- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
万物互联还是万物危险?这是一个严肃的问题
虽然克莱斯勒很快就召回了140万辆吉普,以弥补这个漏洞,但此时距离最初发现问题过去了一年多,而且是在研究人员在公路上进行了那场引人注目的公开演示、美国国家公路交通安全管理局(National Highway Traffic Safety Administration)也提出了要求后才予以召回。宣布进行软件修复时,公司表示并没有发现缺陷。如果两个人坐在沙发上就能远程关闭高速行驶的汽车的引擎都不算的话,我不知道在克莱斯勒眼里,什么才算是缺陷。克莱斯勒并不是唯一被侵入的公司:从宝马(BMW)、特斯拉(Tesla)到通用汽车(General Motors),很多汽车品牌都遭到过黑客攻击,而且未来肯定会有更多品牌中招。
拥有戏剧效果的几次黑客袭击吸引了多数关注,但使得黑客得手的软件缺陷无处不在。虽然复杂的侵入行动或许需要花费一番功夫——攻击吉普的那两个人耗费了两年时间进行研究——代码中的一些简单错误也会导致重大失灵。将拥有数百万行代码的软件加到物品中的做法极大地增加了它们的潜在危害。
物联网还是一个隐私噩梦。数据库里已经有了太多关于我们的信息,现在又会加上我们开车去过的地方、我们购买的食物等海量信息。上周,在Def Con年度信息安全大会上,研究人员设立了一个物联网村,用以展示他们如何侵入婴儿监控器、恒温器及安全摄像头等日常用品。
倘若将日常用品大规模连网,会带来新的风险。以智能冰箱为例。如果一台冰箱出现故障,便只有这一个麻烦。但如果冰箱的电脑系统与电动机相连,那么软件漏洞或黑客攻击行为就可能导致数百万台冰箱集体"变砖",成为拥有厚重柜门的塑料储存箱。
汽车这个在公路上飞驰的两吨重的金属物体本已极其危险。这种现代交通工具由数十台计算机操控,而大多数生产商利用众所周知不安全的一种老旧系统连接这些计算机。汽车生产商通常利用这个脆弱的系统连接汽车的所有部件。这意味着,一旦黑客侵入,就会触及每个地方——引擎、转向装置、传动装置和刹车系统,不仅仅是娱乐系统。
多年来,安全研究人员一直警告,将这么多系统连到车上,会带来很多风险。为此担忧的研究人员已经发表了相关学术论文,以被黑客控制的车辆作为例证,请求汽车行业采取行动。目前,汽车行业的反应只是礼貌地点点头,修好了已经暴露的那些具体问题,而没有从根本上改变其操作方式。
拉尔夫·纳德尔(Ralph Nader)1965年出版的《任何速度都不安全》(Unsafe at Any Speed)一书,记录了汽车生产商拒绝在安全带之类的安全设备上投入资金的行为。经过社会公开辩论,美国终于有了相关立法,之后汽车厂商才被迫加入安全技术。
没有哪个公司愿意率先为更新大部分汽车都在使用的不安全汽车系统买单。我们需要制定联邦安全法规,来迫使汽车厂商在整个行业内展开行动。上个月,一份有关汽车隐私和网络安全标准的议案被提交到了参议院。这很好,但它只是个开始。我们需要对汽车安全采取新的理解,需要建立有关任何运行软件或联网的物体的安全性的新观念。
或许,在数字化的网络上解决安全问题比较困难,但物联网不应该建立在一个有问题的基础上。以给暴露的缺陷打补丁的方式应对数字化威胁,就像只给一个病重者吃阿司匹林。
这不是没有希望的。我们可以让程序更可靠,可以让数据库更安全。联网物体的关键功能应该隔离开来,还应该有强制的外部审查帮助及早发现问题。但需要投入初始资金,才能预防未来会出现问题,这恰恰跟目前汽车厂商的本能做法相反。也可能,并不是所有的东西都需要联网,与其带来的风险相比,这种好处并不值得。或许,不管用什么IP地址,汽车都是不安全的。
上一篇:华为的成功可以复制
下一篇:科技融资江湖,怎一个忽悠了得