物联网的“合理”安全问题
2016-03-01 TechTarget中国 编辑:Robert Richardson 翻译
当谈论物联网(IoT)安全问题时,IoT专家会谈论两个不同的问题。在IoT中,恶意攻击者掌控安全控制后,汽车和自动扶梯可能会变得很危险;除此之外,联网机器数据可能导致攻击面呈指数级增长。
TechCrunch贡献者兼软件工程师Ben Dickson在博客中对攻击面问题总结道:“更多联网设备意味着更多攻击向量以及攻击者有更多机会攻击我们;如果我们不尽快采取行动解决这个安全问题,我们很快将面临不可避免的灾难。”
然而,Dickson的结论并不一定会变成现实。广泛使用的平板电脑并没有被确认为任何重大数据泄露事故或恶意软件爆发的根源,在很大程度上可以说这是因为这些设备比典型的台式Windows电脑更加安全。
你肯定看到过与汽车相关的IoT安全问题,如果汽车在正确的时间行驶错误的路线,它可能会夺去人的性命。笔者并不是说这不是合理的顾虑,只是我们很难说在未来这是否会变成可能。
杀人汽车和新的攻击面可能是合理的IoT安全问题,但物联网还有其他安全问题,让我们先来看看基本层面的安全问题:
1. IP无法承受之重
你肯定听到过很人多谈论IPv6将如何支持IoT,因为我们将需要更多独特的IP地址,而IPv4地址已经所剩无几。在一定程度上,这可能是真的,但是正如MeshDynamicx创始人兼首席技术官Francis daCosta所指出:“数十亿设备不能进行单独管理,它们只能被安置。通过传统手段(例如IPv6)不太可能管理如此庞大数量的通信机器。”在daCosta看来,未来将会出现大量自我组织的本地网络。笔者相信他是对的;这也是可行的。
2. IP太大
便宜的日常物品中微型传感器运行完整的IP堆栈并没有意义,所以我们需要开发或扩展小型本地网络协议。本地网络将连接到企业或工业网络,仅在需要时与其余IPv6空间来交互。蓝牙为我们带来极简的网络,但它只能支持多点网络。低功耗无线协议(例如谷歌的Thread,针对智能家具设备的IPv6规范)则是从更传统的方式尝试解决这个问题的早期尝试。我们可能会看到某种版本的最小堆栈无线将会出现并成为主导标准,但即使通过一种规范,IoT设备变得不那么智能,它们构建的网络将会变得更加复杂。如果我们不能保护目前的互联网,未来事情会变得更加复杂。
3. 这是一场混战,可能会有人受伤
目前,IoT设备连接到智能手机,智能手机会连接到服务器来为其应用程序获取数据。但不同的IoT应用(智能手机、腕带、灯泡、医疗器械等)之间还没有互连。我们开始看到API mashup连接不同智能对象知道的点,但这只是开始。在等到本地非IP网络知道如何以协调的方式来聚合数据后,我们才可能看到进一步的互连,这反过来可能需要我们进行共同开发和部署生态系统。
我们可以把它看成是操作系统战争再次爆发,而这次有更多的移动部件,或者说浏览器战争。在每个战争中,都是通过添加功能来赢得战争,包括没人知道他们需要的功能。当然,更多的功能意味着更多漏洞和IoT安全问题。