網+線下沙龍 | 移動APP模式創新：給你一個做APP的理由>>

【51CTO.com 快譯】你每天都要接觸的每個物品很快就會實現聯網，收集數據，很容易被黑客攻擊。物聯網安全狀況已經極其糟糕，連簡單的搜索引擎都已經索引并提供了關于全球數百萬聯網設備的詳細信息，從常見的可穿戴設備、家庭空調系統，到公眾場所的安全攝像頭，不一而足。

物聯網會支持很多新公司，豐富了廣大消費者的生活。但是如果在未來十年，200億個設備接入網絡的時候，物聯網的安全風險就會與回報一樣大。Rapid7公司的高級安全研究經理Tod Beardsley說：“看過物聯網后，安全專業人員的情緒化反應就是舉手投降，譴責一切總是永遠有漏洞，我們注定完蛋。當然，物聯網領域存在嚴重的系統性問題。這些問題確切存在，雖然很難解決，但并非克服不了。”

雖然物聯網很年輕，但是在這個領域已有數百萬聯網設備。Shodan和Thingful這兩個搜索引擎最近成了互聯網上被炮轟的對象，起因是其服務被用來拍攝家庭及其他私密場所里面的畫面。

ZDNet報道：

Shodan是偷窺狂所夢寐以求的。無論付費用戶還是免費用戶，只要使用port:554 has_screenshot:true之類的關鍵詞，快速掃描一下，就可以顯示安裝在各個地方的攝像頭，從日本停車場，到法國酒吧，從韓國的私密休息室，到德國的兔籠，無所不有。

物聯網的龐大規模有利也有弊。Beardsley解釋，廠商方面無法拿出可互操作的安全固件、Web和移動應用程序，無法適應物聯網的廣泛性，這帶來了許多安全漏洞。他說：“消費者無法準確而可靠地評估自己家里的設備和裝置的安全性，這實際上提出了非常大的挑戰。”

Beardsley表示對物聯網的安全問題非常擔心，物聯網攻擊可能完全看不見，因為大多數物聯網產品并沒有強大的安全或日志控制機制。 他說：“如果我侵入了你的聯網設備，你可能察覺不到。”

Facebook的前任公共政策主管，SPQR Strategies創始人Timothy Sparapani也贊同這個觀點。他說：“物聯網安全的狀況非常差。我們現在明白，大多數物聯網系統實際上不安全。”

對于物聯網的安全問題，Sparapani解釋，幾乎沒有做多少的工作來確保物聯網系統安全，因為物聯網設備被廠商和安全專業人員同樣認為優先級較低。數據安全的重點一直放在對付由于個人信息(比如銀行賬戶和醫療信息)丟失而可能直接危害消費者的攻擊上。

Sparapani說：“對公司和消費者來說最大的安全漏洞是，我們還沒有開發出一套標準，通過遠程分發堵住安全漏洞的補丁。”

在不久的將來，物聯網碎片現象會覆蓋諸多行業。Sparapani說：“我們會日益依賴傳感器，這些傳感器出現在我們的設備、運輸系統、糧食生產及運送系統、工廠、農場和家里。如果那些物聯網系統被黑客破壞，可能會造成巨大的混亂。如果我們將設備交給物聯網監控系統，很少會有人擁有修復被黑客攻擊的那個設備的技能，靠近設備、以物理方式推翻原來編程的人就更少了。”

Sparapani和Beardsley都一致認為，公司和消費者越了解物聯網安全環境，就越容易在享受互聯世界帶來的好處的同時，保持安全。

強大的物聯網安全模式該是什么樣子?

Beardsley

強大、成熟的物聯網安全模式其實就是我們在傳統平臺上享用的基本級別的安全：軟件的日常自動更新，打上補丁，防范安全漏洞。

通常來說，物聯網設備在交付時通常沒有任何補丁到位，所以如果我們遇到實際上的確支持自動打補丁的物聯網設備，那么我會很高興，因而我面對的這家廠商至少認真考慮了這方面。

公司在做物聯網決定時一方面要立足于安全。對你考慮購買其產品的公司要做一番了解，看看有沒有在過去發布并修復了安全漏洞。如果一家公司歡迎而不是摒棄安全漏洞報告，那么我會做出購買決定，以示支持。

弱密碼或不設密碼在互聯網上很常見，這對物聯網來說尤其是個問題。設計糟糕的物聯網設備還缺少加密通信，這帶來了幾個重大問題。其一，敏感的個人信息明文傳輸，本地網絡和上游網絡上的任何人都能竊聽。其二，物聯網設備無法確信自己是在與廠商提供的真實、正確的Web應用程序或移動應用程序進行通信。加密不僅僅在于確保秘密，還在于驗證身份，所以明文狀態下使用，而不是基于加密通道的物聯網設備天生就靠不住。

Sparapani

首先要認識到，物聯網安全必須成為一個優先事項，安全功能必須在默認情況下就要做入到物聯網設備中。我們期盼的下一個發展階段就是，構建的系統可以分發代碼補丁，堵住安全漏洞，并消除攻擊，可以針對部署的設備實現大規模遠程操作。

如今的物聯網安全是什么樣子，到2020年又會是什么樣子?

Beardsley

我希望，我們能克服加密和默認/弱/丟失密碼這些問題，并且規范補丁分發解決方案。這些基本要素到位后，我們才會處于一個有利的位置，確保物聯網領域安全無虞。

Sparapani

四年后，我們會看到物聯網系統被黑客攻破，有的出于好玩，有的蓄意制造混亂和破壞。我們會清醒地認識到不安全設備帶來的風險，我們會奮力追趕。

物聯網給個人和社會帶來的好處會得到充分證明，我們會竭力改造舊設備，為其添加新的安全協議。如果我們幸運的話，會有一些標準化系統給已知的安全漏洞遠程打上補丁。

Beardsley表示，這些問題確實存在，也很困難，但并非克服不了。“安全專業人員仍有時間趕在即將到來的物聯網海嘯的前頭。我們擁有相應的專長，懂得如何設計更好的安全、如何修復和維護快速補丁開發和部署，以及如何對消費者和監管者進行安全方面的宣傳教育。我們前面有好多工作要做，不過我很樂觀，認為我們能夠及早駕馭這些問題，以免為時太晚。”

原文標題：Security experts: what's wrong with Internet of Things security, and how to fix it

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】

【編輯推薦】