安全专家眼里的物联网安全问题及解决方法

【.com 快译】你每天都要接触的每个物品很快就会实现联网，收集数据，很容易被黑客攻击。物联网安全状况已经极其糟糕，连简单的搜索引擎都已经索引并提供了关于全球数百万联网设备的详细信息，从常见的可穿戴设备、家庭空调系统，到公众场所的安全摄像头，不一而足。

[[165472]]

物联网会支持很多新公司，丰富了广大消费者的生活。但是如果在未来十年，200亿个设备接入网络的时候，物联网的安全风险就会与回报一样大。Rapid7公司的高级安全研究经理Tod Beardsley说：“看过物联网后，安全专业人员的情绪化反应就是举手投降，谴责一切总是永远有漏洞，我们注定完蛋。当然，物联网领域存在严重的系统性问题。这些问题确切存在，虽然很难解决，但并非克服不了。”

虽然物联网很年轻，但是在这个领域已有数百万联网设备。Shodan和Thingful这两个搜索引擎最近成了互联网上被炮轰的对象，起因是其服务被用来拍摄家庭及其他私密场所里面的画面。

ZDNet报道：

Shodan是偷窥狂所梦寐以求的。无论付费用户还是免费用户，只要使用port:554 has_screenshot:true之类的关键词，快速扫描一下，就可以显示安装在各个地方的摄像头，从日本停车场，到法国酒吧，从韩国的私密休息室，到德国的兔笼，无所不有。

物联网的庞大规模有利也有弊。Beardsley解释，厂商方面无法拿出可互操作的安全固件、Web和移动应用程序，无法适应物联网的广泛性，这带来了许多安全漏洞。他说：“消费者无法准确而可靠地评估自己家里的设备和装置的安全性，这实际上提出了非常大的挑战。”

Beardsley表示对物联网的安全问题非常担心，物联网攻击可能完全看不见，因为大多数物联网产品并没有强大的安全或日志控制机制。 他说：“如果我侵入了你的联网设备，你可能察觉不到。”

Facebook的前任公共政策主管，SPQR Strategies创始人Timothy Sparapani也赞同这个观点。他说：“物联网安全的状况非常差。我们现在明白，大多数物联网系统实际上不安全。”

对于物联网的安全问题，Sparapani解释，几乎没有做多少的工作来确保物联网系统安全，因为物联网设备被厂商和安全专业人员同样认为优先级较低。数据安全的重点一直放在对付由于个人信息(比如银行账户和医疗信息)丢失而可能直接危害消费者的攻击上。

Sparapani说：“对公司和消费者来说最大的安全漏洞是，我们还没有开发出一套标准，通过远程分发堵住安全漏洞的补丁。”

在不久的将来，物联网碎片现象会覆盖诸多行业。Sparapani说：“我们会日益依赖传感器，这些传感器出现在我们的设备、运输系统、粮食生产及运送系统、工厂、农场和家里。如果那些物联网系统被黑客破坏，可能会造成巨大的混乱。如果我们将设备交给物联网监控系统，很少会有人拥有修复被黑客攻击的那个设备的技能，靠近设备、以物理方式推翻原来编程的人就更少了。”

Sparapani和Beardsley都一致认为，公司和消费者越了解物联网安全环境，就越容易在享受互联世界带来的好处的同时，保持安全。

强大的物联网安全模式该是什么样子?

Beardsley

强大、成熟的物联网安全模式其实就是我们在传统平台上享用的基本级别的安全：软件的日常自动更新，打上补丁，防范安全漏洞。

通常来说，物联网设备在交付时通常没有任何补丁到位，所以如果我们遇到实际上的确支持自动打补丁的物联网设备，那么我会很高兴，因而我面对的这家厂商至少认真考虑了这方面。

公司在做物联网决定时一方面要立足于安全。对你考虑购买其产品的公司要做一番了解，看看有没有在过去发布并修复了安全漏洞。如果一家公司欢迎而不是摒弃安全漏洞报告，那么我会做出购买决定，以示支持。

弱密码或不设密码在互联网上很常见，这对物联网来说尤其是个问题。设计糟糕的物联网设备还缺少加密通信，这带来了几个重大问题。其一，敏感的个人信息明文传输，本地网络和上游网络上的任何人都能窃听。其二，物联网设备无法确信自己是在与厂商提供的真实、正确的Web应用程序或移动应用程序进行通信。加密不仅仅在于确保秘密，还在于验证身份，所以明文状态下使用，而不是基于加密通道的物联网设备天生就靠不住。

Sparapani

首先要认识到，物联网安全必须成为一个优先事项，安全功能必须在默认情况下就要做入到物联网设备中。我们期盼的下一个发展阶段就是，构建的系统可以分发代码补丁，堵住安全漏洞，并消除攻击，可以针对部署的设备实现大规模远程操作。

如今的物联网安全是什么样子，到2020年又会是什么样子?

Beardsley

我希望，我们能克服加密和默认/弱/丢失密码这些问题，并且规范补丁分发解决方案。这些基本要素到位后，我们才会处于一个有利的位置，确保物联网领域安全无虞。

Sparapani

四年后，我们会看到物联网系统被黑客攻破，有的出于好玩，有的蓄意制造混乱和破坏。我们会清醒地认识到不安全设备带来的风险，我们会奋力追赶。

物联网给个人和社会带来的好处会得到充分证明，我们会竭力改造旧设备，为其添加新的安全协议。如果我们幸运的话，会有一些标准化系统给已知的安全漏洞远程打上补丁。

Beardsley表示，这些问题确实存在，也很困难，但并非克服不了。“安全专业人员仍有时间赶在即将到来的物联网海啸的前头。我们拥有相应的专长，懂得如何设计更好的安全、如何修复和维护快速补丁开发和部署，以及如何对消费者和监管者进行安全方面的宣传教育。我们前面有好多工作要做，不过我很乐观，认为我们能够及早驾驭这些问题，以免为时太晚。”

原文标题：Security experts: what’s wrong with Internet of Things security, and how to fix it

【译稿，合作站点转载请注明原文译者和出处为.com】