随着云计算、智能硬件的日益普及,物联网安全受到越来越多人的关注。物联网面临的安全威胁涉及方方面面,厂商需要在打造优质用户体验的同时,更多的关注产品安全,保证用户的信息安全。在 12 月 18 日的 OIOT 开放物联网大会上,来自 KEEN 的吕一平分享了《从信息安全看未来物联网发展》的主题演讲,本文内容根据其演讲内容整理而成。
吕一平是碁震公司 COO,从事多年信息安全技术和管理工作,目前重点关注智能硬件安全、物联网安全、车联网安全等新兴信息安全领域。他曾在微软工作时创建微软美国总部以外的第一个地区安全响应中心。
黑客是中性词
黑客是音译过来的一个词,但它是一个中性词,本身并不带有任何感情色彩,但是很多的电影电视里,都把黑客拍为偷取银行卡账号获取密码的人。其实黑客有两类人,正义的一方叫做白帽子,邪恶的一方叫做黑帽子。经常听到新闻报道里面做黑产的是黑帽子。白帽子同样有非常强的信息安全技术和能力、经验,他们是帮助厂商发现问题,尽快解决问题,最终的目标是为了保护用户和厂商的安全。
智能终端面临的威胁
从安全角度来看,可以把智能终端的安全问题分为六个层次,包括云数据存储、互联网连接、近场和物理连接、移动应用、移动操作系统、移动设备芯片。云数据存储方面的安全问题现在涉及的比较多,比如前段时间的 iCloud 泄密事件,黑客利用工具可以绕过苹果的 Find My iPhone 的安全系统,最后导致很多好莱坞女星的私密照片泄漏。互联网连接我们经常接触的可能是公共 WIFI,黑客可以利用交换机或者路由器截取用户的通话记录、短信以及网站浏览记录。近场和物理连接主要是指 NFC 和 USB 等技术引起的安全问题。移动应用方面,未来物联网的设备也会支持移动应用,而移动应用的安全问题更不容忽视,很多应用本身就包含恶意代码,偷窃用户流量、窃取用户隐私。操作系统级别的安全涉及方方面面,不管是电脑、智能手机还是物联网硬件,都需要操作系统作为基础支撑。芯片的安全问题更为严重,如果芯片存在安全问题,那会影响到所有用到该芯片的机型,由于芯片需要和操作系统连接,而连接又需要硬件驱动支持,硬件驱动又运行在系统权限下,所有如果驱动本身存在安全问题,后果将不可设想。
微软的前车之鉴:从做产品,到做安全的产品
微软在 2001 年的时候发布了 Windows XP,当时的产品定位是用户体验好,并没有考虑安全,紧接着在 2003 年、2004 年发生了两次大规模的互联网事件。安全问题发生后,微软痛定思痛,从 2004 年开始往安全方面投入了很多精力,引入了专业的信息安全专家以及安全工程方法来保证系统的安全。同时,微软也创造了安全开发周期的概念,并且优化了安全响应流程。目前苹果使用的安全技术都是微软原创的。
如何应对未来物联网的安全问题
物联网设备与用户的人身安全息息相关,安全问题更应该重视,厂商需要发现安全问题后及时修复。首先安全应该是产品质量的重要部分,物联网厂商一定要把好安全质量关。其次,安全行业要为科技发展保驾护航,安全行业应该成为科技发展的推动力,而不是阻力,厂商不应该觉得害怕有安全问题而不使用新技术,安全是给人类的发展保驾护航的,而不是阻止科技发展的。第三,动态的改进和视而不见,安全的问题厂商应该第一时间修复,这也是对用户负责,安全是一个动态改进的过程,安全问题是百分之百解决不完的问题,所以动态发现安全问题,动态的解决,这是所有厂商都应该有的态度。
评论