從小米攝像頭事件，到物聯(lián)網(wǎng)安全的“三重門(mén)”

原標(biāo)題：從小米攝像頭事件，到物聯(lián)網(wǎng)安全的“三重門(mén)”

智能物聯(lián)網(wǎng)出現(xiàn)之后，與之相關(guān)的安全問(wèn)題就沒(méi)有消停過(guò)。

不過(guò)，近年來(lái)像“黑客入侵心臟起搏器”“黑客攻破車(chē)聯(lián)網(wǎng)”這樣能引發(fā)好萊塢式炸裂場(chǎng)面的事故新聞，已經(jīng)不怎么讓大眾心潮起伏。

而替代它們的，則是一些不斷于細(xì)微處考驗(yàn)用戶(hù)心理承受能力的“日式驚悚”時(shí)刻。

比如說(shuō)前不久The Verge報(bào)道的，一位Reddit用戶(hù)將小米米家安全攝像頭連接到Google Nest Hub，卻意外看到了他人房屋內(nèi)部的圖像。其中，既有躺在客廳的老人，還有搖籃里的嬰兒。

一時(shí)間坊間嘩然，谷歌更是直接把自家設(shè)備上所有的小米設(shè)備集能暫時(shí)給禁了……

當(dāng)然，小米很快修復(fù)了相關(guān)軟件bug，從官方聲明中我們也看到，有相關(guān)使用場(chǎng)景的用戶(hù)是1044人，只有極少數(shù)可能受到影響。

實(shí)際上，包括亞馬遜、谷歌在內(nèi)的家居物聯(lián)科技公司，其產(chǎn)品都被爆出過(guò)有這樣那樣的問(wèn)題。比如亞馬遜的Ring攝像頭也曾被黑客攻破，對(duì)用戶(hù)自稱(chēng)是“圣誕老人”；360也曾為了防止攝像頭被惡意利用，永久關(guān)閉了水滴直播。

小孩子才會(huì)相信“圣誕老人”，大人只會(huì)相信“黑暗森林”邏輯——自家的智能設(shè)備背后有沒(méi)有一雙正在窺視的眼睛，它會(huì)在什么時(shí)候成為一把刺向家庭安全的尖刀？

隱藏在暗處的危險(xiǎn)，就如同那只總也掉不下來(lái)的靴子，讓用戶(hù)時(shí)時(shí)沉浸在想象的恐懼里。那么，究竟怎樣才能逃離“被直播”的命運(yùn)呢？

從好萊塢到日式驚悚：物聯(lián)網(wǎng)の安全怪談

解決物聯(lián)網(wǎng)安全問(wèn)題最直接有效的辦法，其實(shí)就是：

當(dāng)然，這是開(kāi)玩笑的。用一句流行的話(huà)——我們遇到什么困難，都不要懼怕它，消除恐懼的最好辦法就是面對(duì)恐懼，奧利給！

所以在討論物聯(lián)網(wǎng)安全狀況時(shí)，我們還是先弄清楚，物聯(lián)的安全水位，都經(jīng)歷了怎樣的發(fā)展階段。

第一個(gè)階段：政府與黑客的PK

物聯(lián)網(wǎng)安全開(kāi)始引發(fā)注意，要從21世紀(jì)的第一個(gè)十年說(shuō)起。

盡管目前公認(rèn)最早的概念出現(xiàn)，是1995年比爾蓋茨在《未來(lái)之路》一書(shū)中提及物聯(lián)網(wǎng)，但這一概念真正開(kāi)始成形，要到1999年美國(guó)召開(kāi)的移動(dòng)計(jì)算和網(wǎng)絡(luò)國(guó)際會(huì)議，明確了“物聯(lián)網(wǎng)”作為實(shí)物互聯(lián)網(wǎng)——“Internet of Things”的定位。

此后，物聯(lián)網(wǎng)就被抬上了國(guó)家舞臺(tái)，在政府主導(dǎo)下開(kāi)始鋪設(shè)，一大批物聯(lián)項(xiàng)目開(kāi)始崛起。比如2004年日本總務(wù)?。∕IC）就曾提出u-Japan計(jì)劃，就力求將日本建設(shè)成一個(gè)泛在網(wǎng)絡(luò)社會(huì)。

