就像飛行汽車一樣,物聯(lián)網(wǎng)終將會變成現(xiàn)實(shí)。正如我們想象的那樣,我們會擁有IP連接的汽車,更不用說IP連接的浴室、花園、狗項(xiàng)圈、鞋子等等。想象一下,我們沒有獲得有3.4×1038個(gè)特定IP地址且與計(jì)算機(jī)相聯(lián)的IPv6。
可以肯定的是,物聯(lián)網(wǎng)充滿了安全漏洞。對這些“物”進(jìn)行編碼的大多數(shù)人可能比本文的大部分讀者還要缺乏安全培訓(xùn)。這不要說威脅模型分析攻擊了,他們可能從來都沒有聽說過緩存溢出、DDoS[注]或是證書盜竊等攻擊技術(shù)。他們只是擅長設(shè)計(jì)固件,讓“物”與“物”之間彼此對話。
用戶不必成為熟悉曾經(jīng)出現(xiàn)過的所有攻擊的專家。蠕蟲、病毒和木馬等曾經(jīng)出現(xiàn)在PC上的攻擊可能會出現(xiàn)在物聯(lián)網(wǎng)上。盡管我們此前曾經(jīng)經(jīng)過了多年的精心準(zhǔn)備,但是這些攻擊還是現(xiàn)出在了移動設(shè)備和手機(jī)上。
幾乎所有研究物聯(lián)網(wǎng)的人都沒有展開過威脅模型分析,這導(dǎo)致出現(xiàn)了大量的安全問題。開發(fā)人員此前也并沒有意識到他們的硬件設(shè)備將會實(shí)現(xiàn)互動。他們沒有設(shè)計(jì)足夠強(qiáng)的輸入檢測,也沒有能力搞清楚A點(diǎn)至Z點(diǎn)之間的所有國外網(wǎng)絡(luò)和新協(xié)議。這些開發(fā)人員也無法提前預(yù)測設(shè)備被濫用的方式。他們只有廖勝于無的事件日志。同時(shí),用戶的隱私也受到了威脅,因?yàn)樵O(shè)備知道了包括財(cái)務(wù)信息在內(nèi)的用戶所有信息, 這些信息都可能被網(wǎng)絡(luò)不法分子所獲取。
相反,幾乎計(jì)算機(jī)安全領(lǐng)域內(nèi)的所有人都清楚這些挑戰(zhàn)。但是似乎社會對此出現(xiàn)了誤解,許多計(jì)算機(jī)安全領(lǐng)域內(nèi)的專家?guī)缀踉谒麄兺诵葜耙恢辈粫鲞@個(gè)圈子。
那么怎么解決這一問題呢?Shelly Bird表示,我們需要的是設(shè)備身份識別。為了保護(hù)物聯(lián)網(wǎng)的安全,我們必須要能夠可靠地識別設(shè)備身份,并對這些設(shè)備采取適當(dāng)?shù)陌踩刂。同時(shí),我們還要能夠識別出存在問題的設(shè)備,并修復(fù)它們。
我似乎已經(jīng)看到了數(shù)以千計(jì)的烤箱對InfoWorld網(wǎng)站發(fā)動大規(guī)模DoS攻擊的那一天。最佳解決方案是對設(shè)備展開普遍的身份驗(yàn)證。我們永遠(yuǎn)都無法解決所有設(shè)備身上存在的漏洞,甚至無法做到讓某一單一設(shè)備身上不存在漏洞。試圖解決某個(gè)平臺上的某個(gè)漏洞無疑就像在無垠的草原上玩打地鼠游戲一樣。
現(xiàn)實(shí)的辦法是降低互聯(lián)網(wǎng)犯罪率,讓實(shí)施惡意攻擊的不法分子無處藏身。一旦這些不法分子意識到他們有可能會被抓住,即使僥幸逃脫也不會掙到大錢時(shí),互聯(lián)網(wǎng)犯罪率就會下降。
我們必須要在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中內(nèi)置廣泛的身份識別措施,除此之外別無它法。雖然在過去十年間我們并沒有很好地解決互聯(lián)網(wǎng)安全領(lǐng)域中的老大難問題,但是如果出現(xiàn)了必須要解決的挑戰(zhàn)那么我們終歸會解決它們,而物聯(lián)網(wǎng)可能就是我們需要用計(jì)算機(jī)安全知識解決的挑戰(zhàn)。