以下文章经 The Conversation许可转载,《The Conversation》是一个报道最新研究的在线出版物。
世界充满了互联设备——而且更多设备正在涌现。2017年,据估计有 84亿 个支持互联网的恒温器、摄像头、路灯和其他电子设备。到2020年,这个数字可能超过200亿,到2030年可能达到 5000亿 或更多。因为它们将始终在线,所以这些设备中的每一个——无论是语音识别个人助理、手机支付停车收费表,还是工业机器人深处的 温度传感器——都容易受到网络攻击,甚至可能成为网络攻击的一部分。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您正在帮助确保未来能够继续讲述关于塑造我们当今世界的发现和想法的有影响力的故事。
今天,许多“智能”互联网连接设备是由知名品牌的大公司制造的,例如谷歌、苹果、微软和三星,它们既有技术系统,也有营销动力来快速解决任何安全问题。但这在日益拥挤的 小型互联网设备领域并非如此,例如灯泡、门铃,甚至UPS运送的包裹。这些设备及其数字“大脑”通常由不知名的公司制造,其中许多公司位于发展中国家,它们没有资金或能力,也没有品牌认知需求来融入强大的安全功能。
不安全的“物联网”设备已经 导致了重大的网络灾难,例如 2016年10月对互联网路由公司Dyn的网络攻击,该攻击导致超过 80个热门网站瘫痪,并导致美国各地的互联网流量停滞。作为一名 “物联网”技术、 区块链系统和 网络安全领域的学者,我认为解决这个问题的方案可能是使用区块链跟踪和分发安全软件更新的新方法。
将安全放在首位
今天的大型科技公司努力确保用户安全,但他们给自己设定了一个艰巨的任务:在全球各地的系统上运行的数千个复杂软件包 不可避免地会出现错误,使它们容易受到黑客攻击。他们还拥有 研究人员和安全分析师团队,他们试图在缺陷造成问题之前识别和修复它们。
当这些团队发现漏洞时(无论是来自他们自己还是其他人的工作,还是来自用户对恶意活动的报告),他们都能够很好地编写更新程序,并 将它们发送给用户。这些公司的计算机、手机甚至许多软件程序都会定期连接到其制造商的站点以检查更新,并且可以 自动下载甚至安装它们。
除了跟踪问题和创建修复程序所需的人员配备外,这项工作还需要巨大的投资。它需要软件来响应自动查询、新版本软件的存储空间以及网络带宽,以便快速将其全部发送给数百万用户。这就是人们的iPhone、PlayStation和Microsoft Word副本如何与安全修复程序保持相当无缝的更新。
下一代互联网设备的制造商都没有这样做。以 杭州雄迈信息技术有限公司为例,该公司总部位于中国上海附近。雄迈 以其品牌制造互联网连接的摄像头和配件,并 向其他供应商销售零件。
它的许多产品以及许多其他类似公司的产品都包含 在工厂设置且难以或无法更改的管理密码。这为黑客打开了大门,让他们可以连接到雄迈制造的设备,输入预设密码,控制网络摄像头或其他设备,并 产生大量的恶意互联网流量。
当问题及其全球范围变得清晰时,雄迈和其他制造商几乎无能为力来更新他们的设备。防止未来此类网络攻击的能力取决于创建一种方法,使这些公司能够在发现缺陷时快速、轻松且廉价地向客户发布软件更新。
一个潜在的答案
简而言之,区块链是一个交易记录计算机数据库,它 同时存储在许多不同的地方。从某种意义上说,它就像一个公共公告栏,人们可以在其中发布交易通知。每篇文章都必须附带数字签名,并且永远无法更改或删除。
我不是唯一一个建议使用区块链系统来 提高互联网连接设备安全性的人。2017年1月,一个包括美国网络巨头思科、德国工程公司博世、纽约梅隆银行、中国电子制造商富士康、荷兰网络安全公司金雅拓和许多区块链初创公司在内的团体成立,旨在 开发这样一个系统。
设备制造商可以使用它来代替像科技巨头那样创建自己的软件更新基础设施。这些较小的公司将不得不对其产品进行编程,以定期与区块链系统联系,查看是否有新软件。然后,他们将安全地上传他们开发的更新。每个设备都将具有强大的加密身份,以确保制造商与正确的设备进行通信。因此,设备制造商及其客户将知道设备将有效地保持其安全性的最新状态。
这些类型的系统必须易于编程到内存空间和处理能力有限的小型设备中。它们需要 通信和验证更新的标准方法,以区分官方消息和黑客的企图。现有的区块链,包括 Bitcoin SPV 和 Ethereum Light Client Protocol,看起来很有希望。区块链创新者将继续找到更好的方法,使数十亿“物联网”设备更容易自动检查和更新其安全性。
外部压力的重要性
仅仅开发能够保护“物联网”设备的基于区块链的系统是不够的。如果设备制造商实际上不使用这些系统,那么每个人的网络安全仍然会面临风险。制造廉价设备且利润率低的公司,如果得不到外部的帮助和支持,它们就不会增加这些保护层。他们需要技术援助以及来自政府法规和消费者期望的压力,以促使他们从目前的做法转变。
如果明确表明他们的产品除非更安全否则就卖不出去,那么不知名的“物联网”制造商将会加紧努力,使使用者和整个互联网更安全。
本文最初发表于 The Conversation。阅读 原文。