而最早，這些設(shè)備都是通過(guò)頻識(shí)別RFID技術(shù)與互聯(lián)網(wǎng)結(jié)合，配合GPS、紅外感應(yīng)器等信息傳感設(shè)備，借助無(wú)線(xiàn)數(shù)據(jù)通信來(lái)實(shí)現(xiàn)物品之間的交流。與IT設(shè)備相比的弱安全性，使其成為黑客挑戰(zhàn)政府權(quán)威、刷存在感的絕佳標(biāo)的。

像是2007年，美國(guó)副總統(tǒng)迪克·切尼心臟病發(fā)作，就是暗殺者遠(yuǎn)程攻破了他的心臟除顫器。2008年，波蘭的一個(gè)黑客則用改裝過(guò)的電視遙控器控制了波蘭第三大城市羅茲的有軌電車(chē)系統(tǒng)。2010年，美國(guó)得克薩斯州一個(gè)汽車(chē)經(jīng)銷(xiāo)商的電腦系統(tǒng)被入侵，然后大量客戶(hù)的車(chē)輛開(kāi)始故障，出現(xiàn)喇叭半夜鳴響、車(chē)輛無(wú)法發(fā)動(dòng)等bug。

聳人聽(tīng)聞的案件，此時(shí)正是普通大眾在新聞報(bào)紙上讀到的談資，但很快，危險(xiǎn)變開(kāi)始登堂入室了。

第二階段：消費(fèi)級(jí)物聯(lián)網(wǎng)的黑客帝國(guó)

到了第二個(gè)十年，國(guó)家基礎(chǔ)設(shè)施的信息化已經(jīng)基本完成，大眾消費(fèi)級(jí)市場(chǎng)開(kāi)始得到關(guān)注，物聯(lián)網(wǎng)也借助互聯(lián)網(wǎng)企業(yè)、家電廠(chǎng)商等助推，形成了如火如荼的發(fā)展之勢(shì)。

從2012年的87億臺(tái)，以每年30%的速度增長(zhǎng)。據(jù)美國(guó)有線(xiàn)電視協(xié)會(huì)（NCTA）預(yù)測(cè)，到2020年，連接設(shè)備的安裝基數(shù)預(yù)計(jì)將增長(zhǎng)到500億臺(tái)以上。

聯(lián)網(wǎng)設(shè)備越來(lái)越普及，可攻擊范圍與商業(yè)利益變廣，加上“安全性”總是消費(fèi)者巨選擇物聯(lián)網(wǎng)產(chǎn)品的次要要素，最終導(dǎo)致的結(jié)果就是，物聯(lián)網(wǎng)“被黑”成為全社會(huì)的潛在“毒瘤”。

最臭名昭著的2016年物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊，就是黑客通過(guò)操縱物聯(lián)網(wǎng)設(shè)備的漏洞，比如網(wǎng)絡(luò)攝像頭、智能開(kāi)關(guān)等，將其作為“肉雞”攻擊其他網(wǎng)絡(luò)設(shè)備。這場(chǎng)超過(guò)百萬(wàn)臺(tái)設(shè)備參與的DDoS攻擊，一度導(dǎo)致整個(gè)美國(guó)東海岸的互聯(lián)網(wǎng)癱瘓，Twitter、Paypal、Spotify 等網(wǎng)站被迫中斷服務(wù)，科技公司Dyn直接損失就超過(guò)了1.1億美元。

而眾多小微智能家居產(chǎn)品的出現(xiàn)，更是讓風(fēng)險(xiǎn)進(jìn)入了千家萬(wàn)戶(hù)。比如可以讓家長(zhǎng)和孩子們互相發(fā)送音頻信息的cloudspets智能玩具，就曾被發(fā)現(xiàn)父母的電子郵件和密碼以及語(yǔ)音記錄容易被黑客竊取，任何在10米范圍內(nèi)的人只要用普通智能手機(jī)就可以連接，一旦玩具被劫持，后果令人毛骨悚然。

物聯(lián)網(wǎng)的“短板效應(yīng)”，決定了其“技術(shù)下限”就能夠直接影響整個(gè)系統(tǒng)的安全性，這也是為什么，2015年短暫的“春天”之后，物聯(lián)網(wǎng)迄今為止一直在落地的過(guò)程中阻礙重重。

2018年，亞馬遜公布的物聯(lián)網(wǎng)操作系統(tǒng) FreeRTOS 以及 AWS 連接模塊的 13 個(gè)安全漏洞，該開(kāi)源操作系統(tǒng)已經(jīng)被應(yīng)用在包括汽車(chē)、飛機(jī)及醫(yī)療設(shè)備等 40 余種硬件平臺(tái)。而入侵者很容易利用漏洞破壞設(shè)備，獲得完全的控制權(quán)。

