网络专家警告,数十亿新联网物联网设备上安全的松懈,可能造成毁灭性的后果
上周美国国会成员收到了一份关于物联网(IoT)安全漏洞的极其严重的警告,网络专家提请注意:随着数十亿新设备联网上线,协同黑客攻击可能会真正演变成事关生死问题。
美国众议院立法者召开了IoT安全听证会,以响应上月发生的互联网地址解析供应商Dyn遭分布式拒绝服务攻击事件。该事件造成了推特、Spotify等流行站点的短时下线。
但是该事件,虽然只对互联网用户造成了一定麻烦,令受影响公司蒙羞,但很可能只是会造成灾难性后果的更大攻击的前奏——大师级安全专家,哈佛肯尼迪政府学院讲师布鲁斯·施奈尔说。
系统越重要,情况越危险。Dyn攻击还算危害不大,只有十几个网站被弄下线了。IoT却能以直接的物理的方式影响世界——汽车、家居、恒温器、飞机,这对生命财产是真实的风险。
施奈尔和其他见证者对IoT安全状态给出了清醒的评估:数十亿设备在未来几年陆续上线,其中很多都是家用电器等日常用品,通常都是低利润量产货,制造商不会雇佣苹果或谷歌等科技公司里看到的那些安全专家团队来保护这些产品。
缺乏安全措施的IoT可能会造成极其严重的后果。施奈尔将这一情况描述为“市场失败”,称经济因素没能激励制造商在设计和生产阶段将严格的安全打造进去。一大波新产品上线过程中产生的软弱切入点,创造了设备被黑被征用组建成强力僵尸网络的环境,物理基础设施因而受到强烈威胁。
网络安全公司 Virta Labs 首席执行官,密歇根大学副教授凯文·傅说:“简言之,IoT安全极为不足。这些攻击没什么本质上的新意,但其复杂性,破坏的范围和对基础设施的冲击都是前所未有的。”
傅非常担忧医疗保健产业IoT黑客行为的影响,该行业中新联网设备被部署在敏感环境,具有显而易见的现实世界影响。
“如果不回答好这些问题,我们将面临一些很严重的问题。比如说,我害怕每个医院系统都宕机的那天来临——因为IoT攻击让整个医疗保健系统下线了。”
政府应在IoT安全中发挥作用
政府在撑起IoT安全中的恰当角色是个很微妙的问题。鉴于技术和发展的快速性和安全威胁进化的速度,两方立法者都承认监管单个技术无关紧要。
见证者建议,国家标准与技术局(NIST)或国家科学基金会(NSF)这种单位,可通过设置基于原则的规范,来帮助制造商和应用开发人员从一开始就将安全防护集成进去。
互联网骨干网提供商 Level 3 Communications 高级副总裁兼首席安全官戴尔·德鲁说:“我觉得最佳的入手点应该是标准。”
施奈尔也是强力安全标准的倡议者,建议将安全标准扩展到全球生产和供应链。但在政府角色的考虑上,他更进一步,称鉴于攻击预期将只会更糟,并有可能造成人员伤亡,联邦政府或迟或早都将不得不采取行动。
施奈尔称:“我觉得选择并非是政府参与或不参与,而是智慧的政府参与愚蠢的政府参与之间。”
他回忆了911袭击的直接后果,国会迅速授权成立了国土安全部——可能演变为在网络战场拥有广泛权力的臃肿官僚机构。
虽然宣称自己不是过度政府管制的支持者,施奈尔仍将网络攻击对现实世界可能造成的伤害视为采取行动的号角。简单来讲,“我们监管威胁事物。”
“在充满危险事物的世界,我们限制创新。你不能造架飞机就上天,因为它可能会坠落在某人的房顶。或许,互联网娱乐时代已经结束,因为互联网现在是危险的。”
本文转自d1net(转载)
