来自联邦贸易委员会的所有人以及各种安全专家不断警告称,在物联网(IoT)的爆炸式发展中,安全没有得到重视。
Duo Security公司安全传道者Mark Stanislav和高级安全研究人员Zach Lanier表示,尽管如此,事情并没有得到改善,反而越发严重。
在题为“物联网:我们有话要说”的演讲中,这两位表示,这在很大程度上是因为这个领域的民主化。Stanislav表示:“现在有数百家IoT相关的企业,其中大部分你可能从来没有听说过。”
这意味着物联网的发展,不仅是针对大型企业,任何人都可以从事IoT事业,从众筹来源获得8万美元。但问题是,这些都不是具有安全头脑的人。他们没有任何经验,也没有预算,而且他们不知道为什么其他人想要打破自己的东西。
Stanislav和Lanier表示,他们的目标是帮助那些小型供应商了解安全的重要性,这样做,是帮助他们免于牢狱之灾,他们发起了BuildItSecure.ly倡议来帮助小型供应商。
安全问题正变得越来越严重。根据Gartner预测,到2020年,将会有260亿嵌入式设备连接到互联网,而FTC主席Edith Ramirez则预测是500亿。
Lanier指出,硬件价格从25美元到169美元不等,每个都提供了通用用途。你买东西,建立一个账号,编写应用代码,他会发送消息到任何设备。这是一种SaaS[注]。
问题在于,对于开发人员的门槛非常低。这是具有无限可能性的廉价硬件。
硬件越便宜,对小型开发人员就更具吸引力,他们可以用极少的预算开发产品,并且也不太可能会内置严格的安全性。
在他们所谓的“A Case Study in IoT Failure IZON”研究中,他们发现了19个漏洞,包括未加密的客户数据、信息泄露、糟糕的密码安全、缺乏对客户数据的身份验证,以及单个IoT设备糟糕的移动安全。
物联网对这个行业带来的挑战包括一切事物的安全性,包括硬件、软件、网络和平台,以及用户意识和行为。如果这些安全问题没有解决,IoT漏洞可能会导致攻击者获取对你的冰箱和温度器的控制,甚至你的车库门、车门锁的控制。
这样的事情已经在各种会议中得到证明,并已经发生在现实世界中。例如在2012年1月,攻击者侵入TRENDnet的700台摄像头,并将实时摄像内容放在网上。
解决这些问题的主要障碍是用户可能不知道或者不关心更新安装。他们只想要使用设备。
BuildItSecure.ly的目标专注于没有预算或者不了解安全重要性的小型供应商,与他们建立合作伙伴关系,指导他们采用最佳做法。
他们希望这个举措能在未来两个月推出。“我们想要给供应商和研究人员了解如何构建安全性,并且我们会开始寻找漏洞、奖励研究人员和解决问题。” (邹铮编译)
