您当前的位置：首页 > 无限物联

物联网虽好：只是连接越多，风险越大

2017-03-20 08:43:52

1389004156476

物联网(IoT)的发展可谓是风生水起。虽然早在几年前人们对物联网的迅猛发展就已有预测，但是随着物联网的概念愈来愈热，市面上出现了大量基于物联网而开发的连接装备：从与人们生活密切相干的智能恒温器、冰箱、洗衣机等家庭装备;到与人们生命密切相干的家庭安全摄像头、婴儿监视器、胰岛素泵、心脏起搏器等安全与卫生装备;再到与人们健康密切相干的健身追踪器、智能手表等可穿着装备。每种连接装备的出现，都为人们的生活增加了些许的智能。

但是，绝不使人惊讶的是，新技术的发明及公布常常伴随着人们及市场对连接装备安全性的耽忧。就在最近，1场风波降临在与互联网相连接的婴儿监视器的最新产品上，终究，该款产品被纳入智能装备安全调查的名列中。究其因，这款产品在使用进程中会很容易地被黑客入侵及攻击，这无疑惹恼了爱子的父母们，从而引发了剧烈地抗议。

据1些报导称，父母发现黑客会入侵婴儿监视器，偷窥婴儿的同时还会在深夜里对其大喊大叫。上周，纽约市消费事务局(The NYC Department of Consumer Affairs)发起了1项针对婴儿监视器安全性的调查，并对4家生产婴儿视频监视器的厂商发出传票，将他们所生产的装备作为安全漏洞调查的1部份。随后，美国联邦贸易委员会(Federal Trade Commission)在他们的网站首页上也发出了相干正告。

但是，关于黑客入侵婴儿监视器的报导已不是1件新鲜事。早在2013年，婴儿监视器的安全性问题就已被提出。值得注意的是，最新的报导剑指黑客专用搜索引擎「Shodan」，这个于2013年发布的搜索引擎，可以找到几近所有和互联网相干联的东西，固然包括物联网中的智能装备。Shodan能够在互联网上搜索到使用实时流化协议(RTSP)的装备。通常情况下，这些装备都没有基本的密码保护或只是简单的设置了默许密码，从而给Shodan搜索引擎提供了绝佳的机会，便于黑客的入侵。

但从历史上来看，很多没有配备摄像头的智能装备，如丰田普锐斯(Toyota Prius)、胰岛素泵和无线电水壶iKettle都很容易遭到攻击。虽然大家得承认，有1些黑客发起入侵攻击只是为了示威自己有这样做的能力，而不存在任何的歹意，但是，这仍然是1件发人深醒的事情。

谁该为此「买单」：装备生产商还是消费者?

当你购买1台连接装备，并依照生产商提供的说明书使用后，随之而来的除应享有的隐私和安全外，进出自由、经常发起攻击的黑客也如期而至，这简直太难以置信了。类似情况的出现也许是由于生产商对消费者产生了过量的期望，认为他们会及时地更新及安装安全补钉。但是，请记住，当消费者使用公共区域内的免费WiFi下载安装程序时，绝大多数的人是不会浏览相干的条款和条件的，更别提在家中安装家庭安全装置或婴儿监视器了。

在2015年初，美国联邦贸易委员会发布了1份有关物联网隐私与安全的报告，为研发物联网相干连接装备的公司提出了1系列建议。其中包括：

1.从1开始就为连接装备安装安全系统，而不是马后炮;

2.在辨认安全风险时，要沉思熟虑并制定1个「纵深防御(Defense-in-Depth)」战略，即便用多重防御策略来逐级管控安全要挟，用以抵抗某1个特定的风险;

3.斟酌并采取相干措施，以避免未经授权的用户访问消费者的装备、数据或存储在互联网上的个人信息;

4.对预期生命周期内的连接装备实行监控，并在可行的情况下，提供安全补钉，以覆盖已知的风险。

最后1点特别有趣，虽然添加了生产商监控连接装备的责任，但是监控多少、监控到甚么程度仍然是不明确的。

该报告还建议要对消费者进行相干的教育，包括视频教程、在装备上粘贴QR码和在销售网点提供不同设置向导的选择。

但是，值得注意的是，这份报告搜集的数据主要来源于18个月前的1次会议。技术发展如此飞快，即便所提出的建议值得称赞，但仍然缺少可以改变这1行业所需要的不竭动力。

法律上的先例?

美国联邦贸易委员会报告中所提及的这些原则在委员会触及的第1起互联网连接装备案件里得到了充分的阐释说明。委员会针对安全摄像头生产商TrendNet涉嫌虚报其软件是「安全的」发起投诉并将其登记在案。在其投诉中，委员会宣称：该公司不但通过明文的方式在互联网上传输用户的登录凭据，还通过明文的方式在用户的移动装备上贮存登录凭据。与此同时，生产商未能就消费者的隐私设置进行测试，没法确保所拍摄的视频能够实现真正意义上的「私密」。

由于这些被指控内容的存在，使得黑客能够很轻松地入侵及攻击消费者家中的安全摄像头，从而进行1系列未被授权的对婴儿睡觉、孩子顽耍及成年人平常生活的监控。

案件起因：黑客攻击了TrendNet的官方网站，并把700多位消费者使用家庭安全摄像头拍摄的视频发布在互联网上。

案件结果：该案规定，在未来的20年内，TrendNet公司必须每两年就取得1次来自第3方安全项目的评估。同时，公司被要求通知消费者有关摄像头和软件的更新来纠正他们在使用中存在的安全问题，并在接下来的两年里，为客户提供免费的技术支持，以帮助他们更新或卸载相干的软件。

制定与汽车安全和隐私漏洞相干的法律以保护驾驶员

2015年7月，参议员Ed Markey提出了1项名为「安全隐私在你车(Security and Privacy in Your Car，简称『SPY Car』)」的法案，该法案指点美国国家公路交通安全管理局(NHTSA)和联邦贸易委员会制定相干的联邦标准以确保汽车和驾驶员的安全和隐私。「SPY Car」法案还建立了1个公道的评分系统，为消费者了解车辆是如何保护驾驶员安全和隐私提供了最低标准。其中的1些细节包括：

1.要求车内的所有没有线接入点都通过渗透测试的评估，以避免黑客的入侵与攻击;

2.要求对搜集到的所有信息进行加密，以避免没必要要的访问;

3.要求生产商或第3方功能性供应商能够检测、报告及响应实时的黑客事件。

物联网装备的安全性在迅速下降。对物联网装备的保护应当出现在其发展中的各个阶段，新的安全漏洞会不断的出现，如果没有足够稳固的应对，那末消费者可能不会再信任任何的物联网装备。但是，值得注意的是，安全问题1直是现代生活中的1部份。没有强大的监管制度和来自消费者的巨大压力，物联网装备生产商是不可能为消费者带来长时间智能生活上的保护。

TAG：