物聯(lián)網(wǎng)的致命弱點(diǎn)：智能家居讓你家變成“黑客的家”

　　很多人都認(rèn)同信息安全的重要性，但又始終不當(dāng)一回事兒。互聯(lián)網(wǎng)犯罪也同樣如此，除非經(jīng)歷過(guò)，否則不會(huì)體會(huì)到它的嚴(yán)重性。受威脅的除了個(gè)人安全還有國(guó)家安全

　　韓國(guó)產(chǎn)業(yè)研究院認(rèn)為，2020年因物聯(lián)網(wǎng)信息安全問(wèn)題導(dǎo)致的經(jīng)濟(jì)損失將達(dá)到17兆8千億韓元(約合180億美元)?，F(xiàn)今的黑客行為主要發(fā)生在互聯(lián)網(wǎng)(虛擬空間)，表現(xiàn)為網(wǎng)上個(gè)人信息泄露或者金融賬戶上的犯罪;但進(jìn)入物聯(lián)網(wǎng)時(shí)代，其受害領(lǐng)域不僅包括網(wǎng)絡(luò)虛擬空間，也將涉及現(xiàn)實(shí)生活當(dāng)。這意味著除了個(gè)人隱私泄露、經(jīng)濟(jì)損失以外，個(gè)人的生命安全以及國(guó)家基礎(chǔ)設(shè)施也都將受到威脅。

　　被稱(chēng)為“黑客專(zhuān)用谷歌”、“物聯(lián)網(wǎng)谷歌”的Shodan是一款提供互聯(lián)網(wǎng)在線設(shè)備的搜索引擎。只要輸入搜索關(guān)鍵字，就可以幫你找到全世界在線的網(wǎng)絡(luò)攝像頭、路由器、信號(hào)燈、核電站等有信息漏洞的設(shè)備。CNN表示，世界上最強(qiáng)、最恐怖的互聯(lián)網(wǎng)搜索引擎不是谷歌，而是Shodan。該公司的創(chuàng)始人約翰·馬瑟利(John　Math-erly)表示，人們通常認(rèn)為谷歌不能搜索到的、找不到的，就真的找不到，但這不是事實(shí)。有些公司甚至利用Shodan尋找有安全漏洞的網(wǎng)絡(luò)節(jié)點(diǎn)，并公開(kāi)銷(xiāo)售獲利。Vupen就是其中一家涉及上述業(yè)務(wù)的互聯(lián)網(wǎng)安全公司。2015年初該公司更名為Zerodium，通過(guò)向全球的黑客購(gòu)買(mǎi)互聯(lián)網(wǎng)上的各種信息漏洞并銷(xiāo)售，實(shí)現(xiàn)了新的事業(yè)增長(zhǎng)點(diǎn)。最近又以100萬(wàn)美金的價(jià)格，公開(kāi)懸賞收購(gòu)蘋(píng)果iOS9的安全漏洞，引起各界的廣泛熱議。這些漏洞信息將被用在什么地方，想必所有人都心知肚明。所有與互聯(lián)網(wǎng)相連的事物，包括智能家庭、智能汽車(chē)、智能城市等顯得更加不安全和脆弱。

　　據(jù)估計(jì)，2020年將會(huì)有500億臺(tái)設(shè)備與互聯(lián)網(wǎng)連接，但目前的聯(lián)網(wǎng)設(shè)備僅僅為預(yù)測(cè)值的1%。即便如此，就已經(jīng)在家庭、工業(yè)、交通、廣播、醫(yī)療等各個(gè)領(lǐng)域發(fā)生了多次信息漏洞導(dǎo)致的安全事故。在這里列舉幾個(gè)代表性的案例：2014年11月，位于俄羅斯的一家名為Insecam的公司，在其網(wǎng)站上公布了被黑客破解的全球7.3萬(wàn)多臺(tái)監(jiān)控?cái)z像頭的信息;其中包括了位于寢室、起居室、游泳池的監(jiān)控?cái)z像頭，弄得人心惶惶。

　　智能家居讓你家變成“黑客的家”

　　2014年1月，美國(guó)一家安全技術(shù)企業(yè)Proofpoint表示，“通過(guò)電視和冰箱，已經(jīng)向全球各大企業(yè)及個(gè)人發(fā)送了75萬(wàn)件以上的垃圾信息和詐騙信息”。物聯(lián)網(wǎng)如果被破解，就可以遠(yuǎn)程控制家里的智能設(shè)備，即所謂的“Home　Hacking(家庭黑客)”;黑客可以隨心所欲地控制玄關(guān)的智能大門(mén)，解除監(jiān)控?cái)z像頭的監(jiān)視功能，甚至可以隨意控制室內(nèi)的溫控器。該領(lǐng)域的代表性企業(yè)Synack，就曾把谷歌收購(gòu)的監(jiān)控?cái)z像頭企業(yè)DropCam的信息漏洞找到并公之于眾;在外部攻擊密碼薄弱點(diǎn)(heartbleed)后，通過(guò)攝像頭監(jiān)控室內(nèi)，并偷偷打開(kāi)了攝像頭上的麥克;甚至在2014年國(guó)際安全技術(shù)大會(huì)(ISEC)上，現(xiàn)場(chǎng)破解了打掃機(jī)器人的安全系統(tǒng)，通過(guò)機(jī)器人身上的攝像頭，將室內(nèi)的環(huán)境一五一十地直播到大會(huì)現(xiàn)場(chǎng)。看來(lái)今后人們將不得不提防來(lái)自監(jiān)控?cái)z像頭以及打掃機(jī)器人的犀利眼神。

