通过开发硬件设备及其后端系统的原型和销售物联网设备,我们了解了物联网安全的许多陷阱和问题。
事实证明,几乎所有的互联网设备都很容易受到攻击。研究人员表,自动驾驶汽车、植入式医疗设备和投票机可以远程控制,当然还有其他类型“智能”设备,如门锁、灯泡、恒温器等。在奥地利,如果酒店不支付比特币赎金,客人将无法打开门。
后果是显而易见的。未经授权的人控制关键设备和基础设施是噩梦。显然,一些攻击甚至会造成生命损失——想想汽车刹车故障或操纵飞机系统。
然而,除了控制这些设备及其行为的后果外,这些设备还带来了更大的威胁:它们是攻击者入侵同一 *** 中其他系统的跳板,这可能更为关键。想象一下,一家大公司的文件或电子邮件服务器在 *** 中有一个不安全的IP摄像头被黑客攻击。黑客使用价值50美元的设备作为攻击媒介获取非常敏感的信息。或者考虑使用 *** 作的物联网设备对域名系统进行分布式拒绝服务攻击Netflix、Yahoo其他公司的服务不能长期使用。
物联网易受攻击的原因
攻击物联网设备的吸引力显著增加,因为这些设备的利用率在过去几年增加了很多,而且很容易破解。
另一个因素是,大多数系统都在统一的软件堆栈上运行。因此,当攻击者知道如何接管特定的模型或操作平台时,他通常可以访问更多具有类似特征的设备。
攻击这些设备的潜在好处进一步增加,因为它们被用于越来越多的关键应用,通常连接到包含关键系统的 *** ,可以这样渗透。
因此,在过去的几年里,攻击利益发生了很大的变化,有利于攻击者,并使攻击它们成为一个很好的生意。
但为什么这些设备容易受到攻击呢?
(1) 增加攻击面
大多数物联网设备都提供了许多功能,包括存储和处理能力以及重要的软件堆栈——通常是功能完善的设备操作系统。软件和功能在系统中的增加会导致攻击面更大,从而使攻击可能性更大。
特别是对于连接的异构环境,设备中的漏洞可能会导致对其他设备的攻击。日益复杂的连接和访问可能性使环境更难以监测、保护和控制。
一个简单的例子:过去,入侵医疗设备的 *** 是闯入医院的机房,然后连接到串行接口刷新固件,但现在黑客可以坐在世界另一端的沙发上,使用传统的通信 *** 和他的笔记本电脑攻击医疗设备。在损坏该设备后,他可以检查 *** 的其他部分,并找到其他有希望的目标。
(2) 供应商没有建立安全系统的动力
硬件建设是一个复杂而持久的过程,芯片组的价格相对较低。此外,物联网领域的技术发展非常迅速,特别是在无线通信标准方面。因此,硬件制造商宁愿投资于支持新功能和标准的新芯片组,也不愿修复旧芯片组。
物联网设备本身通常由第三方硬件和软件开发商构建,这些供应商没有建立安全系统的动力,因为客户根据功能和定价做出购买决策,而不是根据安全性或工程质量。因此,过时的软件、固件和硬件(已知的安全漏洞)经常被用来运行设备,因为修复缺陷或使其软件适应已修复的第三方库意味着大量的工作。有时这甚至是不可能的,因为驱动程序通常只能用作二进制文件。
最新的编译器可以帮助修复软件中最严重的安全缺陷,但更糟糕的是,开发环境通常完全过时。
即使是这些设备的运营商也没有真正解决问题的动力,因为设备通常只被视为销售其他服务的媒介。
(3) 运营自有物联网设备的公司缺乏专业知识
销售和运营自己物联网设备的公司通常不把硬件或软件开发视为其核心能力,因此缺乏关于如何构建安全设备和服务的专业知识。
看看物联网设备的生态系统。锁、加热器、冰箱和汽车制造商现在正在生产它们IT产品——他们很难雇佣必要的人才来生产和开发产品,甚至很难有效地协调服务伙伴。
为什么修复起来这么困难?
