文/科技好文章
当乔治•奥威尔(George Orwell)在《1984》里构想“电幕”(telescreen)——对观众进行持续监视的一种双向电视——时,他预言政府会使用技术手段闯入我们的私人生活。
维基解密(WikiLeaks)近期公布的机密文件意在表明,美国中情局(CIA)通过入侵智能电视,创造了自己的21世纪电幕。你可能正在观看YouTube或Netflix——而不是强迫性观看的军事宣传片——但间谍仍能对你的客厅进行监听。开发人员利用三星(Samsung)电视的漏洞,让电视即使在关机状态也能捕获谈话。
维基解密称此次公布的机密文件仅是“史上最大规模情报公开”的第一部分。从这些文件来看,中情局似乎急于利用物联网——将日常设备连接到网络——开发新的监视手段。市场研究集团高德纳(Gartner)预测,至2020年,将有逾200亿台家电、电视机及其他设备连接到互联网。
中情局的工程开发团队有一个智能电视“待办清单”,其中包括录像功能,以及入侵其浏览器和应用程序。其他文件似乎表明中情局已试图入侵联网汽车的车辆控制系统。
杀毒软件McAfee创始人、现MGT Capital Investments首席执行官约翰•麦卡菲(John McAfee)表示:“这是迄今最令人不安的一次维基解密。我们了解到中情局有各种工具来监视美国公民。而现在这些工具掌握在一些未知的黑客组织或国家手中。”
中情局对这些文件的真实性不予置评。三星表示公司将安全问题置于最高优先,目前正在研究此事。
警惕物联网的安全黑洞
因为硬件安全技术的落后,黑客在攻击智能设备时总能轻易得手。从联网汽车到胰岛素泵,都存在陷入险境的可能。
物联网是科技产业追求的最大概念之一,人们对其基本的固有漏洞早已了解。三星甚至在2015年警告用户“如果你说的话包含个人或其他敏感信息,该信息将与其他数据被你所使用的语音识别捕捉,并传输给第三方。”
网络安全研究人员强调从汽车到照相机、机器人到电冰箱等一切设备都存在安全漏洞。上个月有消息披露,一家玩具制造商生产的可WiFi联网泰迪熊与儿童的对话被泄露到互联网上。
执法部门已对利用亚马逊(Amazon)声控个人助理Alexa等设备收集的音频产生兴趣。一名检察官在处理阿肯色州一桩谋杀案时要求获得Alexa数据。亚马逊拒绝了这一要求,直到嫌疑人说可以移交录音。
网络犯罪也开始瞄准物联网,犯罪分子用恶意勒索软件入侵系统,通常要求用比特币支付给匿名账户。奥地利阿尔卑斯山一家酒店去年遭到黑客多次攻击其电子钥匙卡系统,酒店经营者被迫支付1500欧元后,客人才得以回到他们的房间,随后酒店经营者换回了老式门锁。去年圣诞节,一个美国家庭的智能电视被勒索软件控制,电视被禁用了四天。
联网设备的漏洞可能危及整个网络的稳定。去年,一个由数千万台联网摄像机和数字录像机组成的被称为僵尸网络(botnet)的恶意网络,被用来攻击纽约时报(New York Times)、Twitter等网站所使用的域名服务提供商Dyn。在Dyn努力对抗分布式拒绝服务攻击时,美国有数百万人无法访问Spotify和Airbnb等网站服务。
网络安全公司IOActive的首席技术官塞萨尔•塞鲁多(Cesar Cerrudo)表示,从技术精湛的中情局黑客到没那么厉害的网络犯罪分子,都将投入更多精力去寻找物联网的漏洞。
他说:“我们正变得极端依赖科技。我们需要开始懂得网络安全的重要性。我们会承受种种后果,包括遭到攻击、被黑客入侵、失去信息。而这对我们的日常生活影响很大。”
将一切都连接到互联网的热情尚未表现出减弱的迹象,现在已经有了不再鸣哨、改发信息的开水壶;有了智能手机控制的电饭煲;还有连接地图应用的鞋垫,通过振动将你推向你的目的地。
但网络安全在这波热潮中遭到忽视。安全防御往往落伍几十年——如果还有安全防御的话。许多联网设备没有密码,或只有一个不能更改的默认密码。设备发送给服务器的连接信号通常没有加密。