實(shí)際上，2018年Gartner發(fā)布的物聯(lián)網(wǎng)成熟度曲線(xiàn)顯示，物聯(lián)網(wǎng)市場(chǎng)還未達(dá)到谷底，距離反彈更是有著不少距離。

至少縱觀(guān)整個(gè)物聯(lián)網(wǎng)的發(fā)展，“安全”仍然是市場(chǎng)爆發(fā)的基礎(chǔ)條件。

從2019年的“5G元年”開(kāi)始，人們對(duì)海量物聯(lián)重新點(diǎn)燃了期待。尤其是在人工智能系統(tǒng)落地終端之后，幫助聯(lián)網(wǎng)設(shè)備獲得了源源不斷的計(jì)算能力。萬(wàn)物智聯(lián)的AIoT趨勢(shì)，能否成為物聯(lián)網(wǎng)市場(chǎng)的上揚(yáng)起點(diǎn)呢？

物聯(lián)網(wǎng)的安全桎梏，能否解綁單飛？

從幾個(gè)發(fā)展時(shí)期整體來(lái)看，物聯(lián)網(wǎng)的安全桎梏，始終存在三個(gè)關(guān)鍵要素的捆綁：

1.安全防護(hù)整體性理念的缺失

我們知道，物聯(lián)網(wǎng)從來(lái)都不是一個(gè)單獨(dú)的個(gè)體，如此多技術(shù)堆棧的排列組合，構(gòu)成了一個(gè)較為復(fù)雜的系統(tǒng)，也提供了多樣的攻擊性窗口。

舉個(gè)例子，2018年北美一家賭場(chǎng)曾發(fā)生一起黑客攻擊事件，竟然是通過(guò)一個(gè)魚(yú)缸實(shí)現(xiàn)的。這個(gè)魚(yú)缸使用物聯(lián)網(wǎng)進(jìn)行自動(dòng)清潔、喂食等功能，也因此連著賭場(chǎng)的網(wǎng)絡(luò)，尋常并不會(huì)有人注意到，也就成了網(wǎng)絡(luò)中最薄弱的安全環(huán)節(jié)。

可以說(shuō)，設(shè)備的“技術(shù)最短板”就是整屋物聯(lián)網(wǎng)的“安全最長(zhǎng)板”。物聯(lián)網(wǎng)需要的安全水位，需要考慮到所有小而密的微點(diǎn)，但許多產(chǎn)品制造企業(yè)在消費(fèi)級(jí)物聯(lián)網(wǎng)部署的初期，都會(huì)將安全性作為低優(yōu)先級(jí)的考慮因素，付出額外的精力投入在安全能力研發(fā)上，無(wú)疑是自己先掏了一筆“罰金”。企業(yè)沒(méi)有考慮到具體產(chǎn)品如何與整個(gè)安全系統(tǒng)對(duì)接，使用中自然漏洞百出。

2.缺乏嚴(yán)格統(tǒng)一的加密標(biāo)準(zhǔn)

當(dāng)然，實(shí)現(xiàn)物聯(lián)網(wǎng)的微點(diǎn)安全管理，除了廠(chǎng)商的主觀(guān)意愿，還會(huì)受到加密技術(shù)的水平限制與標(biāo)準(zhǔn)體系的困擾。

未做加密，或使用弱密碼，是物聯(lián)網(wǎng)設(shè)備出現(xiàn)安全風(fēng)險(xiǎn)的頭號(hào)殺手。據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)公布的數(shù)據(jù)顯示，所有IoT終端中，80%的設(shè)備存在隱私泄露或?yàn)E用的風(fēng)險(xiǎn)，80%的設(shè)備使用弱密碼、70%的設(shè)備的網(wǎng)絡(luò)通訊沒(méi)有加密、60%設(shè)備的web界面存在漏洞、60%設(shè)備的軟件更新未做加密。

一方面，物聯(lián)網(wǎng)設(shè)備使用的通信協(xié)議十分多樣，除了Zigbee、藍(lán)牙、WIFi主流選擇之外，也會(huì)用到HTTP、HTTPS、XMPP等互聯(lián)網(wǎng)協(xié)議。這就導(dǎo)致，要讓安全能力泛化在物聯(lián)網(wǎng)的每個(gè)環(huán)節(jié)，需要進(jìn)行充分考慮和規(guī)劃。而硬件端里可能僅有幾K字節(jié)的運(yùn)行USC泛在安全保護(hù)架構(gòu)代碼，存儲(chǔ)能力、計(jì)算能力都極為有限，無(wú)法像IT設(shè)備一樣部署傳統(tǒng)的安全軟件或高復(fù)雜度的解密算法，這就讓黑客們有機(jī)可乘。