在过去,我们关注的是我们必须保护服务器和客户端计算机。经过20世纪90年代的痛苦教训,我们在保持系统安全方面做得更好。这并不是因为我们修复了软件开发过程,以避免错误,而是因为我们在没有用户交互的情况下,通过推出自动更新和快速修复关键错误,非常擅长修复问题。智能手机也是如此。
我们有数十亿这样的设备,但奇怪的是,到目前为止,我们还没有遇到全球安全问题,因为一旦发现缺陷,制造商将提供软件更新,以相对快速地解决安全问题。
然而,物联网的情况却不同。
(1) 不能解决更新问题
由于大多数物联网设备的存储和 *** 带宽有限,通常不可能通过软件更新来解决安全问题。有时安装和更新是可能的,但安装过程非常繁琐和危险。一些物联网设备的产品使用寿命长,这使得这个问题更加严重。因此,可能的情况是,易受攻击的冰箱在线25年,没有修复。
(2) 自主操作
即使可以更新,用户也不会定期检查。因此,不必要、过时或异常行为的设备往往不受重视。通常,设备只需设置一次即可独立运行,但很少有设备支持自动更新。更糟糕的是,设备总是在线,通常有默认密码和配置。
(3) 对软件缺陷造成的损坏不承担赔偿责任
软件许可通常排除所有损害赔偿责任。因此,物联网设备的运营商没有动力修复其产品的缺陷,或确保指导其硬件和软件服务提供商仔细构建安全可靠的产品。相反,他们将损害成本外部化。
如何修复物联网?
由于缺乏适当的开发投资,物联网设备安全性不足会给他人造成损失,从而造成外部效应。这些外部例子是,在DDOS在攻击中,设计不良的物联网设备使第三方服务不可用,或不安全的自动驾驶汽车撞倒行人。
空气污染也是如此。一家不使用过滤器清洁废气的公司会产生外部影响,因为污染成本会强加给他人,比如被污染的空气会给生活在城市的人带来严重的健康问题。
在某些情况下, *** 采取措施避免这些外部效应,并颁布了过滤废气的法律法规。将外部问题内部化的另一种 *** 是二氧化碳排放证书,试图使公司的成本与其对外部影响相匹配。
在物联网时代,外部效应越来越严重,这就是为什么我们呼吁将安全从保护转变为保护他人免受伤害。
因此,我们认为,就物联网而言,还需要采取类似的监管 *** 来防止空气污染。
一些法律法规影响了一些物联网设备,如强制性电磁干扰FCC或CE一般数据保护保护标准,旨在保护用户数据(GDPR)。
有时候监管不够灵活,限制创新,增加企业运营成本,只覆盖最基本的东西。但这是可以改变的。
就像资深安全人士布鲁斯一样·施耐尔(Bruce Schneier)说:“我们需要重建对集体治理机构的信心。法律和政策可能没有数字技术那么酷,但它们也是关键的创新领域。”
激励措施
无论生产过程中涉及的各方和物联网设备的运行方式如何,都必须有效地鼓励他们生产和销售安全的产品,并鼓励最终客户正确安装这些设备。
朝着这个方向迈出的关键一步是让各方对不符合法律要求的设备造成的损坏负责。由于生产完全安全的设备既不可能,也不符合经济利益,因此应强制规定适当的保险。这样,保险费就可以作为激励适当设计和安装的额外灵活可能性。
因此,需要一种有效的 *** 来评估设备的安全性。CE或FCC认证可以作为等式的一部分,可靠、高效、及时的软件安全评估可能是迄今为止难以实现的另一部分。
到目前为止,软件认证提供商鼓励开发满足更低要求的软件,但制造更安全产品的公司没有得到奖励。此外,营利组织通常不披露其测试程序,这使得它们在许多专家眼中不可信。此外,他们的独立性经常受到质疑。
强制更新功能
软件驱动的产品必须经常更新,除了从一开始就鼓励,还必须经常更新。
即使制造商有足够的动力投资于适当的设计,也无法从技术或经济上评估物联网设备在其生命周期中可能面临的所有威胁和问题。因此,反应和更新对维护设备安全至关重要,所有物联网产品都是强制性的。
降低复杂性
由于法律法规和保险费,一些物联网设备的使用案例(如在线烘焙面包机)将变得过于昂贵。这可能是个好主意,因为我们真的必须降低我们构建的系统的复杂性。
这可以通过以下两种 *** 来实现:要么不连接,因为附加值太小,要么通过锁定这些设备来实现。这意味着将它们放置在安全的子 *** 中,以确保 *** 参与者不会影响它们。
总结
如果我们不改变我们开发和使用物联网设备的方式,我们将面临严重的麻烦。一般来说, *** 只会在许多人受到伤害和公众舆论的要求后采取行动。
我们必须预见这一发展,并减少在这一过程中造成的损害。否则,我们将不得不迅速解决问题,而匆忙通常不是立法行动的更佳因素。