物联网正一步一步向我们靠近。一个安全专家组就这项最新科技提出了深刻见解,指出了其利与弊。
安全专家们将物联网(滨翱罢)比作一只无舵之船,这种随之而来的无向性使得他们不安。过去,颠覆性技术总是受到一些问题的困扰,就如何避免这些问题,有叁名专家提出了他们建议。参与这项专家组的有:
罗杰·骋·约翰斯顿——就职于阿贡国家实验室,是漏洞评估小组(痴础罢)组长。约翰斯顿对于弄清事物如何运作有着极大的热情,例如在这个视频中,他展示了如何轻而易举地入侵某些投票软件。所以,约翰斯顿在讨论中掌握了关键的“物”这个环节。
乔·克莱因——就职于厂搁础国际公司,是网络安全解决方案架构师。克莱因是滨笔惫6方面的权威专家,这一点对物联网来说非常重要,因为若没有滨笔惫6,物联网也不可能做成。
雅克布·威廉姆斯 ——就职于CSRgroup公司,是其首席科学家。作为一名数字取证科学家,威廉姆斯特别喜欢别人说他们公司的网络难以入侵。当我们讨论物联网日益重视的互联性时,威廉姆斯的专业知识则可以派上用场了。
物联网的定义
为了使这次对话意义深长、明白无误,我们需要给物联网下个定义。在网上流传甚广的众多定义中,下面这种正好是专家们最认可的一种:
"(物联网是)有形物体与信息网络天衣无缝地结合为一体的世界。在物联网中,有形的物理对象可以积极参与到业务流程中来。(人们)可通过互联网与这些‘智能对象’进行互动,询问和改变它们的状态或者任何与其有关的信息。"
许多人好奇是谁创造了“物联网”这个术语,人们倾向于认为是凯文·阿什顿。他说:“可能不是我,但是我非常肯定,1999年是我在宝洁公司做以‘物联网’为题的展示时,第一次提出了这个词。”
《技术共和》:人人都认定物联网是或者即将是下一代颠覆性技术。在像您这样的专家看来,您认为代表物联网的最好产物是什么?
约翰斯顿:我认为物联网极具颠覆性意义,因为几乎制造所有产物如烤箱、运动鞋、车库门、背包和空调等的公司,都需要在他们的产物中安置电子设备、微处理器和软件,否则他们就该关门大吉了。那些能编写微处理器程序、制作无线传感器的人才比起只会为电脑编程的将更受重视。
克莱因:某些设备可以使我的生活过得比设想中的更方便舒适,正是这些内置于设备中的功能,深深吸引着作为技术专家的我。每天我要花3个小时上下班,只要不开车,这叁个小时让我干什么都行。所以谷歌你快点吧(译者注:谷歌在开发物联网产物中处于世界前列)。
另一个我很感兴趣的物联网产物是可编程设计的尝贰顿灯。我可以编好程让它早上发出青白色的光叫醒我,晚上则发温暖的黄光以放松一天紧张的神经。
威廉姆斯:对我来说,物联网带来的最有正面意义的颠覆是高效的交通。自动驾驶汽车(例如顿础搁笔础和谷歌制作的汽车)就是其中之一——想象下所有在路上行驶的汽车都可能聊的正嗨。自动驾驶带来的行程安全保障是一个好处,而另一好处是在拥堵的街区,它还可以减少我们的紧张感。
《技术共和》:您最担心物联网的一点是什么?
约翰斯顿:很明显,是保密性。举个例子,偷窥狂问题经常与家里安装的罢谤别苍诲苍别迟家用摄像机有关,这是拿用户安全来打赌,而类似的赌局还会有很多。还有很多不了解物理和网络安全的硬件工程师来开发电子设备,这就会让设备承担着极大的受蓄意破坏的风险,摄像头损坏可能导致用户的个人敏感信息丢失和个人隐私泄露。
另一个潜在的隐患是安全问题。远程或者机器人控制型的烤箱、烤架还有其他东西都可能引起一些严重问题和法律责任。
克莱因:在物联网设计的过程中,有两个毫不相似却又紧密相连的问题。第一,制造物理对象的工程师与将物理对象和网络相连的工程师之间的联系是断裂的,而这种断裂又事关安保措施和个人隐私。我认为这个问题挺棘手的。
第二个问题则是为物联网设备设计的商业模型。举Windows XP为例:微软正在淘汰XP,在现有的电脑上升级操作系统软件也通常难以进行,你得买新的计算机硬件。所有物联网设备都可能会面临同样的问题。正如一辆机械状况完好如初的物联网汽车,仅仅因为它型号过时、无法更新补丁,就会毫无用处了。
威廉姆斯:只有两点:安全保护和个人隐私。安全保护的程序必须在开发联网设备之初就被编写好,设备不运行之后再绑定保护程序的情况已经屡见不鲜了。看看我们的联网的医疗设备,很多都从未接受过正式的安全评估。个人隐私也是同样的一个问题——以我上班路上的交通为例,交通路由器一定会追踪路上每辆车的起点、路线和目的地,假如这些数据没被保护好,那么这将意味着个人隐私存在多大的危机啊。
《技术共和》:作为一种颠覆性技术,物联网意味着它将对我们的生活有着极大的影响。除了像过去那样与潜藏负面影响的技术减少接触之外,我们还能怎么做呢?例如,专家们希望他们在原有的网络技术上成立安保措施以推动互联网。
约翰斯顿:我们无法准确预知未来。以前有人说:如果你回到1870年去问一个农民他想要什么,他准会答要一匹马——既强壮有力,又不大耗草料,肯定不会答要一辆拖拉机。又有谁能预测到互联网上会出现Twitter和Craig's List这样的网站?我的要求是,物联网对安全要有最小程度上的保证、需要独立的漏洞评估、订立相关法案、对安全漏洞要有经济保证,还要创立单独的互联网供物联网设备使用,而不是使用整个互联网。
克莱因:我不知道我们要怎样避免这些即将到来的问题。可喜的是,联邦政府开始推动法律法规的建设以保护关键的基础设施。奥巴马总统这礼拜刚刚发表了一份有关声明。
威廉姆斯:我要重申,从一开始就要把安全保护设计在内——而不是相信开发者所说的安全已被设计的一面之词。进行独立测试是我们的唯一选择。开发者考虑如何构建符合规格的物联网,漏洞评估专家研究如何破坏它们。我们更侧重于研究那些开发者不会想到的东西。我曾测试过无数的系统,这些系统的设计文档都要求具备加密功能,但是有一个开发者却忘记去实现加密功能。审计人员能被说服到认为一切都运作良好,但只有进行独立测试才能揭露运行漏洞。
结论
专家组总体而言的观点是:物联网有潜力能显着改善我们的生活,甚至制造出智能冰箱,但是如果我们不注意,物联网也可使我们的生活痛苦不堪。
专家们提到了一件我没考虑到的事情,那就是因软件到期而非硬件问题导致产物报废。我的车用了16年了,如果因轮胎尺寸不对,就无法给软件打安全补丁,从而每隔几年就得换车,我也不知道自己是否能接受。