坐享智能生活之余 亦需嚴(yán)防物聯(lián)網(wǎng)安全威脅
物聯(lián)網(wǎng)時代可能引爆的安全威脅,甚至?xí)冗^往PC時代還要來得巨大,主要是因為,深究絕大多數(shù)物聯(lián)網(wǎng)裝置的設(shè)計目的,通常都起源于特定功能,講究輕巧便攜與低能耗,與PC包山包海的特性大不相同,正因為如此,物聯(lián)網(wǎng)裝置體態(tài)相對狹小,并不具有太強(qiáng)大的運(yùn)算能力與儲存空間。
為駕駛?cè)颂峁┌踩鸟{駛輔助,向來是車聯(lián)網(wǎng)發(fā)展目的之一;殊不知水能載舟、亦可覆舟,倘若車載系統(tǒng)遭黑客入侵,反倒可能導(dǎo)致駕駛?cè)讼萑胫旅C(jī)。
綜合各家IT大廠、知名研究機(jī)構(gòu)的預(yù)測,從現(xiàn)在開始迄至2020年,將會是第一波的物聯(lián)網(wǎng)(IoT)爆發(fā)期,單就每一個人而論,身上至少擁有3~4個物件具連網(wǎng)能力,共計在全球造就500億個連網(wǎng)裝置,因而匯聚為龐大商機(jī),也難免成為黑客覬覦的目標(biāo)。
去年世界經(jīng)濟(jì)論壇(WEF),發(fā)布“2016年全球風(fēng)險報告”,個中有一些話語相當(dāng)發(fā)人深省,包括“互聯(lián)網(wǎng)已開啟一片新的戰(zhàn)爭領(lǐng)域,與網(wǎng)絡(luò)對接乃至相關(guān)的一切,皆可被突破”,及“物理距離已無法提供足夠保護(hù),大量技術(shù)存在兩面性,許多重要的基礎(chǔ)設(shè)施為私有資產(chǎn),具有難于追蹤的特性,使得我們甚難掌握攻擊活動的來源”。
更重要的,WEF的全球風(fēng)險報告,有一席話猶如當(dāng)頭棒喝,足以讓人看了冷汗直流,意即“對于技術(shù)方案的認(rèn)知匱乏,及應(yīng)對相關(guān)風(fēng)險的處理能力低落,特別在于網(wǎng)絡(luò)風(fēng)險、或關(guān)鍵性信息基礎(chǔ)設(shè)施破壞所帶來的系統(tǒng)性連鎖效應(yīng),極可能為國家經(jīng)濟(jì)、各個經(jīng)濟(jì)組織甚或全球企業(yè),帶來深遠(yuǎn)影響”。
綜上所述,根據(jù)WEF邀集全球數(shù)百位頂尖專家的認(rèn)定,例如大規(guī)模網(wǎng)絡(luò)攻擊、數(shù)據(jù)造假與偷竊等安全危機(jī),恐將致令關(guān)鍵性信息基礎(chǔ)設(shè)施與網(wǎng)絡(luò)為之崩潰,因此網(wǎng)絡(luò)安全威脅對于地球環(huán)境的殺傷力,堪與通貨緊縮、氣候變遷、糧食危機(jī)、傳染性疾病擴(kuò)散、大規(guī)模殺傷性武器、國家間沖突等其他危害項目等量齊觀;而這也是WEF首度將網(wǎng)絡(luò)攻擊的嚴(yán)重程度,拉升至如此高的層級。
網(wǎng)絡(luò)攻擊風(fēng)險 為國家與企業(yè)帶來深遠(yuǎn)影響
