智能手环成为药厂赚钱工具、烟雾报警器检测不到火灾……万物互联时代,诸多硬件却频频出现安全问题。9月30日,2015中国互联网安全大会(ISC2015)暨全球互联网安全精英峰会在北京举办。作为亚洲地区信息安全领域的顶级年度盛会,吸引了众多国内外顶级专家参加。30日下午,美国中佛罗里达大学电子工程与计算机系助理教授金意儿认为所有的硬件都要先考虑到安全再进行设计。
图:金意儿教授在2015 isc闭幕会
美国中佛罗里达大学电子工程与计算机系助理教授金意儿一上台就引起在场观众的热烈掌声,高深的知识加上诙谐易懂的语言让不少外行都听得津津有味。
金意儿博士提出,传统计算机行业在发展,智能手机在发展,但是物联网发展速度最快,甚至物联网应用到整个工控系统,提高了工业效率,在欧洲被称为“第四次工业革命”。
“物联网发展如此之热,但是安全至少不应该是个薄弱环节。”金意儿博士认为目前的物联网安全仍不容乐观。
图2:金意儿教授在详述物联网安全和隐私
事实上,智能硬件暴露出来安全隐患问题或许大大超过人们的想象。从早期“ThingBot”的威胁,到个人隐私,再到个人人身安全和国家战略安全,物联网出现了多种威胁。
比如,一个小小的智能手环,用户的心跳数据被收集后可能被药厂利用,医药厂商可以查到用户的血压、血糖浓度、推销药品,美国就曾经发生过,黑客攻击医疗注射设备,FDA被迫下架这款器具;美国电网固件被控制可能使成千上万家庭陷入黑暗,一条电线就可以操控汽车;甚至武器自动瞄准系统被攻击。
作为资深的研究者,金意儿认为,智能设备用到工控体系中,局部智能设备攻击最终导致整个工控系统出现风险,这个风险就不是简单泄漏隐私这样可以“一笑而过”的。
中佛罗里达大学硬件安全实验室(UCF)曾经两次夺得全美安全竞赛第一名,在硬件破解领域赫赫有名,烟雾报警器监测不到火灾、机顶盒付费系统被改、智能插座被远程关掉甚至智能电表无法传送准确数字。
金意儿博士解释,实验室破解硬件只是想帮助某公司技术人员变成黑客,最终解决他们的安全问题,而不是等到这个问题被新闻媒体报道才发现。
最后,金意儿总结道,希望可以通过建立自动化的物联网设备安全检测框架以及工具链,能够“快速检测任意物联网设备,同时有针对性地提出低成本解决方案”,最终做到“为了安全而设计”。