芬兰网络安全公司F-Secure首席研究官米科•许波宁(Mikko Hypponen)表示,创建僵尸网络攻击Dyn的黑客只试了35个密码,就碰到了对的。他警告说,物联网内安防的松懈正在重复“我们20年前已确定的错误。这是互联网当前一个显而易见的危险。”
最容易被攻击的产品出自那些专门制造烤面包机或血糖仪的公司,而不是软件或安全公司。这一新兴产业还呈碎片化,监管尚未跟上,消费者或压根不在乎,或难以判断产品的安全性。
高德纳安全问题研究主管埃里克•阿尔姆(Eric Ahlm)表示,这些制造商缺乏在安全方面投入时间或金钱的激励。
他说:“这更多是一个经济学问题,而不是安全问题。消费者购买智能电视时,多半会选择功能相同,但价格更低的商品。对智能消费设备制造商来说,付出额外的精力几乎无异于掏一笔罚金。”
即使消费者有这方面想法,他们也无法购买额外保护,因为这些设备由微型计算机驱动,而安全软件制造商无法访问,如健身手环或真空吸尘器里的微型计算机。
阿尔姆说:“你不能给你的Fitbit或Roomba装杀毒软件。”
ForeScout负责帮助企业将设备与公司主网分离,其想法是防止企业遭受2013年美国零售商塔吉特(Target)数据泄露那样的攻击,当时黑客通过空调提供商侵入塔吉特的系统。ForeScout首席战略官佩德罗•阿布雷乌(Pedro Abreu)表示,制造商如果能解决安全问题,将是一个“神话”。
阿布雷乌表示,但是围绕智能手机和电脑的保护已经建立起了一个庞大的产业。智能手机和电脑制造商的技术,比联网设备制造商的技术先进。他说:“就连那些最赚钱的公司都保证不了他们的设备安全;想象一个人在隔壁的车库里用中国制造的零件打造设备。但这不应阻止我们要求制造商遵循更高标准。”
但解决设备安全严重缺陷的行动已经开始。智能电视制造商Vizio上个月支付了220万美元,与美国联邦贸易委员会(Federal Trade Commission)和新泽西州总检察长达成和解协议。此前该公司被抓住在未经观众许可的情况下,收集他们的数据并将信息卖给广告客户。联邦贸易委员会委员特雷尔•麦克斯威尼(Terrell McSweeny)表示她支持就数据安全进行全面立法,从而可以对整个行业采取“监管模式”。
美国联邦贸易委员会已投入更多资源去起诉联网设备制造商,并提高自身技术能力。该委员会还在推动国际联合隐私执法——因为这些设备常常从外国进口——同时还在考虑制造商是否有义务在停产后依然维护设备安全。
美国监管机构也对此产生兴趣,国家公路交通安全管理局(National Highway Traffic Safety Administration)已为汽车行业规定最佳实践,食品药品监督管理局(FDA)也发布了医疗设备安全指引。其他机构也发挥了作用。非营利医疗组织梅奥诊所(Mayo Clinic)已将具体安全措施写进与医疗设备制造商的合同里。
欧盟委员会(European Commission)正在推动设备认证体系,并成立了一个名为“物联网创新联盟”(Alliance for Internet of Things Innovation)的组织。直属美国总统的国家网络安全促进委员会去年12月发布报告表示,消费者应被告知设备的安全功能。
美国大西洋理事会(Atlantic Council)网络问题国策倡议副主任博•伍兹(Beau Woods)表示,他希望该委员会的工作将让产品附上安全标签或信息表,从而阻止零售商销售存在安全漏洞的商品。
消费者或许还能加强对自身的保护,免遭黑客日常索要赎金,但联网设备的制造商可能永远都躲不开中情局。
伍兹说:“我对联网设备用户的建议是,更新一切设备,不用设备时要拔掉插头,如果你不希望它们有监视能力的话。”
来源:FT中文网