物聯網安全 專家有話說

　　安全專家們將物聯網(IOT)比作一只無舵的船艦，這種隨之而來的無向性使得他們不安。過去，顛覆性技術總是存在著很多困擾大家的問題，就如何避免這些問題，有三名專家提出了他們建議。參與這個專家組的有：

　　羅杰·G·約翰斯頓——阿貢國家實驗室，漏洞評估小組(VAT)組長。約翰斯頓對于弄清事物如何運作有著極大的熱情，例如在這個視頻中，他展示了入侵到某些投票軟件中是多么輕而易舉。所以，約翰斯頓在討論中掌握了關鍵的“物”這個環節。

　　喬·克萊因——SRA國際公司，網絡安全解決方案架構師。對于任何與IPv6有關的事情，克萊因都不遺余力地去做，這一點對物聯網來說非常重要，因為若沒有IPv6，物聯網也不可能做成。

　　雅克布·威廉姆斯——CSRgroup公司，首席科學家。作為一名數字取證科學家，威廉姆斯特別喜歡別人說他們公司的網絡難被入侵。當討論物聯網日益倚重的互聯性時，威廉姆斯的專業知識則可以派上用場了。

　　物聯網的定義

　　為了使這次對話意義深長、明白無誤，我們需要給物聯網下個定義。在網上流傳甚廣的眾多定義中，下面這種正好是專家們最認可的一種：

　　"(物聯網是)物理對象與信息網絡天衣無縫地結合為一體的世界。在物聯網中，物理對象可以積極參與到業務流程中來。(人們)可通過互聯網與這些‘智能對象’進行互動，詢問和改變它們的狀態或者任何與其有關的信息。"

　　許多人好奇是誰創造了“物聯網”這個術語，大多數人都認為是凱文·阿什頓。他說：“我可能是錯的，但是我確定1999年我在寶潔公司做展示時，以標題的方式首次提出‘IOT’這個詞。”

　　TechRepublic:人人都認定物聯網是或者即將是下一代顛覆性技術。在您的專業知識領域，您認為物聯網最好的代表是什么?

　　約翰斯頓：我認為物聯網具有顛覆性意義，因為幾乎制造所有產品如烤箱、運動鞋、車庫門、背包和空調等的公司，都需要在他們的產品中安置電子設備、微處理器和軟件，否則他們就該關門大吉了。那些能編寫微處理器程序、制作無線傳感器的人才將比只會為電腦編程的更受重視。

　　克萊因：某些設備可以使我的生活比曾設想中的更方便舒適，作為一名技術專家，我被內置于那些設備中的功能深深吸引。我每天要花3個小時上下班，只要不開車，這三個小時讓我干什么都行。所以谷歌你快點吧(谷歌在開發物聯網產品中處于世界前列)。

　　另一個我很感興趣的物聯網產品是可編程設計的LED燈。我可以編好程讓它早上發出青白色的光叫醒我，晚上則發溫暖的黃光以放松一天緊張的神經。

　　威廉姆斯：對我來說，物聯網帶來的最有正面意義的顛覆是高效的交通。自動駕駛汽車(例如DARPA和谷歌制作的)就是其中之一。想象下所有在路上行駛的汽車都可能正互相交流著。自動駕駛帶來的行程安全保障是一個好處，而另一好處是在擁堵的街區，自動駕駛還可以減少我們的緊張感。

　　TechRepublic：您最擔心物聯網的一點是什么?

　　約翰斯頓：很明顯，是保密性。舉個例子，偷窺狂問題經常與家里安裝的Trendnet家用攝像機有關，這是拿用戶安全來打賭，而類似的賭局還會有很多。還有很多不了解物理和網絡安全的硬件工程師來開發電子設備，這就會讓設備承擔著極大的受蓄意破壞的風險，用戶的個人敏感信息丟失和因攝像頭損壞導致個人隱私泄露。

　　另一個潛在的隱患是安全問題。遠程或者機器人控制型的烤箱、烤架還有其他東西都可能引起一些嚴重問題和法律責任。

　　克萊因：在物聯網設計的過程中，有兩個毫不相似卻又緊密相連的問題。第一，制造物理對象的工程師與將物理對象和網絡相連的工程師之間的聯系是斷裂的，而這種斷裂又事關安保措施和個人隱私。我認為這是個很大的問題。

　　第二個問題在于為物聯網設備設計的商業模型。舉WindowsXP為例：微軟正在淘汰XP，在現有的電腦上升級操作系統軟件也通常不可行，你得買新的計算機硬件。所有物聯網設備都可能會面臨同樣的問題。正如一輛機械狀況完好如初的物聯網汽車，僅僅因為它型號過時、無法更新補丁，就毫無用處了。

　　威廉姆斯：只有兩點：安全保護和個人隱私。安全保護的程序必須在開發聯網設備之初就被編寫好，設備不運行之后再綁定保護程序的情況已經屢見不鮮了。看看我們的聯網的醫療設備，很多都從未接受過正式的安全評估。個人隱私也是同樣的一個問題——以我上班路上的交通為例，交通路由器一定會追蹤路上每輛車的起點、路線和目的地，假如這些數據沒被保護好，那么這將意味著個人隱私存在多大的危機啊。

　　TechRepublic：作為一種顛覆性技術，物聯網意味著它將對我們的生活有著極大的影響。除了像過去那樣與潛藏負面影響的技術減少接觸之外，我們還能怎么做呢?例如，專家們希望他們在原有的網絡技術上成立安保措施以推動互聯網。

　　約翰斯頓：我們無法準確預知未來。以前有人說：如果你回到1870年去問一個農民他想要什么，他準會答要匹更高大強壯，但又吃得更少得馬，而不會答要一輛拖拉機。又有誰能預測到互聯網上會出現Twitter和Craig'sList這樣的網站?我的要求是，

　　物聯網對安全要有最小程度上的保證、需要獨立的漏洞評估、訂立相關法案、對安全漏洞要有經濟保證以及創立單獨的互聯網供物聯網設備使用，而不是使用整個互聯網。

　　克萊因：我不知道我們要怎樣避免這些即將到來的問題。可喜的是，聯邦政府開始推動法律法規的建設以保護關鍵的基礎設施。奧巴馬總統這禮拜剛剛發表了一份有關聲明。

　　威廉姆斯：我要重申，從一開始就要把安全保護設計在內——而不是相信開發者所說的安全已被設計的一面之詞。進行獨立測試是我們的唯一選擇。開發者考慮如何構建符合規格的物聯網，漏洞評估專家研究如何破壞它們。我們更側重于研究那些開發者不會想到的東西。我曾測試過無數的系統，這些系統的設計文檔都要求具備加密功能，但是有一個開發者卻忘記去實現加密功能。審計人員能被說服到認為一切都運作良好，但只有進行獨立測試才能揭露運行漏洞。

　　結論

　　專家組總體而言的觀點是：物聯網有潛力能顯著改善我們的生活，甚至制造出智能冰箱，但是如果我們不注意，物聯網也可使我們的生活痛苦不堪。

　　專家們提到了一件我沒考慮到的事情，那就是因軟件到期而非硬件問題導致產品報廢。我的車用了16年了，如果因輪胎尺寸不對，就無法給軟件打安全補丁，從而每隔幾年就得換車，我也不知道自己是否能接受。