比如前面提到的2016僵尸網(wǎng)絡(luò)攻擊Dyn的黑客只試了35個(gè)密碼，就碰到了正確答案。

另外，大部分智能物聯(lián)設(shè)備如智能家居，對(duì)系統(tǒng)的實(shí)時(shí)性要求不高，信息傳輸允許延遲，這就極有可能出現(xiàn)系統(tǒng)軟硬件升級(jí)困難或者忘記更新維護(hù)的情況，從而導(dǎo)致自身安全防御體系很快落后，在新出現(xiàn)的網(wǎng)絡(luò)攻擊方式和病毒面前變成“脆皮兒”。

3.SoC系統(tǒng)級(jí)AI芯片在物聯(lián)網(wǎng)領(lǐng)域應(yīng)用尚不足

既然終端設(shè)備加密困難，那么不如將“安全水位”做到云級(jí)別，是不是就能從根本上實(shí)現(xiàn)物聯(lián)安全呢？理論上是可行的，越來(lái)越多的物聯(lián)設(shè)備開(kāi)始按照“端-管-云”構(gòu)架鋪設(shè)，將安全解決方案交給專(zhuān)業(yè)的云計(jì)算企業(yè)來(lái)實(shí)施，從而實(shí)現(xiàn)物聯(lián)網(wǎng)系統(tǒng)的整體安全管控。

那么，這個(gè)云端大腦的性能就至關(guān)重要了。

如何讓云端與邊緣產(chǎn)生智慧、實(shí)時(shí)的響應(yīng)與協(xié)作，讓物聯(lián)網(wǎng)和AI系統(tǒng)實(shí)現(xiàn)雙向交互，互相輔助優(yōu)化，SoC這種整合了嵌入式處理器和無(wú)線(xiàn)通訊的系統(tǒng)級(jí)芯片，就成了開(kāi)路先鋒。

作為安全系統(tǒng)的集中單元，SoC芯片顯著地降低了使用功耗，更適合在物聯(lián)網(wǎng)終端部署。與此同時(shí)，兼具計(jì)算能力，可以取代傳統(tǒng)處理單元和工業(yè)網(wǎng)絡(luò)連接，讓安全防御不再以孤島的形式運(yùn)轉(zhuǎn)，而是依托云計(jì)算進(jìn)行連通，實(shí)現(xiàn)整體管控。

不過(guò)目前市面上整合了AI能力、能夠應(yīng)用于大規(guī)模物聯(lián)網(wǎng)的SoC芯片還并不多見(jiàn)，聯(lián)發(fā)科的第一顆5G SoC芯片價(jià)格就高達(dá)70美元，未來(lái)物聯(lián)網(wǎng)智能安全防護(hù)，還需要半導(dǎo)體領(lǐng)域持續(xù)發(fā)力護(hù)航，才有可能不給惡意攻擊一絲可乘之機(jī)。

總而言之，物聯(lián)網(wǎng)的特性決定了，其所面臨的安全問(wèn)題遠(yuǎn)比互聯(lián)網(wǎng)更復(fù)雜。而其應(yīng)用又必定會(huì)越來(lái)越與人們的日常生活產(chǎn)生高粘度、自動(dòng)化的連接，如何在A(yíng)IoT的底座上建立一個(gè)產(chǎn)業(yè)安全大廈，需要的是將新的準(zhǔn)則嵌入到各個(gè)行業(yè)、各個(gè)企業(yè)、各個(gè)業(yè)務(wù)當(dāng)中。

目前，還沒(méi)有一個(gè)可以讓人放下恐懼的方式來(lái)讓我們告別那些“安全鬼故事”。

可以肯定的是，唯有將散落的星子統(tǒng)一成銀河，才能讓物聯(lián)網(wǎng)安全清晰地呈現(xiàn)在世人面前。到那時(shí)提起物聯(lián)網(wǎng)，人們想到的，不再是“日式驚悚”的無(wú)限未知和恐懼，而是對(duì)一個(gè)全新市場(chǎng)崛起的期待，以及為萬(wàn)物智聯(lián)璀璨盛景的無(wú)限心折。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。