在信息技术(IT)行业,没有人会说物联网(IoT)正变得越来越安全。恰恰相反。
但这并不是因为缺乏努力。在过去的十年里,有多个正在进行的倡议,包括公共和私人的。可怕的警告、各种标准和最佳做法的公布、技术的改进、鼓励威胁信息共享的立法,以及来自政府机构、国会委员会、安全公司和会议发言人的劝诫。
不幸的是,到目前为止,他们都没有工作。
尽管世界上的一些最佳思想和技术改进专注于它,但大多数IOT的数十亿美元和数十亿个连接设备仍然是灾难性的不安全,缺乏专家称之为最基本的“安全卫生”。缺陷包括硬编码的凭据,简单和默认的用户名和密码以及缺乏修补或更新可利用漏洞的方式。
为什么否则正在基于台湾D-Link和它的美国合作伙伴D-Link系统最近被联邦贸易委员会(FTC)起诉声称其路由器和网络摄像头存在类似的基本安全漏洞?
为什么还将成为即将到来的主要主题之一RSA会议专注于这个问题?
因此,也许除了罪犯、恐怖分子和专制政权之外,所有人都想要的东西,都可以用老办法来启动:针对物联网数十亿设备的开发者和制造商的诉讼大幅增加。严厉制裁、罚款或赔偿责任的威胁通常足以引起高管层的注意。
当然,我们需要一些至少能让安全天平偏向好人的东西。
去年秋天的分布式拒绝服务针对DNS (Internet Domain Name Service)提供商Dyn的DDoS攻击是最近最引人注目的一个例子——它鲜明地说明,利用物联网设备的僵尸网络,摧毁互联网主干的一部分这样重要的东西是多么容易。
这一事件和其他许多袭击事件促使一些人最近高调呼吁加大力度政府参与监管物联网。去年11月,布鲁斯·施奈尔,弹性系统的首席技术官(最近被IBM收购);Viorta Labs的首席执行官Kevin Fu和密歇根大学教授;和戴尔·德鲁(Dale Drew)互联网骨干提供商第3级通信的CSO,告诉众议院能源和商业委员会为什么私营部门不会解决这个问题。舒恩斯称它,“基本市场失败”。
SEN.Mark Warner(D-VA)发了一封信,经过DYN攻击,向FTC,联邦通信委员会(FCC)和国土安全部门,询问是否有可能通过拒绝IP地址,请将不安全的设备免于互联网。
但监管方式仍然存在争议——隐私和民权组织表示,政府的介入将不可避免地导致政府在线监控比现在更加隐蔽。
Zach Lanier,Zach Lanier,Zach Lanier Zach Lanier in Comence in Promence in Coment,政府在互联网上涉及其而不是已经是互联网,“将同时净中立和自由市场的威胁。”
那么,为什么不得更多的诉讼,利用已经存在的政府法规?FTC稳步发展了一种成功的轨道记录,从而为安全失败带来了对公司的行动,从对温德姆连锁酒店的攻击,TRENDNet的监控摄像头有缺陷电脑硬件制造商asustek在其路由器和云服务中的缺陷。
这些案件最终都达成了协议,表面上看起来很温和,因为它们没有涉及任何罚款或责任。
在大多数情况下,协议只是要求该公司“建立并维持一个全面的安全项目,并在未来20年接受独立审计。”
但他们确实建立了FTC权威和监督,许多专家都是一个强大的工具。
CIGITAL CTO Gary McGraw,2015年9月博客邮政在公司网站上写道FTC的170个和解协议自1997年以来,“在功能上相当于普通法的身体......(和)靠近你可能想要的”规则“......他们的裁决有效地处理了处理个人信息的企业的土地。”
联邦贸易委员会依靠法律禁令
在大多数情况下,FTC依赖于“不公平或欺骗行为......”的法律禁令,以对IOT设备供应商带来行动 - 他们被指控为有希望的安全性但没有提供的“欺骗”。
随着时间的推移,FTC也从援引不仅仅是公司承诺,也是“合理”的消费者安全期望。
该机构最近的投诉,针对D-Link使用了这种模板——“没有采取合理的步骤来保护他们为美国消费者设计、销售和销售的路由器和互联网协议摄像头。”雷竞技比分
In other words, consumers have a right to expect – whether there is an explicit promise or not – that their device can’t be used to do malicious things such as spy on them, steal their identity or become part of a botnet used to attack other targets, including the internet backbone.
