安全专家谈物联网：物联网能载舟，亦能覆舟

　　【智慧城市网】安全专家们将物联网(IOT)比作一只无舵的船舰，这种随之而来的无向性使得他们不安。过去，颠覆性技术总是存在着很多困扰大家的问题，就如何避免这些问题，有三名专家提出了他们建议。参与这个专家组的有：
　　
　　罗杰·G·约翰斯顿——阿贡国家实验室，漏洞评估小组(VAT)组长。约翰斯顿对于弄清事物如何运作有着极大的热情，例如在这个视频中，他展示了入侵到某些投票软件中是多么轻而易举。所以，约翰斯顿在讨论中掌握了关键的“物”这个环节。
　　
　　乔·克莱因——SRA国际公司，网络安全解决方案架构师。对于任何与IPv6有关的事情，克莱因都不遗余力地去做，这一点对物联网来说非常重要，因为若没有IPv6，物联网也不可能做成。
　　
　　雅克布·威廉姆斯——CSRgroup公司，首席科学家。作为一名数字取证科学家，威廉姆斯特别喜欢别人说他们公司的网络难被入侵。当讨论物联网日益倚重的互联性时，威廉姆斯的专业知识则可以派上用场了。
　　
　　物联网的定义
　　
　　为了使这次对话意义深长、明白无误，我们需要给物联网下个定义。在网上流传甚广的众多定义中，下面这种正好是专家们最认可的一种：
　　
　　“(物联网是)物理对象与信息网络天衣无缝地结合为一体的世界。在物联网中，物理对象可以积极参与到业务流程中来。(人们)可通过互联网与这些‘智能对象’进行互动，询问和改变它们的状态或者任何与其有关的信息。”
　　
　　许多人好奇是谁创造了“物联网”这个术语，大多数人都认为是凯文·阿什顿。他说：“我可能是错的，但是我确定1999年我在宝洁公司做展示时，以标题的方式首次提出‘IOT’这个词。”
　　
　　TechRepublic:人人都认定物联网是或者即将是下一代颠覆性技术。在您的专业知识领域，您认为物联网最好的代表是什么?
　　
　　约翰斯顿：我认为物联网具有颠覆性意义，因为几乎制造所有产品如烤箱、运动鞋、车库门、背包和空调等的公司，都需要在他们的产品中安置电子设备、微处理器和软件，否则他们就该关门大吉了。那些能编写微处理器程序、制作无线传感器的人才将比只会为电脑编程的更受重视。
　　
　　克莱因：某些设备可以使我的生活比曾设想中的更方便舒适，作为一名技术专家，我被内置于那些设备中的功能深深吸引。我每天要花3个小时上下班，只要不开车，这三个小时让我干什么都行。所以谷歌你快点吧(谷歌在开发物联网产品中处于世界前列)。
　　
　　另一个我很感兴趣的物联网产品是可编程设计的LED灯。我可以编好程让它早上发出青白色的光叫醒我，晚上则发温暖的黄光以放松一天紧张的神经。
　　
　　威廉姆斯：对我来说，物联网带来的最有正面意义的颠覆是高效的交通。自动驾驶汽车(例如DARPA和谷歌制作的)就是其中之一。想象下所有在路上行驶的汽车都可能正互相交流着。自动驾驶带来的行程安全保障是一个好处，而另一好处是在拥堵的街区，自动驾驶还可以减少我们的紧张感。
　　
　　TechRepublic：您最担心物联网的一点是什么?
　　
　　约翰斯顿：很明显，是保密性。举个例子，偷窥狂问题经常与家里安装的Trendnet家用摄像机有关，这是拿用户安全来打赌，而类似的赌局还会有很多。还有很多不了解物理和网络安全的硬件工程师来开发电子设备，这就会让设备承担着极大的受蓄意破坏的风险，用户的个人敏感信息丢失和因摄像头损坏导致个人隐私泄露。
　　
　　另一个潜在的隐患是安全问题。远程或者机器人控制型的烤箱、烤架还有其他东西都可能引起一些严重问题和法律责任。
　　
　　克莱因：在物联网设计的过程中，有两个毫不相似却又紧密相连的问题。第一，制造物理对象的工程师与将物理对象和网络相连的工程师之间的联系是断裂的，而这种断裂又事关安保措施和个人隐私。我认为这是个很大的问题。
　　
　　第二个问题在于为物联网设备设计的商业模型。举WindowsXP为例：微软正在淘汰XP，在现有的电脑上升级操作系统软件也通常不可行，你得买新的计算机硬件。所有物联网设备都可能会面临同样的问题。正如一辆机械状况完好如初的物联网汽车，仅仅因为它型号过时、无法更新补丁，就毫无用处了。
　　
　　威廉姆斯：只有两点：安全保护和个人隐私。安全保护的程序必须在开发联网设备之初就被编写好，设备不运行之后再绑定保护程序的情况已经屡见不鲜了。看看我们的联网的医疗设备，很多都从未接受过正式的安全评估。个人隐私也是同样的一个问题——以我上班路上的交通为例，交通路由器一定会追踪路上每辆车的起点、路线和目的地，假如这些数据没被保护好，那么这将意味着个人隐私存在多大的危机啊。
　　
　　TechRepublic：作为一种颠覆性技术，物联网意味着它将对我们的生活有着极大的影响。除了像过去那样与潜藏负面影响的技术减少接触之外，我们还能怎么做呢?例如，专家们希望他们在原有的网络技术上成立安保措施以推动互联网。
　　
　　约翰斯顿：我们无法准确预知未来。以前有人说：如果你回到1870年去问一个农民他想要什么，他准会答要匹更高大强壮，但又吃得更少得马，而不会答要一辆拖拉机。又有谁能预测到互联网上会出现Twitter和Craig’sList这样的网站?我的要求是，
　　
　　物联网对安全要有最小程度上的保证、需要独立的漏洞评估、订立相关法案、对安全漏洞要有经济保证以及创立单独的互联网供物联网设备使用，而不是使用整个互联网。
　　
　　克莱因：我不知道我们要怎样避免这些即将到来的问题。可喜的是，联邦政府开始推动法律法规的建设以保护关键的基础设施。奥巴马总统这礼拜刚刚发表了一份有关声明。
　　
　　威廉姆斯：我要重申，从一开始就要把安全保护设计在内——而不是相信开发者所说的安全已被设计的一面之词。进行独立测试是我们的唯一选择。开发者考虑如何构建符合规格的物联网，漏洞评估专家研究如何破坏它们。我们更侧重于研究那些开发者不会想到的东西。我曾测试过无数的系统，这些系统的设计文档都要求具备加密功能，但是有一个开发者却忘记去实现加密功能。审计人员能被说服到认为一切都运作良好，但只有进行独立测试才能揭露运行漏洞。
　　
　　结论
　　
　　专家组总体而言的观点是：物联网有潜力能显着改善我们的生活，甚至制造出智能冰箱，但是如果我们不注意，物联网也可使我们的生活痛苦不堪。
　　
　　专家们提到了一件我没考虑到的事情，那就是因软件到期而非硬件问题导致产品报废。我的车用了16年了，如果因轮胎尺寸不对，就无法给软件打安全补丁，从而每隔几年就得换车，我也不知道自己是否能接受。