物联网(IoT)的发展可谓是风生水起。虽然早在几年前人们对于物联网的迅猛发展就已有预测,但是随着物联网的概念越来越热,市面上出现了大量基于物联网而开发的连接设备:从与人们生活密切相关的智能恒温器、冰箱、洗衣机等家庭设备;到与人们生命密切相关的家庭安全摄像头、婴儿监视器、胰岛素泵、心脏起搏器等安全与卫生设备;再到与人们健康密切相关的健身追踪器、智能手表等可穿戴设备。每一种连接设备的出现,都为人们的生活增添了些许的智能。
然而,毫不令人惊讶的是,新技术的发明及公布往往伴随着人们及市场对连接设备安全性的担忧。就在最近,一场风波降临在与互联网相连接的婴儿监视器的最新产品上,最终,该款产品被纳入智能设备安全调查的名列中。究其因,这款产品在使用过程中会很容易地被黑客入侵及攻击,这无疑惹恼了爱子的父母们,从而引发了激烈地抗议。
据一些报道称,父母发现黑客会入侵婴儿监视器,偷窥婴儿的同时还会在深夜里对其大喊大叫。上周,纽约市消费事务局(The NYC Department of Consumer Affairs)发起了一项针对婴儿监视器安全性的调查,并对4家生产婴儿视频监视器的厂商发出传票,将他们所生产的设备作为安全漏洞调查的一部分。随后,美国联邦贸易委员会(Federal Trade Commission)在他们的网站首页上也发出了相关警告。
然而,关于黑客入侵婴儿监视器的报道已不是一件新鲜事。早在2013年,婴儿监视器的安全性问题就已经被提出。值得注意的是,最新的报道剑指黑客专用搜索引擎「Shodan」,这个于2013年发布的搜索引擎,可以找到几乎所有和互联网相关联的东西,当然包括物联网中的智能设备。Shodan能够在互联网上搜索到使用实时流化协议(RTSP)的设备。通常情况下,这些设备都没有基本的密码保护或者只是简单的设置了默认密码,从而给Shodan搜索引擎提供了绝佳的机会,便于黑客的入侵。
但从历史上来看,很多没有配备摄像头的智能设备,如丰田普锐斯(Toyota Prius)、胰岛素泵以及无线电水壶iKettle都很容易受到攻击。虽然大家得承认,有一些黑客发起入侵攻击只是为了示威自己有这样做的能力,而不存在任何的恶意,但是,这依然是一件发人深省的事情。
谁该为此「买单」:设备生产商还是消费者?
当你购买一台连接设备,并按照生产商提供的说明书使用后,随之而来的除了应享有的隐私和安全外,进出自由、时常发起攻击的黑客也如期而至,这简直太难以置信了。类似情况的出现或许是因为生产商对消费者产生了过多的期望,认为他们会及时地更新及安装安全补丁。但是,请记住,当消费者使用公共区域内的免费WiFi下载安装程序时,绝大多数的人是不会阅读相关的条款和条件的,更别提在家中安装家庭安全装置或婴儿监视器了。
在2015年初,美国联邦贸易委员会发布了一份有关物联网隐私与安全的报告,为研发物联网相关连接设备的公司提出了一系列建议。其中包括:
1.从一开始就为连接设备安装安全系统,而不是马后炮;
2.在识别安全风险时,要深思熟虑并制定一个「纵深防御(Defense-in-Depth)」战略,即使用多重防御策略来逐级管控安全威胁,用以抵御某一个特定的风险;
3.考虑并采取相关措施,以防止未经授权的用户访问消费者的设备、数据或存储在互联网上的个人信息;
4.对预期生命周期内的连接设备实施监控,并在可行的情况下,提供安全补丁,以覆盖已知的风险。
最后一点特别有趣,虽然添加了生产商监控连接设备的责任,但是监控多少、监控到什么程度依然是不明确的。
该报告还建议要对消费者进行相关的教育,包括视频教程、在设备上粘贴QR码以及在销售网点提供不同设置向导的选择。
然而,值得注意的是,这份报告收集的数据主要来源于18个月前的一次会议。技术发展如此飞快,即使所提出的建议值得称赞,但依然缺乏可以改变这一行业所需要的不竭动力。
法律上的先例?
美国联邦贸易委员会报告中所提及的这些原则在委员会涉及的第一起互联网连接设备案件里得到了充分的阐释说明。委员会针对安全摄像头生产商TrendNet涉嫌虚报其软件是「安全的」发起投诉并将其登记在案。在其投诉中,委员会声称:该公司不仅通过明文的方式在互联网上传输用户的登录凭据,还通过明文的方式在用户的移动设备上储存登录凭据。与此同时,生产商未能就消费者的隐私设置进行测试,无法确保所拍摄的视频能够实现真正意义上的「私密」。
由于这些被指控内容的存在,使得黑客能够很轻松地入侵及攻击消费者家中的安全摄像头,从而进行一系列未被授权的对婴儿睡觉、孩子玩耍及成年人日常生活的监控。
案件起因:黑客攻击了TrendNet的官方网站,并把700多位消费者使用家庭安全摄像头拍摄的视频发布在互联网上。
案件结果:该案规定,在未来的20年内,TrendNet公司必须每两年就获得一次来自第三方安全项目的评估。同时,公司被要求通知消费者有关摄像头和软件的更新来纠正他们在使用中存在的安全问题,并在接下来的两年里,为客户提供免费的技术支持,以帮助他们更新或者卸载相关的软件。
制定与汽车安全和隐私漏洞相关的法律以保护驾驶员
2015年7月,参议员Ed Markey提出了一项名为「安全隐私在你车(Security and Privacy in Your Car,简称『SPY Car』)」的法案,该法案指导美国国家公路交通安全管理局(NHTSA)和联邦贸易委员会制定相关的联邦标准以确保汽车和驾驶员的安全和隐私。「SPY Car」法案还建立了一个合理的评分系统,为消费者了解车辆是如何保护驾驶员安全和隐私提供了最低标准。其中的一些细节包括:
1.要求车内的所有无线接入点都通过渗透测试的评估,以防止黑客的入侵与攻击;
2.要求对收集到的所有信息进行加密,以防止不必要的访问;
3.要求生产商或第三方功能性供应商能够检测、报告及响应实时的黑客事件。
物联网设备的安全性在迅速降低。对于物联网设备的保护应当出现在其发展中的各个阶段,新的安全漏洞会不断的涌现,如果没有足够稳固的应对,那么消费者可能不会再信任任何的物联网设备。但是,值得注意的是,安全问题一直是现代生活中的一部分。没有强大的监管制度和来自消费者的巨大压力,物联网设备生产商是不可能为消费者带来长期智能生活上的保护。
本文转自d1net(转载)