或許有人認(rèn)為,WEF似乎有些小題大作、危言聳聽,然而一旦仔細(xì)斟酌其為何將網(wǎng)絡(luò)攻擊列為如此嚴(yán)重的風(fēng)險,便不難看出個中蹊蹺。其中最根本的癥結(jié)點,乃在于人類對于網(wǎng)絡(luò)的依賴性與時俱進(jìn),甚至已經(jīng)“積重難返”,使得網(wǎng)絡(luò)攻擊可能帶來的潛在風(fēng)險,一天比一天還大,尤其伴隨物聯(lián)網(wǎng)帶來人與機(jī)器之間更緊密的溝通聯(lián)系,更大幅強(qiáng)化了網(wǎng)絡(luò)攻擊機(jī)率、以及對整個網(wǎng)絡(luò)生態(tài)系統(tǒng)的潛在連鎖效應(yīng);在此前提下,美國已將網(wǎng)絡(luò)攻擊風(fēng)險視為頭號威脅,另外包括德國、日本、瑞士乃至新加坡等多個國家,亦把網(wǎng)絡(luò)攻擊列為企業(yè)領(lǐng)導(dǎo)者最關(guān)注的頂級威脅,似乎并不為過。
進(jìn)入物聯(lián)網(wǎng)時代,不僅每個人身上的手機(jī)、手表、手環(huán)、眼鏡、鞋子、衣服甚至皮包,都將逐一轉(zhuǎn)化為連網(wǎng)對象,少則3~4個、多則7~8個,這還不打緊,每個家庭當(dāng)中,尚有計算機(jī)、電視、冰箱、電飯鍋、空調(diào)、電表、燃?xì)獗?、水表、智能插座等連網(wǎng)對象,光是這一些,看在黑客的眼里,已然稱得上是值得怦然心動的題材了,更何況在戶外還有車聯(lián)網(wǎng)、智能工廠、智能零售、智能醫(yī)療、區(qū)塊鏈(Blockchain)、智慧城市、智能電網(wǎng)…等等極其豐富的“商機(jī)”。
因此盡管物聯(lián)網(wǎng)因為具備更多的方便性、移動性與創(chuàng)新科技,從而教人興奮不已,但它形同兩面刃,也可謂孕育網(wǎng)絡(luò)犯罪的頂級天堂,著實值得人們高度警惕。
事實上,物聯(lián)網(wǎng)時代可能引爆的安全威脅,甚至?xí)冗^往PC時代還要來得巨大,主要是因為,深究絕大多數(shù)物聯(lián)網(wǎng)裝置的設(shè)計目的,通常都起源于特定功能,講究輕巧便攜與低能耗,與PC包山包海的特性大不相同,正因為如此,物聯(lián)網(wǎng)裝置體態(tài)相對狹小,并不具有太強(qiáng)大的運(yùn)算能力與儲存空間,所以意欲在設(shè)備本身融入安全機(jī)制,難度實在不小;舉例來說,要讓設(shè)備在接收或傳輸數(shù)據(jù)時,進(jìn)行雙向認(rèn)驗證,便有現(xiàn)實上的困難性。
物聯(lián)網(wǎng)安全與實用之間 猶難建立最佳平衡
所以已經(jīng)有不少安全專家,對于如何在物聯(lián)網(wǎng)的安全與實用之間找到最佳平衡,感到不甚樂觀,也因而憂心忡忡。其中最讓安全專家深感憂慮的,便是車聯(lián)網(wǎng)安全,只因為此事與多數(shù)民眾的日常生活息息相關(guān)。
回顧近3年來,已經(jīng)不只一次,出現(xiàn)知名車廠因為軟件漏洞而發(fā)出召回令,例如某次是因為車上的觸控屏幕存在著嚴(yán)重弱點,可能讓黑客有機(jī)可乘,針對該車輛進(jìn)行遠(yuǎn)程控制;事實上,某個以C字眼開頭的知名系列跑車,其安全系統(tǒng)不僅止于出現(xiàn)漏洞,而是已經(jīng)遭到黑客攻破,可輕易從遠(yuǎn)程操控其煞車系統(tǒng),試想,由于煞車系統(tǒng)攸關(guān)人命,這是多么讓人驚懼的事實?
