智能物聯網出現之後,與之相關的安全問題就沒有消停過。
不過,近年來像「黑客入侵心臟起搏器」「黑客攻破車聯網」這樣能引發好萊塢式炸裂場面的事故新聞,已經不怎麼讓大眾心潮起伏。
而替代它們的,則是一些不斷於細微處考驗用戶心理承受能力的「日式驚悚」時刻。
比如說前不久The Verge報導的,一位Reddit用戶將小米米家安全攝像頭連接到Google Nest Hub,卻意外看到了他人房屋內部的圖像。其中,既有躺在客廳的老人,還有搖籃里的嬰兒。
一時間坊間譁然,谷歌更是直接把自家設備上所有的小米設備集能暫時給禁了……
當然,小米很快修復了相關軟體bug,從官方聲明中我們也看到,有相關使用場景的用戶是1044人,只有極少數可能受到影響。
實際上,包括亞馬遜、谷歌在內的家居物聯科技公司,其產品都被爆出過有這樣那樣的問題。比如亞馬遜的Ring攝像頭也曾被黑客攻破,對用戶自稱是「聖誕老人」;360也曾為了防止攝像頭被惡意利用,永久關閉了水滴直播。
小孩子才會相信「聖誕老人」,大人只會相信「黑暗森林」邏輯——自家的智能設備背後有沒有一雙正在窺視的眼睛,它會在什麼時候成為一把刺向家庭安全的尖刀?
隱藏在暗處的危險,就如同那隻總也掉不下來的靴子,讓用戶時時沉浸在想像的恐懼里。那麼,究竟怎樣才能逃離「被直播」的命運呢?
從好萊塢到日式驚悚:物聯網の安全怪談
解決物聯網安全問題最直接有效的辦法,其實就是:
當然,這是開玩笑的。用一句流行的話——我們遇到什麼困難,都不要懼怕它,消除恐懼的最好辦法就是面對恐懼,奧利給!
所以在討論物聯網安全狀況時,我們還是先弄清楚,物聯的安全水位,都經歷了怎樣的發展階段。
第一個階段:政府與黑客的PK
物聯網安全開始引發注意,要從21世紀的第一個十年說起。
儘管目前公認最早的概念出現,是1995年比爾蓋茨在《未來之路》一書中提及物聯網,但這一概念真正開始成形,要到1999年美國召開的移動計算和網絡國際會議,明確了「物聯網」作為實物網際網路——「Internet of Things」的定位。
此後,物聯網就被抬上了國家舞台,在政府主導下開始鋪設,一大批物聯項目開始崛起。比如2004年日本總務省(MIC)就曾提出u-Japan計劃,就力求將日本建設成一個泛在網絡社會。
而最早,這些設備都是通過頻識別RFID技術與網際網路結合,配合GPS、紅外感應器等信息傳感設備,藉助無線數據通信來實現物品之間的交流。與IT設備相比的弱安全性,使其成為黑客挑戰政府權威、刷存在感的絕佳標的。
像是2007年,美國副總統迪克·切尼心臟病發作,就是暗殺者遠程攻破了他的心臟除顫器。2008年,波蘭的一個黑客則用改裝過的電視遙控器控制了波蘭第三大城市羅茲的有軌電車系統。2010年,美國德克薩斯州一個汽車經銷商的電腦系統被入侵,然後大量客戶的車輛開始故障,出現喇叭半夜鳴響、車輛無法發動等bug。
聳人聽聞的案件,此時正是普通大眾在新聞報紙上讀到的談資,但很快,危險變開始登堂入室了。
第二階段:消費級物聯網的黑客帝國
到了第二個十年,國家基礎設施的信息化已經基本完成,大眾消費級市場開始得到關注,物聯網也藉助網際網路企業、家電廠商等助推,形成了如火如荼的發展之勢。
從2012年的87億台,以每年30%的速度增長。據美國有線電視協會(NCTA)預測,到2020年,連接設備的安裝基數預計將增長到500億台以上。
聯網設備越來越普及,可攻擊範圍與商業利益變廣,加上「安全性」總是消費者巨選擇物聯網產品的次要要素,最終導致的結果就是,物聯網「被黑」成為全社會的潛在「毒瘤」。
最臭名昭著的2016年物聯網殭屍網絡攻擊,就是黑客通過操縱物聯網設備的漏洞,比如網絡攝像頭、智能開關等,將其作為「肉雞」攻擊其他網絡設備。這場超過百萬台設備參與的DDoS攻擊,一度導致整個美國東海岸的網際網路癱瘓,Twitter、Paypal、Spotify 等網站被迫中斷服務,科技公司Dyn直接損失就超過了1.1億美元。
而眾多小微智能家居產品的出現,更是讓風險進入了千家萬戶。比如可以讓家長和孩子們互相發送音頻信息的cloudspets智能玩具,就曾被發現父母的電子郵件和密碼以及語音記錄容易被黑客竊取,任何在10米範圍內的人只要用普通智慧型手機就可以連接,一旦玩具被劫持,後果令人毛骨悚然。
物聯網的「短板效應」,決定了其「技術下限」就能夠直接影響整個系統的安全性,這也是為什麼,2015年短暫的「春天」之後,物聯網迄今為止一直在落地的過程中阻礙重重。
2018年,亞馬遜公布的物聯網作業系統 FreeRTOS 以及 AWS 連接模塊的 13 個安全漏洞,該開源作業系統已經被應用在包括汽車、飛機及醫療設備等 40 余種硬體平台。而入侵者很容易利用漏洞破壞設備,獲得完全的控制權。
實際上,2018年Gartner發布的物聯網成熟度曲線顯示,物聯網市場還未達到谷底,距離反彈更是有著不少距離。
至少縱觀整個物聯網的發展,「安全」仍然是市場爆發的基礎條件。
從2019年的「5G元年」開始,人們對海量物聯重新點燃了期待。尤其是在人工智慧系統落地終端之後,幫助聯網設備獲得了源源不斷的計算能力。萬物智聯的AIoT趨勢,能否成為物聯網市場的上揚起點呢?
