外媒稱裝置安全已成為當前科技行業面臨的共同挑戰

寒凝雪發表於2017-07-03

北京時間11月9日訊息,國外媒體今天撰文指出,俗話說“覆巢之下,安有完卵”,在大規模網路攻擊面前,無論是Facebook這樣的科技巨頭,還是眾多科技創業公司,都無法在這場危機中獨善其身,如何讓智慧裝置變得更安全,已成為擺在他們面前的共同課題。

以下為文章全文:

新一輪網路攻擊充分利用攝像頭、錄影機、印表機、無線路由器和無線音響等日常電子裝置,這種攻擊特點也給人們敲響了警鐘,讓他們意識到物聯網的潛在危險。儘管如此,裝置廠商面臨的共同問題是,他們普遍對網路安全知識缺乏瞭解,無法應對黑客攻擊這種他們並不熟悉的任務。

面臨網路安全挑戰

下面我們就以升泰科技(AV Tech)為例,說明科技公司所面臨的這種挑戰。升泰科技是一家知名監控攝像頭廠商,20世紀90年代建立於臺北市郊。它曾經登上2008年福布斯極具潛力的公司榜單,但由於與大陸廠商的競爭激烈,該公司的利潤只有以前的十分之一。

與同行一樣,升泰科技已將產品開發重點轉移到線上,把攝像頭與儲存視訊的數字視訊錄影機連線到網際網路上,以便使用者可以遠端訪問。但是,此類公司對數字安全的瞭解並不多,讓智慧裝置更容易遭受黑客攻擊。

網際網路安全公司Covata CEO特倫特·特爾福德(Trent Telford)表示:“一個殘酷的現實是,網路安全甚至沒有引起眾多廠商的注意。廠商最終會更加重視網路安全,但對於當前這一代物聯網使用者來說,可能為時已晚。”

業內人士預計,到2020年最多會有300億臺裝置與網際網路連線,所有這些裝置都易於遭受黑客攻擊。日前,數十萬臺消費電子裝置成為所謂的“殭屍網路”的一員,對包括PayPal、Spotify和Twitter在內的目標網站實施攻擊,這起網路攻擊凸顯了物聯網裝置的安全風險。

網路安全專家表示,這還只是一個開始。他們隨後發現了新版本的惡意軟體,旨在尋找和感染存在安全漏洞的裝置。據網際網路安全顧問公司IOActive的安全專家丹尼爾·米斯勒(Daniel Miessler)介紹,網路殭屍還可以被用在廣告欺詐活動中。

遭遇大規模DDoS攻擊

網路安全顧問公司Flashpoint表示,在上個月的大規模網路攻擊用到的殭屍網路,有一部分在本週還被用於對美國兩位總統候選人的競選團隊網站發動了分散式拒絕服務(DDoS)攻擊,雖然這兩家網站並未因此此攻擊而陷入癱瘓。

儘管安全研究人員並未在殭屍網路中發現升泰科技的裝置,但他們均指出了升泰科技裝置存在的一些問題,而這些問題令其易於遭受攻擊。

匈牙利安全公司Search-Lab的格格利·埃伯哈特(Gergely Eberhardt)在一篇博文中表示,他在一年時間內多次提醒升泰科技注意其產品中存在的14個安全漏洞,但對方一直沒有作出回應,最終他在上個月釋出了自己的研究結果。這一說法得到了埃伯哈特所在公司的證實。

除此之外,其他DDoS攻擊的訊息也給這家臺灣公司敲響了警鐘。升泰科技總裁辦公室特別助理迪克·李(Dick Lee)表示:“老實說,以前黑客攻擊以及如何發現這種攻擊,並不是升泰科技關心的問題。這種事情已經極大地提高了我們的內部警報級別。這些都是監控裝置廠商必須要認真看待的問題。”

硬體裝置廠商正在認真對待這一問題,雖然有時還不太情願。中國攝像頭廠商杭州雄邁最近召回了數千臺裝置,原因是研究人員發現這些裝置成為令Twitter和其他網站陷入癱瘓的殭屍網路的一部分,不過杭州雄邁威脅對那些詆譭該公司的人採取法律行動。

開發物聯網新技術

晶片廠商高通表示,該公司正在開發可提升物聯網裝置安全性的新技術,比如基於機器智慧的新技術。高通執行董事長保羅·雅各布(Paul Jacobs)週一在臺北參加了一個科技活動,他在活動間隙接受路透社採訪時表示:“我們可以給硬體整合一些仍有待觀察的重要元素:裝置是不是在從事它本不該做的事情?裝置是不是在與它本不該對話的東西進行互動?裝置是不是正以不同方式訪問記憶體?物聯網必須要確保使用者可以對裝置進行安全升級,這一點非常重要。”

升泰科技表示,該公司正就建立長期合作與Search-Lab和其他安全公司進行談判,此外還計劃釋出升級後的韌體,即對裝置內部機制進行升級的軟體,從而令裝置更安全。除了老牌消費電子裝置廠商,眾多創業公司也面臨著同樣的問題。思科網路安全負責人拉尼·萊菲蒂(Lani Refiti)表示,他一直在與澳大利亞硬體創業公司合作,令其裝置變得更安全。

萊菲蒂表示,有一家公司生產感測器,幫助跑步機使用者分享健身資料,如果該公司重新開發軟體,以合適的方式加密資料,那麼裝置就會推遲三個月發貨。一個成本更低的解決方案是隱藏這種資料,讓黑客更難以破解。

徹底改變落後觀念

眾多行業組織就是在這種背景下出現的,完全專注於安全問題。萊菲蒂今年建立了IoTSec Australia,專門為創業者提供安全服務,而總部設在英國的物聯網安全基金會(IoT Security Foundation)的成員則包括ARM、華為、飛利浦等公司。

物聯網安全基金會創始人約翰·摩爾(John Moor)表示,該基金會的主要目標是簡化物聯網安全指南,讓工程師真正去閱讀這種材料。物聯網安全基金會即將釋出第一份最佳實務手冊,將300頁至400頁的行業檔案縮減為一份只有30頁的檔案。

摩爾指出,“這些公司面臨的不僅僅只是技術上的挑戰。他們可以整合一些安全功能,但他們是否建立了合適的程式呢?他們是否正在做合適的事情呢?”

對於升泰科技來說,提升裝置安全性可能會成為實現與大陸廠商產品差異化的理想途徑。迪克·李說:“這是絕佳的機遇。對於這些監控裝置來說,對安全性的需要是最重要的。”他最後表示,提升裝置安全性勢必導致成本上升,“但估計不會太高”。

本文轉自d1net(轉載)


相關文章