IoT安全的一些思考：安全、隐私、防护

Internet of Things (IoT)的发展目标是Internet for ALL THE THINGS，制热、制冷系统都会接入网络，而且会有更加智能的AI项目参与进来。这些IoT设备可以将信息通过网络传递到世界上的任何地方，比如服务器、公司数据库、和自己的手机。

不幸的是，随着更多的设备连接到Internet，会引入更多潜在的网络犯罪风险。Gartner预测，到2020年，会有超过260亿联网的设备，而这还不包括PC，笔记本和智能手机。这么多的联网设备，就像一个定时炸弹，会爆发全球大灾难……下面我们讨论一下IoT的潜在风险。

IoT网络犯罪

使用IoT的个人和公司都很容易被黑，但是有多容易呢？网络犯罪分子能黑进拷面包机，然后获取整个网络的访问权吗？能渗透近虚拟会议，窃取公司的机密数据吗？能监听你的孩子，控制你的汽车，破坏你的重要医疗设备吗？

然而，现实与那些夸张地宣传相差并不远。2年前，黑客黑掉一个智能冰箱，让冰箱在做ice cube时发送色情垃圾邮件。婴儿监护器也被用于窃听甚至向睡着的婴儿说话。2016年10月，上千个安全摄像头被黑，黑客利用这些摄像头对Dyn发起史上最大规模的DDOS攻击。Dyn是美国的一家DNS服务提供商，主要服务对象为Twitter, Netflix, CNN这样的公司。2017年3月，维基解密公布了CIA用户攻击IoT设备的工具，可以远程记录宾馆和会议室的会话，比如攻击三星智能电视。多久以后，这些设备会被用于恶意用途呢？

隐私是IoT设备考虑的另一个因素。你想让你的KitchenAid知道你的购物习惯吗？如果KitchenAid的合作商向你精准投放广告，你怎么看？如果替你自动下单呢？

目前，IoT攻击的频率还很低，可能的原因是对这样IoT设备的市场渗透还不够。如果每个家庭都有Cortanas，可能会有更多的动作。随着IoT设备的普及，犯罪分子利用IoT设备的安全和隐私只是一个时间问题。

安全和隐私问题

根据Forrester的2018年安全威胁预测，IoT的安全差距会越来越大。研究人员相信，IoT会与公有云结合，通过对个人和网络数据的访问、处理、窃取和泄露，引入更多的安全威胁。而且，有更多的为了经济利益的IoT攻击，比如加密货币挖矿和对售货机、医疗设备、车辆的勒索攻击。

隐私和数据共享会变得更难管理。比如，如果你是一个智能玩具的制造商，你要如何更好地管理和保护儿童的数据？关于隐私的考虑可能会扩大到保护如果保护国内外政府收集的情报中的个人数据。

IoT防护很弱，为什么？

IoT技术被视为一列前行的列车，永远不会回头。所以搞清楚为什么IoT设备会容易受攻击非常重要。从技术上讲：

1、设备本身并不集成安全机制。不像手机、笔记本、台式机，IoT的操作系统的防护基本没有。为什么呢？原因就是在设备集成安全机制的成本太高，还会减缓开发流程，有时候甚至会影响设备性能，如运行速度和容量。

2、设备直接暴露到网络，因为网络分割很弱。同时可以作为内网的一个中转点，向网络犯罪分子开了后门。

3、设备中含有基于通用的、Linux驱动的硬件和软件开发过程中留下的非必要的功能。注释：开发者有时会在beta版不会删除一些代码或者特征。

4、默认的身份信息是硬编码的。这意味着插入设备就可以运行，而不会创建唯一的用户名和密码。我们可以猜一下黑客输入“1-2-3-4-5“，然后密码正确的概率，哈哈

从心理学的角度看，安全在设备开发过程中不是必要的。但是由于攻击的出现，开发者需要在开发过程中应用安全特征来应对即将来临的这一大波攻击。

解决方案

技术在革新，许多人都认为这是一个好事。但是没有人清楚地知道或想要减缓或应用安全措施。下面是一些可以增强IoT安全的措施。

政府干预

为了让开发者更加正式地对待安全，政府可能需要采取一些措施。政府可以：

1、与网络安全与情报机构协作来收集一系列协议，这些协议可以将IoT设备变得更加安全。

2、建立一个机构来检查收集的情报，选择和优化协议来进行监管。

3、立法。

开发者行为

开发者需要将安全集成到产品找那个，而不是事后再去考虑。开发者应该：

1、在商业版发布前，要有一个红队对设备进行审计。

2、在安装时，强制修改默认证书。

3、如果用web访问，使用HTTPS。

4、移除非必要的功能。

一个好消息是，相关利益方已经采取了一些措施。2017年8月，国会通过了 Internet of Things Cybersecurity Improvement Act法案，要求所以售向美国政府的设备必须要打补丁处理，没有已知的安全漏洞，要允许用户改变他们的默认密码。或许是对社会和传统媒体的暴怼的回应，Amazon正在考虑一项IoT安全服务。

Verizon, DigiCert, Karamba Security这样的供应商也开始设计内置IoT设备和网络的解决方案。但在统一的标准建立起来，还有很长的路要走。但是，一些有标志性的泄露事件会带来迅速的响应。

如何保护IoT设备

那对普通用户和公司来说，如果来保护自己使用IoT设备的安全呢？

1、要评估自己接入网络的设备（devices you are bringing into your network）是否必须是智能设备。最好把IoT技术看作是恶意的，人不是选择信任，比如允许联网、存放个人信息。

2、对网络进行分割。如果想要IoT设备接入家庭和公司网络，那么就要对含有敏感信息的网络进行分割。

3、改变默认的身份证书。

IoT设备运行在不同的平台上，不同的操作系统，不同的编程语言。所以开发一款针对所有IoT设备的恶意软件攻击是不现实的。如果公司想要让IoT变成一个盈利的模型，安全就增加了这种必要性，而这只是个时间的问题……