首页 > 物联网 > 正文

物联网不安全,硅谷难辞其咎

2016-06-02 11:58:39  来源:36kr

摘要:最近几年来,“物联网” 一词在硅谷一直是一个热词,因此当我们在一些科技类新闻中读到物联网黑客时,会觉得有种讽刺的意味。
关键词: 硅谷 物联网
  本文作者 Min-Pyo Hong 是旧金山一家移动端安全解决方案公司的创始人兼 CEO,他在文章中表示物联网行业之所以不安全的源头是硅谷的文化。

  
       最近几年来,“物联网” 一词在硅谷一直是一个热词,因此当我们在一些科技类新闻中读到物联网黑客时,会觉得有种讽刺的意味。最近几个月,VentureBeat 曾发表过几篇文章 “FBI 警告汽车制造商和用户,车辆具有被黑客袭击的风险”“物联网设备可能是特洛伊木马”。
 
  很多从事科技行业的人都有较深的黑客和恶意软件意识,常常认为这只是新平台成长的烦恼。但是对于广大消费者来说,这是非常严重的威胁,不仅对设备和个人数据来说是一种威胁,同时对自己的身体健康和家人的身心安全也是一种威胁。随着设备的不断增多,Google 最新发布的智能家具等新设备加剧了它的脆弱性,该行业整体上处于危险之中。
 
  我们该怎么解决这个问题呢?为了全面抓住这个问题,我们需要从基础层面了解一下为什么会有很多物联网黑客的问题,以及现在科技行业必须做什么才能解决这个问题。
 
  硅谷的文化使得物联网不安全
 
  随着移动 App 的快速发展,很多 PC 时代优秀的开发实践无法应用到物联网开发中。物联网设备使用的代码库与创建网站、App 或者 PC 软件使用的语言并没有发生根本性的改变。虽然事实如此,但是我常常在物联网产品中发现十几年前就已经知道的脆弱性,即使大公司的产品也有此类的问题。发布一款设备,但是客户的软件缺乏足够的保护措施,或者发布一款服务器间的加密交流设备,但是却无法确保设备的互联网联通协议安全。
 
  再次重申一下,这种失败并不是因为物联网是一种前沿科技,开发者们还在学习如何使用;而是因为人们忽视了长期建立起来的关于安全代码的传统意识,这将直接导致非常危险的事情,对消费者的安全造成了严重的危险。拿最近的一个案例来说,我们知道黑客经常攻击通过 Wi-Fi 连接的婴儿监控器,但是人们很少知道之所以可以进行攻击,是因为设备会发送、存储敏感的数据,包括证书和纯文本。
 
  这里的罪魁祸首不是代码,而是文化。在硅谷,人们最关注的是成为最新的平台,快速抢占市场。我们好像都患有失忆症。我们在移动生态圈里一遍又一遍地看到安全问题,因为经验不足的团队会匆忙地将自己的 App 放到市场上,使得很多产品都可以被攻击。重复这种模式,我们经常也会看到制造物联网设备的人具有很少或没有硬件经验,缺乏了解硬件、中间设备、软件之间相互关系的背景。
 
  开发新产品的市场
 
  所有这些文化的缺陷是连接设备的快速发展的结果。IDG 预测到 2020年 物联网市场将到达 17000 亿,Gartner 估计物联网的黑市交易到 2020年 将会超过 50 亿美元。诚然,物联网设备的恶意软件已经成为一个繁荣的行业,而且通过各种各样的攻击途径,它日渐变得越来越复杂。所有连接网络的设备都会受到恶意软件的影响,这意味着一个恶意软件可以影响连接的所有设备。由于系统的复杂性,很难确定问题的源头。
 
  我们该怎么办?
 
  基于以上列出的原因,科技公司工程师团队可能无法从内部进行改革,即使他们内心深处希望进行改变。但是,我认为解决问题的重任应该交给公司的领导以及投资人,他们可以施加压力,从现在开始改变。
 
  进行更多的审计:据 AT&T 在物联网方面的报告表示,开发产品的公司中每天检查一次或多次安全日志和警告的公司不到一半,检查安全日志和警告是当风险预测提高时必须的要做的一个步骤。更糟糕的是,在被调查的公司中,只有 14%的公司设置了正式的审计过程,帮助用户了解他们的设备是否安全;只有 17%的公司在做决策时会围绕物联网的安全问题进行讨论。
 
  不断监测并将安全过程自动化:公司需要对自己的设备情况更加透明。他们需要记录所有的设备活动,分类并立刻关闭可疑的活动和差异。由于连接端点在大量增加,物联网设备产生的数据量也在大幅度增减,在理想情况下,数据监测、危险监测和保护的整个过程都应该实现自动化。
 
  我们也应该自我反思一下。在一定程度上,硅谷对这些黑客有所纵容,肯定了他们的 “创造神话”,试想一下当年乔布斯和沃兹使用 “蓝盒子” 给教皇打恶作剧电话的事。这可能给行业留下了潜在的影响,人们将攻击无人驾驶汽车或者无人机看成一件非常酷的事情,而不是一件对生命造成潜在威胁的事件。我们应该在正确的平台上对正确的科技创意给予肯定,但是不要出现以下情况:对于某一种类型的产品,用户数十亿,但是安危未定,完全依赖大众对这种挑战的反应。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。