除此之外,個人資料與隱私的安全,也將因物聯(lián)網(wǎng)時代的到來,因而面臨前所未見的巨大考驗。綜觀時下運(yùn)動達(dá)人,例如運(yùn)動手環(huán),計步器與移動運(yùn)動設(shè)備,都已成為時尚必備品,盡管這些達(dá)人對于運(yùn)動普遍在行,但隔行如隔山,對信息安全風(fēng)險意識,普遍并不到位,便可能使得諸多風(fēng)險油然而生。
全球聞名的第三方信息安全檢測機(jī)構(gòu)AV-Test,過去即特別測試了個人健身數(shù)據(jù),如何從這些設(shè)備傳遞至智能手機(jī)與云端服務(wù)器,也同時測試手機(jī)健身追蹤應(yīng)用的安全性。
結(jié)果顯示,用戶的運(yùn)動數(shù)據(jù)皆會被記錄,并透過隨身智能手機(jī)上的APP進(jìn)行分析,從而一目了然地反應(yīng)該使用者的健身情況,細(xì)數(shù)個中潛藏的安全風(fēng)險,則包括了數(shù)據(jù)傳輸過程的安全性,黑客不管是透過途中的攔截,或預(yù)先竄改手機(jī)應(yīng)用程序,有許多途徑,都能幫助他們?nèi)缭父`取這些健身數(shù)據(jù)。
當(dāng)然,許多運(yùn)動達(dá)人,并不認(rèn)為自己的健身數(shù)據(jù)多么值錢,值得黑客如此大費周章進(jìn)行偷竊;但他們可能忽略掉,竊取這些健身數(shù)據(jù),對于身懷一定技術(shù)能力的黑客來說,根本猶如小菜一碟,完全談不上大費周章,況且這些信息也絕不像他們自認(rèn)的如此無價,比方說,此訊息對于保險公司便深具價值,可用以進(jìn)行產(chǎn)品設(shè)計與廣告推銷,更可怕的是,這些信息足以反映用戶的運(yùn)動習(xí)慣,假使被犯罪分子取得,即可據(jù)此推測使用者鐵定不在家的時間,接著登堂入室搜括財物。
欲消除物聯(lián)網(wǎng)威脅 有賴供貨商納入安全設(shè)計
更有甚者,為廣大使用者提供服務(wù)的企業(yè),其責(zé)任不僅在于全力保護(hù)自身數(shù)字資產(chǎn),在此同時,亦需連帶保護(hù)他們的客戶與員工之?dāng)?shù)據(jù)安全,不容許任何個人資料或隱私,是因為企業(yè)一時的粗心大意而流失,只要不慎發(fā)生此事,對于商譽(yù)與形象沖擊之大,甚至?xí)蟮阶阋詣訐u經(jīng)營根基;然而隨著物聯(lián)網(wǎng)裝置大量應(yīng)運(yùn)而生,將逼使企業(yè)必須與黑客進(jìn)行攻防的點,驟然增加數(shù)倍、數(shù)十倍之多,顧此失彼的機(jī)率提高不少,所以對于眾多有責(zé)任保護(hù)員工或客戶個人資料的企業(yè)而言,物聯(lián)網(wǎng)肯定如同一場揮之不去的惡夢。
值得留意的是,物聯(lián)網(wǎng)裝置遭到黑客入侵得逞的機(jī)率,也比PC大上許多,因為這些裝置不僅采用大量開源函式庫,也引用了還未臻成熟之境的UPnP等通訊協(xié)議,更重大的問題在于設(shè)計者普遍未納入安全考慮,所以當(dāng)這些產(chǎn)品遭到破壞時,也不會觸發(fā)任何響應(yīng)機(jī)制。
那么如何提高物聯(lián)網(wǎng)安全?專家呼吁,物聯(lián)網(wǎng)裝置供貨商必須將安全列為產(chǎn)品設(shè)計的要素,相對來說,消費者亦需提升安全意識,在選購產(chǎn)品時特別留意其安全強(qiáng)度,進(jìn)而反向給予供貨商壓力,驅(qū)使他們自知上緊發(fā)條、不容懈怠,借以形成正向循環(huán),帶動物聯(lián)網(wǎng)安全的大幅起飛。
另外,政府機(jī)關(guān)也有責(zé)任協(xié)助設(shè)立物聯(lián)網(wǎng)安全測試平臺,甚至不排除建立專責(zé)機(jī)構(gòu),針對各個不同垂直產(chǎn)業(yè)的物聯(lián)網(wǎng)應(yīng)用,訂定不同的安全防護(hù)標(biāo)準(zhǔn),接著依據(jù)這些標(biāo)準(zhǔn),樹立嚴(yán)謹(jǐn)?shù)陌踩珳y試規(guī)范,久而久之,必定可有效提高黑客入侵的門坎。