全问题。
但是,物联网的情况有所不同。
(1) 无法解决更新问题
通常不可能通过软件更新来解决安全问题,因为大多数物联网设备的存储、网络带宽有限。有时有可能安装更新,但安装过程非常繁琐且有风险。一些物联网设备的产品使用寿命很长,这使得这个问题更加严重。因此,有可能发生的情况是,一台易受攻击的冰箱保持在线25年而没有得到修复。
(2) 自主操作
即使可以进行更新,用户也不会定期进行检查。因此,不必要的、过时的或行为异常的设备常常不被注意。通常情况下,设备只需要设置一次,就可以自主运行,但是几乎没有设备支持自动更新。更糟糕的是,设备始终处于联机状态,并且通常留有默认密码和配置。
(3) 对软件缺陷造成的损害不承担赔偿责任
软件许可通常排除了所有损害赔偿责任。因此,物联网设备的运营商没有动力修复其产品中的缺陷,或确保指导其硬件和软件服务提供商谨慎地构建安全可靠的产品。取而代之的是,他们将损害成本外部化。
如何修复物联网
物联网设备安全性不足,会因缺少适当的开发投资而造成他人损失,从而造成外部效应。这些外部性的例子是,在DDOS攻击中,设计不良的物联网设备使第三方服务变得不可用,或者不安全的自动驾驶汽车撞倒行人。
空气污染也是类似的情况。一家不使用过滤器来清洁废气的公司会产生外部效应,因为污染的成本会强加给其他人,比如被污染的空气会给生活在城市中人们带来严重的健康问题。
在某些时候,政府采取了避免这些外部效应的措施,并颁布了过滤废气的法规。另一种将外部问题内部化的方法是二氧化碳排放证书,这种方法试图使公司的成本与它们施加给外部的影响相匹配。
在物联网时代,外部效应日益严重,这就是为什么我们呼吁把安全从作为一种保护性手段转变为保护他人免受伤害手段的原因所在。
因此,我们认为就物联网而言,在法规方面也需要采取类似防止空气污染的监管方法。
已经有一些法规影响了一些物联网设备,如主要针对电磁干扰的强制性FCC或CE认证,以及旨在保护用户数据的一般数据保护规范(GDPR)。
监管有时不够灵活,限制了创新,并增加了企业的运营成本,而且只覆盖最基本的东西。但这是可以改变的。
就像安全资深人士布鲁斯·施耐尔(Bruce Schneier)所说的那样:“我们需要重建对集体治理机构的信心。法律和政策可能看起来没有数字技术那么酷,但它们也是关键的创新领域。”
激励措施
无论生产过程中涉及的各方以及运营物联网设备的方式如何,都必须有效地激励他们生产和销售安全的产品,并激励最终客户正确安装这些设备。
朝着这个方向迈出的关键一步是让各方对不符合法律要求的设备造成的损害承担责任。由于生产完全安全的设备既不可能,也不符合经济利益,因此应强制规定适当的保险。这样,保险费就可以作为额外的灵活可能性来激励适当的设计和安装。
为此,需要一种有效的方法来评估设备的安全性。扩展的CE或FCC认证可以作为等式的一部分,而可靠、高效和及时的软件安全评估可能是迄今为止难以实现的另一部分。
到目前为止,软件认证提供商鼓励开发满足最低要求的软件,但那些制造更安全产品的公司却得不到奖励。此外,营利性组织通常不公开其测试程序,这使它们在许多专家看来都不可信。除此之外,他们的独立性经常受到质疑。
强制更新功能
除了从一开始就鼓励构建安全的产品外,软件驱动的产品必须经常更新。
即使制造商有足够的动力去投资适当的设计,也无法从技术上或经济上评估物联网设备在其生命周期中可能面临的所有威胁和问题。(来源物联之家)因此,做出反应和推出更新对于维护设备安全至关重要,并且对于所有物联网产品都是强制性的。
降低复杂性
一些物联网设备的使用案例(例如,在线烤面包机)会因法规和保险费而变得过于昂贵。这也许是个好主意,因为我们真的必须降低我们构建的系统的复杂性。
这可以通过以下两种方法来实现:要么不将它们互连,因为与日益增加的复杂性可能造成的损害相比,附加值太小了,要么通过锁定这些设备来实现。这意味着将它们放在安全的子网络中,以确保网络参与者不会影响它们。
总结
如果我们不改变我们开发和使用物联网设备的方法,我们将面临严重的麻烦。一般来说,政府只有在许多人受到伤害、公众舆论要求承担后果后才会采取行动。
我们必须预见这种发展,并减少在此过程中造成的损害。否则,我们将不得不迅速解决问题,而仓促行事通常不是采取立法行动的最佳因素。