联邦贸易委员会拒绝就是否打算加大执法力度发表评论。一位女发言人只提到了该机构的网站,该网站称,FTC“有权为消费者寻求救济,包括禁令和赔偿,在某些情况下,还有权向违法者寻求民事处罚。”
但几个物联网专家表示,虽然FTC投诉是一个有价值的工具,但它们不会是一个不仅仅是各种“最佳实践”标准或其他举措的魔法子弹。
在IOT的漏洞中,Q-Tel的CISO丹GEER表示,他认为,尽管信息共享是“一个凌乱的话题”,但它必须存在于某些级别的实际进步。He和Richard Danzig,大学霍普金斯大学应用物理实验室的高级顾问,最近在IEEE安全和隐私文章中辩称不应该有“无声的失败”-那些被入侵的人应该分享有用的信息。
吉尔说:“如果我们想从失败中吸取教训,我们必须了解失败,而不是让失败保持沉默。”
当然,这种做法遭到了普遍的抵制,因为企业担心,如果对违规行为过于透明,可能会损害品牌,并暴露知识产权。但吉尔表示,该行业需要找到一种方法来做到这一点。“如果我们不能记分,我看不出我们如何取得进展,我想的分数很简单:在至少有一定程度的成功的情况下,你被攻击的频率是多少?”他说。
信息技术和创新基金会副总裁Daniel Castro表示,他认为,更好的IoT安全的路线必须包括对糟糕的安全性和更好的奖励来包括良好安全性的有效后果。
原则上,他并不反对联邦贸易委员会的执法行动。但他表示,“合理的安全”标准过于模糊,但如果过于具体和详细,可能会扼杀创新。
他说:“如果人们只是想在那里进行概念验证,如果他们不得不在安全上花费太多的时间和金钱,他们可能就不会这么做。”“很多人会说这太多了。你不能一刀切。”
他同意,消费者有权期待联网设备是“安全的”。但他表示,消费者意识尚未达到影响市场的水平。
“一个问题是,你如何使它成为如此,所以消费者认为”在决定购买什么时,他说。“现在,仍然没有激励,使其成为优先事项。”
阿伯丁集团(Aberdeen Group)高级研究分析师和编辑总监吉姆•拉波扎(Jim Rapoza)是一位认为消费者意识正在增强的专家。他说:“即使是现在,如果你寻找一些涉及安全问题的设备,比如一些保姆摄像头和家庭安全设备,你可以很快从零售网站上的评论中看出存在问题。”
卡斯特罗同意这应该是一个目标。“消费者不一定会关注细节,”他说,但如果你让行业对安全披露的方式进行标准化,那么你可能会看到绿色、黄色或红色标签之类的东西,行业会让消费者知道哪些公司表现不如同行。
Lanier还同意消费者的意识和产品的“审查”评分其安全性 - 类似于“消费者报告式评级系统”,将使消费者更容易做出明智的选择,因此将市场压力放在业内。
他说他不想看到“原型的”安全性法规要求,但我们开始用完选择。“
那也是GEER归结的地方。在另一篇文章中,这是美国罗宾斯特维京的罗宾·坎宁·坎宁·坎宁·坎宁普,标题为“邀请更多Heartbleed。”他指出,软件是少数几个本质上仍然不受监管的行业之一。
在其他行业,问题最终会导致屠杀,而且,“到了某个时候,屠杀跨越了痛苦的界限,监管开始了:高层建筑有防火通道,家庭用电有绝缘电线,火车有死亡开关,汽车有安全带,药品进行了临床测试,氟利昂被禁止了。”
因此,当物联网缺陷造成的损害达到某种程度的痛苦时,“我们认为,社会迟早会规范软件行业,这是一个既定的结论,”他和坎普写道。
他们写道,这项规定很可能采取产品责任的形式,其公式是,“如果你卖东西赚钱,那么你最好把它做好,否则你将为它造成的麻烦负责。”
或者,就像吉尔对CSO说的那样,“你要么让你的用户能够检查并关闭他们不想要的东西,要么让你——提供商——拥有结果。”
听起来会有更多的诉讼,而且不只是来自联邦贸易委员会。
这篇题为“联邦贸易委员会能拯救物联网吗?”的文章最初发表于方案 。