当你购物的新的“智能”冰箱,可以做的一切,包括搞清楚,当你在牛奶低,或许你也应该考虑它的一些恶作剧的黑客采取的风险控制,并具有牛奶5000加仑发送到您的门。
不太可能,是的,但有可能。这很不方便。如果有个黑客在你不在的时候帮你开门呢?
这场景是真实的。它已被证明。十多年来,安全专家一直在说,在电子设备的世界里,“智能”并不意味着安全。他们警告说,如果不把安全放在首位,这些设备提供的便利将被网络犯罪分子破坏。
而大多数人说事情已经由于消费电子设备与嵌入式计算机的爆炸性增长变得更糟,因为这些警告开始,在部分。
在接受《保康网络安全周刊》采访时今年二月克雷格·海夫纳(Craig Heffner)是战术网络解决方案公司(Tactical Network Solutions)的脆弱性研究员,他直截了当地说。他说:“回顾15年前的计算机安全,找出我们从那时到现在遇到的每一个问题,你会发现它存在于嵌入式系统中。”
这将使以数量级增长的问题。在物联网(IOT)上月,美国联邦贸易委员会(FTC)主办的一个会议,该机构的董事长,伊迪丝·拉米雷斯说,现在3.5十亿传感器在网络上预计将增长到万亿在未来十年内。事实上,如今的许多新车已经安装了100多台嵌入式联网电脑。
她说:“五年前,上网的人比现在还多。”“到2020年,90%的汽车将拥有某种类型的汽车平台,而现在只有10%。到2015年,将有250亿的东西连接到互联网上。到2020年,这个数字将增长到500亿。在消费市场,智能设备将跟踪我们的健康状况,帮助我们远程监控年迈的家庭成员,减少我们的水电费,并告诉我们牛奶用完了。”
不过这一切,她说,将带着“不可否认”的隐私和安全风险。对此,她表示,美国联邦贸易委员会的立场是,“企业需要建立安全纳入自己的产品,没有例外。”
也许有一天。但大多数专家认为,情况正好相反——例外是一款智能产品,它实际上把安全作为关键组件。赫夫纳出席了FTC会议上一个讨论“联网家庭”的小组,他认为,“消费设备通常没有任何安全性,至少以今天的标准来看是没有的。”
在一次采访中,海夫纳说,最大的原因是,“人们不会基于产品的安全性做出购买决定。他们根据产品的特点、外观和价格来决定。为什么一个公司要把时间和金钱花在那些用户不关心也永远不会看到的东西上?”
[在d-Link网络视频录像机中的漏洞实现远程间谍,研究人员说,]
这一直是安全专家Bruce Schneier的英国电信首席安全技术官的口头禅,在一段时间。在一个博客文章,今年8月他说,从消费设备到大型工业控制系统,所有东西都“长期以来都可能被入侵”。
为什么?Schneier指责消费者和制造商,但主要是制造商。“安全是很难做到的,”他写道。“这需要专业知识,也需要时间。大多数公司对此并不关心,因为购买安全系统和智能家电的大多数客户并不知道该怎么关心。”
也许,至少到目前为止,他们还没有得到足够的理由去关心。虽然已经有了令人印象深刻、令人不安的例子,证明一个熟练的黑客可以轻而易举地控制家庭自动化系统,包括暖气、空调和门锁,但到目前为止,消费者还没有对这些风险产生任何重大恐慌。
Schneier认为,不应该期望消费者知道足够多的信息去关心。他写道:“很多黑客入侵都是因为用户没有正确配置或安装他们的设备,但这实际上是制造商的错。”“这些应该是消费者设备,而不是仅供安全专家使用的专用设备。”
智能设备制造商的标准响应,长期以来一直是使他们的产品真正保证会让他们太困难了消费者使用 - 安全性会破坏便利。
黑客学院(Hacker Academy)的创始人亚伦•科恩(Aaron Cohen)认为这两种观点都有一定道理。虽然他一直提倡在产品中加入安全元素,但他表示,必须在安全性和方便性之间取得平衡。
“大多数人把功能领先的安全性,”他说。“如果你让你的电视上,这样安全,你不能把它和关闭,你不会卖很多。如果你拔掉每个人的电脑,你会保证其安全,但你不会需要做一些工作。”
Cohen提倡安全软件开发生命周期(S-SDLC),使用开放Web应用程序安全项目(OWASP)的方法,他说,这解决了“低挂果实”的风险。他还说,他认为行业应该设定优先级,把更多的注意力放在对家庭进行上锁或解锁的设备的安全上,而不是那些开关暖气或侵入电视机的设备。
他说,很多风险分析可以集中在财务激励上。“在他们(黑客)能够通过入侵你的电视赚钱之前,这真的是他们最好的赚钱方式吗?”他说。
杰夫Hagins,CTO和SmartThings的创始人,谁也于FTC研讨会在面板上,是许多谁说,安全与便利是一个错误的二分法之一。Hagins告诉CSO他认为这是成本,比便利性的提高,是王牌的安全性,但既可以而且应该是一个优先事项。
他说:“优秀的用户体验设计很难,是的,将安全集成到优秀的设计中也很难。”“消费者会以他们能负担得起的价格,接受拥有最佳体验和所需功能的产品。保持这种平衡并不容易,但成功做到这种平衡的公司,同时将安全特性作为优先考虑,就可以获胜。”
据Cigital的首席技术官加里·麦格劳(Gary McGraw)说,在黯淡的预测中有一些好消息,他也是“建立安全体系”的长期倡导者。McGraw said that the FTC, under its previous CTO Edward Felten and current CTO Steven Bellovin, "has been extremely active in security and software security. Those guys are guru-level experts."
