為什麼物聯網很脆弱，卻沒人在意？

如今，物聯網持續發展，筆記本和移動手機已經不是訪問互聯網的唯一途徑了，電視機，嬰兒監視器，烤箱，汽車都可以連網。 甚至越來越多的醫療器械和其他重要設備也開始嵌入互聯網功能。 不幸的是，技術發展同樣會引發一個問題——安全。 就在前不久的黑帽大會和Defcon安全大會上，技術人員展示了很多物聯網設備被黑的場景。 雖然物聯網安全受到了很多關注，但我們依然要面對一場艱苦的戰鬥。

更新不足是要害

對於物聯網安全而言，最大的障礙就是部署不正確，或是不合理的安全更新。 代碼隨時會出現漏洞，如果在設計和開發過程中就慎重考慮安全問題，那麼相關威脅肯定會明顯減少。 不僅如此，所有的軟體商必須要對漏洞做出快速反應，及時發佈補丁。

從過去學習經驗

如果我們看看目前的iOS和Android系統，就知道補丁修復的影響。 這兩款系統都有很多安全資源，而且也有非常優秀的系統組織，一旦發現了安全問題他們都可以快速提供補丁包。 不過，相比于蘋果，Android升級的及時性似乎做的不夠好。 蘋果可以通過iOS更新將安全補丁直接發送給使用者，但Android由於設備製造商和運營商的問題，通常會出現各種時延，很多設備要經過數月、甚至數年才能更新。 目前只有不到18%的Android設備運行最新的版本，82%沒有及時完成安全更新。

物聯網各方都在為自己考慮，讓安全補丁「很受傷」

如果你最近購買的可連網烤箱，冰箱或是嬰兒監視器出現了一個安全性漏洞，補丁包可以解決這個問題嗎？ 我們不妨先看看涉及物聯網的各方都在考慮什麼。

製造商

銷售產品；把互聯網連接看做是一項功能，而不是要涉足的一塊特殊領域；關注公眾對產品的看法，驅動銷售。

消費者

設備可以滿足主要需求；互聯網連接是一個不錯的功能，或是次要功能；絕大多數人不希望為「修設備」費神。

犯罪組織

控制設備，把目標網路變成「僵屍網路」，進行分散式攻擊；「隱藏自己」，不被發現，儘量不影響設備工作，這樣「受害者」就不會「維修」設備，也不會根除惡意軟體。

如果評估一下上述因素，就會發現在製造商一端，給設備打補丁的優先順序並不高。 而犯罪組織則會在一系列過時的設備上尋找漏洞，他們非常聰明，可以在不影響設備性能的前提下，部署惡意軟體。 這意味著消費者無法察覺設備已經被部署了惡意軟體，安全性漏洞幾乎不會影響消費者對設備的看法，也不會刺激製造商去主動關注物聯網設備的安全問題。

安全性漏洞有很多受害者

製造商可能不急於解決設備缺陷，但不意味著損害不嚴重。

消費者將會失去隱私，資料會被監視，甚至被賣給他人。 隨著物聯網的擴張，這些資料會涉及到更多隱私，比如健康資料、地理位置、室內視頻、孩子等。

跨互聯網的網路應用程式會遇到非常大的風險。 可連接設備很容易受到攻擊，它們不僅會被盜用，甚至會被連接到惡意「僵屍網路」上面。 被盜用的設備會發送垃圾郵件，參與阻斷服務攻擊，甚至會在網路上偷竊使用者的認證資訊。

有效部署補丁是一個大問題

駭客非常謹慎，不過還是會有漏洞被發現，使用者會要求打補丁。 但是這又能怎樣？

設備製造商們如果遇到這種情況，通常會「匆忙」發佈一個補丁包，但是之後呢？ 這些補丁是如何發送到設備上的？ 完成更新後，消費者需要重啟他們的烤箱，汽車，或是起搏器嗎？ 這些補丁適用于下一代產品嗎？ 不幸的是，這些問題都是我們目前遇到的挑戰，即使有了一個補丁包，也無法及時有效地部署到設備上。

我們如何能做的更好？

消費者需要改變「動機模式」，讓製造商重點補充漏洞。 實現這一點，需要加大對安全威脅的披露和宣傳，同時還要研究物聯網安全性漏洞的相關資料。 那些經常從事物聯網犯罪的駭客，必須對其行為負責，也要受到嚴懲。 還需要瞭解正面、積極的安全方法，説明構建更加穩定和安全的物聯網設備。

設備製造商必須為產品可能出現的安全性漏洞做好準備。 在設計和製造階段就要將安全問題考慮進去，避免明顯的安全性漏洞。 此外，還必須建立可行的「補丁模式」，至少在每次升級更新的時候也要安裝一些必要的安全補丁。

物聯網很快就會「封裝」我們的生活，過去幾十年如果我們從互聯網和電腦安全性裡面學到一些經驗和教訓，那就是就要把安全主動應用到物聯網規劃之中。 我們無法每一個漏洞和威脅做好規劃，但必須設計好快速部署代碼補丁的方法，否則物聯網將會變成「僵屍網路」。

(責任編輯：mengyishan)