物聯網的安全性在未來多年內將依然脆弱

　　您现在的位置： 物联的安全性在未来多年内将依然脆弱 物联中国

　　日期： 17:44: 0来源：物联中国 点击：500次 核心提示：互联不再仅仅只能从你的笔记本电脑或移动进行访问了;现在的电视机，婴儿监护器，烤箱和甚至是汽车零件都能访问互联 互联不再仅仅只能从你的笔记本电脑或移动进行访问了;现在的电视机，婴儿监护器，烤箱和乃至是汽车零件都能访问互联愈来愈多地嵌入式医疗器械等医疗健康装备也都可以随时访问互联可以说现阶段互联是无处不在的，这一趋势将使得物联(IOT)得以保持持续地增长

　　不幸的是，这类不断发展的技术会使得安全问题也同样大幅增长上个月，在Black Hat和Defcon的安全会议上的多个演示文稿中，就强调了各种物联装备的弱点虽然还额外出现了其他物联安全挑战的重点，如OWASP物联安全的几条重要信息，整体看起来，在物联领域未来将依然是一场艰苦的战役

　　缺乏更新将会是物联的阿喀琉斯之踵

　　无效或没有计划，将成为物联部署安全更新的最大障碍现实情况是，漏洞会随时出现在任何代码中我们认为在全部设计和开发周期中都会有着较少的安全问题存在但是，所有的软件厂商必须要能随时准备快速地响应漏洞，并发布补钉，以保护他们的用户

　　我们必须从过去的失败中汲取教训

　　没有实际的修补计划所带来的影响，如今可以直接从iOS和Android上观察得到二者都运用大量的安全资源，由有才华的开发团队来开发这些操作系统，当安全问题被发现时，二者也都能迅速做出补丁加以修正苹果发布的补丁可直接通过iOS的更新向用户分发，但是Android设备的补丁必须通过设备制造商和络运营商来进行发布，所以这其间一定会造成大量的时间延误其可能出现的结果是，Android装备可能数月或数年都无法接收重要的补丁据统计，小于18%的Android装备在运行最新的Android版本，82%的设备都缺少关键的安全更新

　　今天的激励模式阻碍了物联补丁的发布

　　让我们想象一个安全漏洞被发现的物联烤箱，冰箱，或婴儿监视器，而且这些设备都是您最近购买的它们会及时发布补钉以解决这1问题么?让我们看一下各方的鼓励模式

　　制造商方面：

　　极力想让产品销售出去

　　产品要包括物联连接的功能 即使这并不是他们的专业领域

　　产品的市场因素带动产品的销售

　　顾客方面：

　　主要目的是希望设备能正常工作

　　认为能进行物联连接是一个很好的功能

　　大多数不想使用 固定 的模式

　　犯法组织方面：

　　希望装备能在其控制下成为僵尸络并进行分布式攻击

　　想保持隐藏，不影响设备性能，这样不被察觉，他们的恶意软件也就不会被消除

　　如果我们对上述因素进行评估，我们可以看到物联装备修补漏洞对厂商来讲具有非常低的优先级犯法组织会利用目前装备上一些已经过时的漏洞如果犯法组织足够狡猾，他们会在系统后台运行其恶意代码，而不影响装备的整体性能这意味着顾客不会发觉到恶意软件的存在，并且该安全漏洞也不会被顾客反馈至制造商那里去因此，如果该装备的评价没有负面的安全漏洞影响，制造商将没有动机对其进行补丁修补

　　物联的漏洞将影响很多受害者

　　虽然制造商可以不急于修复这些漏洞，但其潜伏的危险还是很大的

　　1、物联设备的所有者

　　客户将失去隐私他们的私人数据会在其不知情的情况下被监视并出售随着物联的扩展，这些数据将变得更加多样化，包括重要的健康数据，位置信息和家中的视频流等等

　　2、触及全部Web上的应用程序

　　在物联上的所有Web应用程序也将处于危险当中脆弱的物联设备将遭到损害，并加入歹意僵尸络这些受损的装备会发送垃圾邮件，拒绝提供安全服务，甚至能监视并获得全部被盗络的数据受害的站将继续攻击其它不相关的站和运用，恶意攻击防御系统，并不断扩大僵尸络

　　进行有效的修补程序部署将会是一个大问题

　　装备的黑客绝大多数会被忽视，也不影响到装备的所有者但是，一些安全漏洞会给顾客带来严重的影响，这样公众便会要求提供补丁加以修正但如何将这个补丁发布出来呢?

　　在这种情况下，制造商可能会争相发布补丁可是然后呢?如何修补实际受损失的装备呢?要求所有客户重新启动他们的烤箱，汽车，或心脏起搏器?或只将更新的软件提供在实物产品的下一个版本上?这意味着客户将继续使用未打补丁的装备，直到他们买了一台新的烤面包机，婴儿监视器等所以不幸的是，我们在物联安全方面，目前面临的挑战之一是，即便我们发布了一个补丁，也没有有效的渠道能及时投递到大多数装备上

　　我们怎样才能做得更好

　　我们有两种方法可以使情况变得更好

　　首先，我们需要通过努力使消费者改变激励模式，这样生产商将倾向于快速修补漏洞这可以通过公开影响范围广泛的IoT安全漏洞来实现也可以通过对物联安全性弱点内容的广泛交换来完成屡犯者要追究，消费者也应参与投票我们还应当提倡积极安全的方法，来帮助建立强健和安全的物联装备

　　其次，物联装备制造商必须为其产品中不可避免的安全漏洞做好准备他们必须考虑设计和实行进程中的安全性，避免明显的安全弱点不过，他们也必须建立一个可用的修补模式，使设备升级时能首先完成必要的重要的安全升级这也需要与用户进行无缝的合作，并且可以满足大多数的设备

　　物联将很快融入我们的生活方式之中如果我们从过去几十年的互联和计算机安全中学会了什么的话，我们就应该积极主动地完成安全规划我们不可能为每个新的漏洞或弱点做好准备但是，我们必须设计具有能确保用户数据安全的、可以快速部署新代码能力的物联装备否则，物联可能变成僵尸络的物联

　　本文由物联中国作者撰写，版权属于物联中国，转载请注明作者和出处，并附上址，谢谢