物聯網雖好：只是連接越多 風險越大

时间：2016/2/7 23:17:23 来源：IT之家

　　物聯網（IoT）的發展可謂是風生水起。雖然早在幾年前人們對于物聯網的迅猛發展就已有預測，但是隨著物聯網的概念越來越熱，市面上出現了大量基于物聯網而開發的連接設備：從與人們生活密切相關的智能恒溫器、冰柜、洗衣機等家庭設備；到與人們生命密切相關的家庭安全攝像頭、嬰兒監視器、胰島素泵、心臟起搏器等安全與衛生設備；再到與人們健康密切相關的健身追蹤器、智能手表等可穿戴設備。每一種連接設備的出現，都為人們的生活增添了些許的智能。

　　然而，毫不令人驚訝的是，新技術的發明及公布往往伴隨著人們及市場對連接設備安全性的擔憂。就在最近，一場風波降臨在與互聯網相連接的嬰兒監視器的最新產品上，最終，該款產品被納入智能設備安全調查的名列中。究其因，這款產品在使用過程中會很容易地被黑客入侵及攻擊，這無疑惹惱了愛子的父母們，從而引發了激烈地抗議。　　

　　據一些報道稱，父母發現黑客會入侵嬰兒監視器，偷窺嬰兒的同時還會在深夜里對其大喊大叫。上周，紐約市消費事務局（The NYC Department of Consumer Affairs）發起了一項針對嬰兒監視器安全性的調查，并對4家生產嬰兒視訊監視器的廠商發出傳票，將他們所生產的設備作為安全漏洞調查的一部分。隨后，美國聯邦貿易委員會（Federal Trade Commission）在他們的網站首頁上也發出了相關警告。

　　然而，關于黑客入侵嬰兒監視器的報道已不是一件新鮮事。早在2013年，嬰兒監視器的安全性問題就已經被提出。值得注意的是，最新的報道劍指黑客專用搜索引擎「Shodan」，這個于2013年發布的搜索引擎，可以找到幾乎所有和互聯網相關聯的東西，當然包括物聯網中的智能設備。Shodan能夠在互聯網上搜索到使用實時流化協議（RTSP）的設備。通常情況下，這些設備都沒有基本的密碼保護或者只是簡單的設置了默認密碼，從而給Shodan搜索引擎提供了絕佳的機會，便于黑客的入侵。

　　但從歷史上來看，很多沒有配備攝像頭的智能設備，如豐田普銳斯（Toyota Prius）、胰島素泵以及無線電水壺iKettle都很容易受到攻擊。雖然大家得承認，有一些黑客發起入侵攻擊只是為了示威自己有這樣做的能力，而不存在任何的惡意，但是，這依然是一件發人深省的事情。

　　誰該為此「買單」：設備生產商還是消費者？

　　當你購買一臺連接設備，并按照生產商提供的說明書使用后，隨之而來的除了應享有的隱私和安全外，進出自由、時常發起攻擊的黑客也如期而至，這簡直太難以置信了。類似情況的出現或許是因為生產商對消費者產生了過多的期望，認為他們會及時地更新及安裝安全補丁。但是，請記住，當消費者使用公共區域內的免費WiFi下載安裝程式時，絕大多數的人是不會閱讀相關的條款和條件的，更別提在家中安裝家庭安全裝置或嬰兒監視器了。

　　在2015年初，美國聯邦貿易委員會發布了一份有關物聯網隱私與安全的報告，為研發物聯網相關連接設備的公司提出了一系列建議。其中包括：

　　1.從一開始就為連接設備安裝安全系統，而不是馬后炮；

　　2.在識別安全風險時，要深思熟慮并制定一個「縱深防御（Defense-in-Depth）」戰略，即使用多重防御策略來逐級管控安全威脅，用以抵御某一個特定的風險；

　　3.考慮并采取相關措施，以防止未經授權的用戶訪問消費者的設備、數據或存儲在互聯網上的個人資訊；

　　4.對預期生命周期內的連接設備實施監控，并在可行的情況下，提供安全補丁，以覆蓋已知的風險。

　　最后一點特別有趣，雖然添加了生產商監控連接設備的責任，但是監控多少、監控到什么程度依然是不明確的。

　　該報告還建議要對消費者進行相關的教育，包括視訊教程、在設備上粘貼QR碼以及在銷售網點提供不同設置向導的選擇。

　　然而，值得注意的是，這份報告收集的數據主要來源于18個月前的一次會議。技術發展如此飛快，即使所提出的建議值得稱贊，但依然缺乏可以改變這一行業所需要的不竭動力。

　　法律上的先例？

　　美國聯邦貿易委員會報告中所提及的這些原則在委員會涉及的第一起互聯網連接設備案件里得到了充分的闡釋說明。委員會針對安全攝像頭生產商TrendNet涉嫌虛報其軟體是「安全的」發起投訴并將其登記在案。在其投訴中，委員會聲稱：該公司不僅通過明文的方式在互聯網上載輸用戶的登錄憑據，還通過明文的方式在用戶的移動設備上儲存登錄憑據。與此同時，生產商未能就消費者的隱私設置進行測試，無法確保所拍攝的視訊能夠實現真正意義上的「私密」。

　　由于這些被指控內容的存在，使得黑客能夠很輕松地入侵及攻擊消費者家中的安全攝像頭，從而進行一系列未被授權的對嬰兒睡覺、孩子玩耍及成年人日常生活的監控。

　　案件起因：黑客攻擊了TrendNet的官方網站，并把700多位消費者使用家庭安全攝像頭拍攝的視訊發布在互聯網上。

　　案件結果：該案規定，在未來的20年內，TrendNet公司必須每兩年就獲得一次來自第三方安全項目的評估。同時，公司被要求訊息消費者有關攝像頭和軟體的更新來糾正他們在使用中存在的安全問題，并在接下來的兩年里，為客戶提供免費的技術支持，以幫助他們更新或者卸載相關的軟體。

　　制定與汽車安全和隱私漏洞相關的法律以保護駕駛員

　　2015年7月，參議員Ed Markey提出了一項名為「安全隱私在你車（Security and Privacy in Your Car，簡稱『SPY Car』）」的法案，該法案指導美國國家公路交通安全管理局（NHTSA）和聯邦貿易委員會制定相關的聯邦標準以確保汽車和駕駛員的安全和隱私。「SPY Car」法案還建立了一個合理的評分系統，為消費者了解車輛是如何保護駕駛員安全和隱私提供了最低標準。其中的一些細節包括：

　　1.要求車內的所有無線接入點都通過滲透測試的評估，以防止黑客的入侵與攻擊；

　　2.要求對收集到的所有資訊進行加密，以防止不必要的訪問；

　　3.要求生產商或第三方功能性供應商能夠檢測、報告及響應實時的黑客事件。

　　物聯網設備的安全性在迅速降低。對于物聯網設備的保護應當出現在其發展中的各個階段，新的安全漏洞會不斷的涌現，如果沒有足夠穩固的應對，那么消費者可能不會再信任任何的物聯網設備。但是，值得注意的是，安全問題一直是現代生活中的一部分。沒有強大的監管制度和來自消費者的巨大壓力，物聯網設備生產商是不可能為消費者帶來長期智能生活上的保護。

資料來源：http://www.haixiaol.com/n1281007.html