中青在线版权与免责声明

中国青年报手机版

中国青年报手机版二维码

中国青年报-中青在线官方微信

中国青年报-中青在线官方微信平台

2015年08月19日 星期三
中青在线

安全和隐私面临严峻威胁

为物联网时代欢呼?且慢!

[美]泽奈普·图费克奇 《 青年参考 》( 2015年08月19日   03 版)

    在网络上解决安全问题始终比较困难,但物联网根本不应建立在有问题的基础上。以给缺陷打补丁的方式应对数字化威胁,就像只给病重者吃阿司匹林一般。


    牛奶快要喝完时将其自动加入购物清单的电冰箱,可以统计内存现金量的保险柜,拥有帮助提高命中率的电脑辅助功能的狙击枪,可以通过互联网播放音乐的汽车……

    这些新事物乍一听起来非常棒——直到你了解它们可能带来的威胁为止。最近,两名安全研究人员坐在沙发上,只通过笔记本电脑就“接管”了一辆正在公路上疾驰的切诺基,甚至关闭了车的引擎。对这两名“白帽黑客”来说,只要知道汽车的互联网协议地址,他们就能把车辆的娱乐系统转变成侵入转向装置、刹车系统及传动装置的秘密通道。

    这是个引人注目的例子,可以说明即将到来的物联网时代会出现什么危险。更方便、安全本是各种可联网设备的卖点,但另一方面,它们更是冲向隐私和安全性灾难的高速列车。

    随着互联网用户增加到30多亿,因为受制于成本、缺乏远见及利益冲突,加强安全的努力不断受阻。将日常用品与不稳定不安全的网络连接起来,会创造一个易受攻击的物联网。这是不负责任的,会带来灾难性后果。

    智能保险柜?黑客只需一个U盘即可将其洗劫一空,同时清除存取款的证据。高科技狙击枪?研究人员宣称,能在枪手不知情的情况下远程操控目标选择。

    那场以汽车为对象的实验曝光后,作为生产方的克莱斯勒公司很快召回了140万辆车,以弥补漏洞,但此时距最初发现问题已过去一年多。宣布进行软件修复时,该公司表示并没有发现缺陷。若两个人坐在沙发上就能远程关闭汽车引擎都不算缺陷,我不知道在克莱斯勒眼里,什么才算是缺陷?克莱斯勒并不是唯一被盯上的汽车企业,从宝马、特斯拉到通用,很多知名厂商遭到过黑客攻击,未来会有更多品牌中招。

    物联网还是隐私权的噩梦。数据库里有太多私人信息,现在会加上我们开车去过的地方、我们购买的食物等海量资讯。前不久,在Def Con年度信息安全大会上,研究人员设立了一个物联网村,用以展示他们如何侵入婴儿监控器、恒温器及摄像头等日用品。

    将日用品大规模连网,会带来新的风险。以智能冰箱为例。如果一台冰箱出现故障,便只有这一个麻烦。但如果冰箱的电脑系统与电动机相连,软件漏洞或黑客攻击行为就可能导致数百万台冰箱集体“变砖”。

    再说汽车,这个在公路上飞驰的、近两吨重的金属物体本已极其危险,生产商却继续利用老套而脆弱的中控电脑连接车上的所有部件。这意味着,一旦黑客袭来,他们完全能触及车内每个地方——引擎、转向装置、传动装置和刹车系统,而不仅是娱乐系统。

    多年来,一直有警告说,将这么多系统连到车上,会带来很多风险。为此担忧的研究人员发表了学术论文,请求汽车行业采取行动。可是目前,汽车企业的反应只是礼貌地点点头,修好已经暴露的那些具体问题,而没有从根本上改变操作方式。

    没有哪家公司愿意率先为更新大部分汽车仍在使用的不安全系统买单。我们需要制定国家层面的安全法规,迫使厂商在整个行业内展开行动。上个月,一份有关汽车隐私和网络安全标准的议案被提交到美国参议院。这很好,但它只是个开始。我们需要对物联网时代的安全形成新的理解,需要建立有关运行软件或联网物体安全性的新观念。

    我们可以让程序更可靠,让数据库更安全。可联网设备的关键功能应该隔离开来,还应该有强制的外部审查,帮助及早发现问题。这些都需要大笔资金投入。也可能,并不是所有东西都需要联网,与其带来的风险相比,这种好处在许多时候并不显眼。

    在数字化的网络上解决安全问题始终比较困难,但物联网根本不应建立在有问题的基础上。以给暴露的缺陷打补丁的方式应对数字化威胁,就像只给病重者吃阿司匹林一般。

    (作者是美国北卡罗来纳大学信息与图书馆学学院助理教授。)

    ▋《纽约时报》中文网

 

为物联网时代欢呼?且慢!
“自黑”:成功者的名片