如今,我们被各种设备所包围,这些设备能够在未经我们同意的情况下录制周围的声音,在我们不知情的情况下拍摄照片,并在未经我们许可的情况下传输数据。换句话说,我们被数字之眼和数字之耳所包围。通常我们将这些设备归类为物联网,简称IoT。例如,亚马逊Alexas、Nest智能相机及智能恒温器等正在一一接管我们的个人空间。
研究人员近期发现,亚马逊Alexa等设备具有在设备所有人不知情的情况下录制周围声音的能力。尽管这可能会增加设备的功能,但是它会带来许多问题。首先,隐私受到了威胁。想象一下,您家的厨房角落里有一个Alexa,它能够录制、存储并处理您在厨房里说的话。其次,这种能力可能造成安全问题,例如仅通过录制并播放设备所有人发出的指令,就能启用或禁用家里的其他物联网设备(例如Alexa可以启用或禁用安全系统)。
此外,还存在与机器人真空吸尘器等设备相关的隐私问题。这些问题源自于机器人记录并传输房屋尺寸的能力,如果机器人遭到攻击,对手就能监视房主。吸尘器有默认的用户名和密码组合,因此身份验证能力较弱,攻击者可以轻易对其进行利用。通过消费者物联网设备侵犯隐私权并造成安全问题的案例看似是数不胜数。
在DigiCert实验室,我们正在积较尝试各种方法,研究如何根据设备侵犯隐私的程度及已知的安全漏洞对物联网设备进行适当的分类。具体来说,我们侧重于利用AI和模式识别等技术来分析不同环境中各种物联网设备的行为。
目前的真实情况看来是这样:物联网设备在未经设备所有人同意的情况下记录并传输数据的能力被低估了。此外,由于缺乏身份验证等合理的安全手续,因此造成了种类更为广泛的漏洞。由此得出的结论是,我们在家中可能被会造成威胁与伤害的设备所包围,而且这也会引发我们去思索,这些设备的用处是否值得我们赔上个人隐私与安全。
DigiCert近期开展的2018年物联网情况调查结果显示,物联网的安全性是大多数组织的建议考虑因素,但是许多组织还没有完全掌握自己需要做什么或需要进行哪些必要的投入。因此,在物联网安全性方面做得较好的企业与那些做得不好的企业之间出现了差距,给疲于应对物联网安全性的企业造成了比较大代价。
尽管有些企业比较在意有效安全措施的成本(例如65%的受访企业表示加密的费用高昂),但现实情况是,忽略物联网安全性的代价可能要大得多。那些疲于应付的企业报告称,两年中受到了至少规模高达3400万美元的影响。坦率地说,忽视物联网设备的有效安全措施代价太大,因此绝不能忽视。
由于造成重要基础设施关闭的基于物联网的攻击不断增加,压力必将持续加大。随着这些攻击开始影响国家经济或损害公共或个人健康,企业将被迫采取行动。加利福尼亚州、美国食品药品管理局、欧盟委员会与日本政府已经在考虑加强对物联网设备的监管。
尽管保护消费者免受物联网设备引起的隐私和安全问题是一项复杂的任务,但是现在我们拥有相关技术,可以保护这些物联网设备,使其免受未经授权的访问或不适当的身份验证。例如,可以使用适当的身份验证方法,如PKI和数字证书等,而不是传统的用户名和密码。我们还可以使用代码签名来确保固件能进行安全的无线更新,确保安全的设备启动,确保设备仅运行经过签名的代码以防止恶意篡改。
在随后的几个月中,DigiCert实验室将发布有关物联网隐私性与安全性的实验结果。我们推出此类文章的目标是,在针对已识别漏洞不断创新解决方案的同时,为公众开展物联网隐私性与安全性方面的普及教育。
Avesta Hojjati简介
Avesta Hojjati是DigiCert的研发负责人,负责管理网络安全产品的更高一级开发。在加入DigiCert之前,Avesta是赛门铁克与雅虎安全团队的一员,他还运营自己的网络安全创业公司。Avesta专注于应用密码学、区块链、后量子加密与物联网安全领域。Avesta在伊利诺伊大学厄巴纳-香槟分校获得计算机科学硕士学位,以安全领域为主要方向。目前他将要完成以区块链及物联网在制造业中的应用为主题的博士论文。(文/DigiCert 2019年2月21日 作者:Avesta Hojjati )
扩展阅读:
DigiCert SSL证书 https://www.sslzhengshu.com/brand/digicert.html