物聯網的安全桎梏,能否解綁單飛?
從幾個發展時期整體來看,物聯網的安全桎梏,始終存在三個關鍵要素的捆綁:
1.安全防護整體性理念的缺失
我們知道,物聯網從來都不是一個單獨的個體,如此多技術堆棧的排列組合,構成了一個較為複雜的系統,也提供了多樣的攻擊性窗口。
舉個例子,2018年北美一家賭場曾發生一起黑客攻擊事件,竟然是通過一個魚缸實現的。這個魚缸使用物聯網進行自動清潔、餵食等功能,也因此連著賭場的網絡,尋常並不會有人注意到,也就成了網絡中最薄弱的安全環節。
可以說,設備的「技術最短板」就是整屋物聯網的「安全最長板」。物聯網需要的安全水位,需要考慮到所有小而密的微點,但許多產品製造企業在消費級物聯網部署的初期,都會將安全性作為低優先級的考慮因素,付出額外的精力投入在安全能力研發上,無疑是自己先掏了一筆「罰金」。企業沒有考慮到具體產品如何與整個安全系統對接,使用中自然漏洞百出。
2.缺乏嚴格統一的加密標準
當然,實現物聯網的微點安全管理,除了廠商的主觀意願,還會受到加密技術的水平限制與標準體系的困擾。
未做加密,或使用弱密碼,是物聯網設備出現安全風險的頭號殺手。據國家信息安全漏洞共享平台(CNVD)公布的數據顯示,所有IoT終端中,80%的設備存在隱私泄露或濫用的風險,80%的設備使用弱密碼、70%的設備的網絡通訊沒有加密、60%設備的web介面存在漏洞、60%設備的軟體更新未做加密。
一方面,物聯網設備使用的通信協議十分多樣,除了Zigbee、藍牙、WIFi主流選擇之外,也會用到HTTP、HTTPS、XMPP等網際網路協議。這就導致,要讓安全能力泛化在物聯網的每個環節,需要進行充分考慮和規劃。而硬體端里可能僅有幾K字節的運行USC泛在安全保護架構代碼,存儲能力、計算能力都極為有限,無法像IT設備一樣部署傳統的安全軟體或高複雜度的解密算法,這就讓黑客們有機可乘。
比如前面提到的2016殭屍網絡攻擊Dyn的黑客只試了35個密碼,就碰到了正確答案。
另外,大部分智能物聯設備如智能家居,對系統的實時性要求不高,信息傳輸允許延遲,這就極有可能出現系統軟硬體升級困難或者忘記更新維護的情況,從而導致自身安全防禦體系很快落後,在新出現的網絡攻擊方式和病毒面前變成「脆皮兒」。
3.SoC系統級AI晶片在物聯網領域應用尚不足
既然終端設備加密困難,那麼不如將「安全水位」做到雲級別,是不是就能從根本上實現物聯安全呢?理論上是可行的,越來越多的物聯設備開始按照「端-管-雲」構架鋪設,將安全解決方案交給專業的雲計算企業來實施,從而實現物聯網系統的整體安全管控。
那麼,這個雲端大腦的性能就至關重要了。
如何讓雲端與邊緣產生智慧、實時的響應與協作,讓物聯網和AI系統實現雙向交互,互相輔助優化,SoC這種整合了嵌入式處理器和無線通訊的系統級晶片,就成了開路先鋒。
作為安全系統的集中單元,SoC晶片顯著地降低了使用功耗,更適合在物聯網終端部署。與此同時,兼具計算能力,可以取代傳統處理單元和工業網絡連接,讓安全防禦不再以孤島的形式運轉,而是依託雲計算進行連通,實現整體管控。
不過目前市面上整合了AI能力、能夠應用於大規模物聯網的SoC晶片還並不多見,聯發科的第一顆5G SoC晶片價格就高達70美元,未來物聯網智能安全防護,還需要半導體領域持續發力護航,才有可能不給惡意攻擊一絲可乘之機。
總而言之,物聯網的特性決定了,其所面臨的安全問題遠比網際網路更複雜。而其應用又必定會越來越與人們的日常生活產生高粘度、自動化的連接,如何在AIoT的底座上建立一個產業安全大廈,需要的是將新的準則嵌入到各個行業、各個企業、各個業務當中。
目前,還沒有一個可以讓人放下恐懼的方式來讓我們告別那些「安全鬼故事」。
可以肯定的是,唯有將散落的星子統一成銀河,才能讓物聯網安全清晰地呈現在世人面前。到那時提起物聯網,人們想到的,不再是「日式驚悚」的無限未知和恐懼,而是對一個全新市場崛起的期待,以及為萬物智聯璀璨盛景的無限心折。