　　鑰匙還在手，車(chē)讓人開(kāi)跑了

　　前段時(shí)間Youtube上有一段視頻，內(nèi)容是兩名黑客破解了切諾基吉普車(chē)的安全系統(tǒng)，并實(shí)現(xiàn)了遠(yuǎn)程遙控。黑客們表示，他們只是想證明汽車(chē)也和電腦一樣，可以成為網(wǎng)絡(luò)攻擊的對(duì)象。因?yàn)檫@段視頻，菲亞特·克萊斯勒隨即宣布召回140萬(wàn)輛汽車(chē);知名打車(chē)軟件公司Uber甚至聘用了查理·米勒、克里斯·巴拉塞兩位頂級(jí)黑客，作為該公司的首席信息安全專(zhuān)家。這些黑客們也表示，購(gòu)買(mǎi)汽車(chē)的車(chē)主們無(wú)法為自己的愛(ài)車(chē)提供足夠的安全保障，只能寄希望于廠家為他們生產(chǎn)更加安全的汽車(chē)?？磥?lái)智能汽車(chē)以及無(wú)人汽車(chē)也不能安心地乘坐了。

　　醫(yī)療或者健康領(lǐng)域的情況又會(huì)如何呢?國(guó)際黑客·安保論壇上曾經(jīng)展示過(guò)現(xiàn)場(chǎng)破解醫(yī)療設(shè)備，并遠(yuǎn)程遙控糖尿病患者用的胰島素泵浦和心臟病患者用的心跳器的活動(dòng)。美國(guó)食藥監(jiān)督局(FDA)最近也開(kāi)始禁止使用具有互聯(lián)網(wǎng)功能、但缺少安全功能的藥物注射泵的使用。原因是物聯(lián)網(wǎng)被黑客破解的話，患者的生命也會(huì)受到危險(xiǎn)。據(jù)信息安全企業(yè)Symantec的測(cè)試結(jié)果顯示，智能手環(huán)的運(yùn)動(dòng)傳感器可以實(shí)現(xiàn)用戶的位置定位，所以提醒用戶謹(jǐn)慎使用各類(lèi)智能手環(huán)?？磥?lái)醫(yī)療、健康智能設(shè)備也成為了黑客們的“狩獵場(chǎng)”。

　　集成了傳感器以及基本通信功能的一般物聯(lián)網(wǎng)產(chǎn)品，它的安全漏洞更令人擔(dān)心。在如此低廉的設(shè)備上，幾乎不可能使用復(fù)雜又耗電的現(xiàn)有安全系統(tǒng)。并且有太多種類(lèi)的網(wǎng)絡(luò)環(huán)境、運(yùn)營(yíng)體系以及運(yùn)營(yíng)商，使用一個(gè)通用的安全系統(tǒng)難上加難;發(fā)現(xiàn)問(wèn)題也很難指定責(zé)任方。安全技術(shù)專(zhuān)家們表示，實(shí)現(xiàn)物聯(lián)網(wǎng)的安全，必須要由傳感器、設(shè)備、網(wǎng)絡(luò)、平臺(tái)、服務(wù)等領(lǐng)域各自推出安全方案，最后集成并實(shí)現(xiàn)一個(gè)綜合的解決方案。韓國(guó)政府已經(jīng)啟動(dòng)了物聯(lián)網(wǎng)信息安全路線圖計(jì)劃，力爭(zhēng)實(shí)現(xiàn)智能的、可以放心使用物聯(lián)網(wǎng)的國(guó)家。所有這一切都需要耗費(fèi)大量的資金投入，但為了保證物聯(lián)網(wǎng)的成功普及，這些都是必須要付出的代價(jià)。

　　除了物理安全，個(gè)人信息的保護(hù)也將變得越來(lái)越難。甚至是顧客的一些喜好數(shù)據(jù)都能作為產(chǎn)品，收集并銷(xiāo)售;包括顧客的方位、什么時(shí)候買(mǎi)了什么、喜歡什么食物等。物聯(lián)網(wǎng)時(shí)代，個(gè)人的所有信息都將存儲(chǔ)于物聯(lián)網(wǎng)設(shè)備中的某個(gè)模塊，個(gè)人信息不再是個(gè)人的。就如美國(guó)政府的棱鏡計(jì)劃，政府也參與到了入侵IT企業(yè)服務(wù)器的事件中。谷歌的埃里克·施密特會(huì)長(zhǎng)說(shuō)，“若想人不知，就離開(kāi)網(wǎng)絡(luò)?！敝灰B上了互聯(lián)網(wǎng)，信息泄露將不可避免。美國(guó)聯(lián)邦交易委員會(huì)委員長(zhǎng)艾迪斯·拉米雷斯在2015年CES主題演講時(shí)著重表示，物聯(lián)網(wǎng)或許現(xiàn)在正席卷IT行業(yè)，但仍然沒(méi)有建立讓消費(fèi)者信賴(lài)的體系。不管什么技術(shù)、服務(wù)，就算再先進(jìn)，如果沒(méi)有用戶安全和個(gè)人隱私的保障，也無(wú)法實(shí)現(xiàn)市場(chǎng)的容納。這將是物聯(lián)網(wǎng)所面臨的又一個(gè)難題。