麦格劳说,而在智能设备的安全改进,“不会在一夜之间发生,”有进展“的重要领域,如移动安全性。”就像科恩,他说,在家电进展如冰箱可以晚一点。“你照顾的事项第一的东西,”他说。
对于这种情况是否正在发生,人们的看法褒贬不一。联邦贸易委员会的拉米雷斯在最近的一次会议上断言,“那些不重视安全措施的公司可能会发现联邦贸易委员会会这样做。”She cited a recent settlement the agency reached with TRENDnet, after a hacker was able to break into live feeds from 700 of the company's security cameras and make them available on the Internet.
但在和解协议中,并没有任何经济处罚的报道——只是禁止TRENDnet歪曲其软件是安全的,它必须解决安全风险,帮助客户修复他们的软件,并获得其安全程序的独立评估,为期20年。
施奈尔和海夫纳说,他们还没有看到在改善安全方面取得任何进展。“市场就是不存在,”Schneier在一次采访中说。
Heffner说他是,“联邦贸易委员会最近的行动和参与非常鼓舞,我认为这是朝着正确方向迈出的一步,但我不能说我已经看到了在嵌入式系统中的自己的安全有任何巨大变化。“
对于能够和应该做些什么,也有各种各样的意见。SmartThings的Hagins表示,在联邦贸易委员会加强监管之前,他考虑过,"作为一个行业,我们需要通过类似于pi - dss(信用卡和电子商务交易安全认证计划)的认证计划来尝试自我监管。"
Heffner是半信半疑这一倡议的有效性。“物联网已经存在了很长一段时间 - 只要不傻的名字 - 和制造商有多年调节自己,”他说。“我认为这是很明显,已经失败了。这是怎么回事突然激励他们现在就开始调整自己呢?”
Heffner补充说PCI的依从性也不能保证安全性。“你检查了所有的条目并不意味着你就不会被黑,”他说。
Hagins和施奈尔都表示,如果安全性是要在嵌入式设备完善,还必须有一个方法可以做的更新或补丁,修复漏洞。“来更新软件,甚至嵌入式固件的能力,是能力地址未被发现的漏洞的关键,” Hagins说。
“最大的问题是,有没有办法补一补,”施奈尔说,”因为这些东西激增,黑客们看到了更好的目标不是电脑而是路由器(像大多数家用设备连接到互联网)“。
最终,尽管消费者不能指望了解软件的安全性,专家预计这将需要消费压力的安全范式的变化。
“消费者认为产品是安全的,尽管没有人告诉他们这一点,”McGraw说。“因此,对安全的含蓄期望和现实情况之间存在很大的脱节。现在,他们对智能电视有多酷太兴奋了,但当他们的期望在火焰中下降时,消费者就会疯掉。到那时,企业就有理由做出回应了。”
一旦消费者了解不安全产品的风险,“他们会用脚投票,当涉及到购买,推荐和使用的设备,” Hagins说。
但这种意识可能会付出惨痛的代价。当被问及他是否认为智能消费设备将遭遇一场高调的、灾难性的黑客攻击,才能迫使市场解决这些产品的安全问题时,施奈尔表示,“很遗憾,我认为是这样。”
了解更多关于物理安全在CSOonline的物理安全部分。
通过其他的故事泰勒Armerding
这篇文章,“智能设备越来越智能,但仍然缺乏安全性”最初是由方案 。