智慧城市就像是來(lái)自未來(lái)的迷人光影,在這些城市中,交通燈、各種設(shè)施的智能儀表、公共交通全部被連接起來(lái),將巨量的數(shù)據(jù)反饋到線上。
英國(guó)格拉斯哥市已經(jīng)花費(fèi)了2400萬(wàn)英鎊用于安裝智能街燈和交通流量傳感器,前者可以為行人和騎行者提供更好的照明。另一座城市布里斯托則在收集從健康到污染的各種數(shù)據(jù),并把這些數(shù)據(jù)經(jīng)由“城市操作系統(tǒng)(city operating system)”處理。這些城市(在建設(shè)智慧城市上)的步伐把其他城市甩開(kāi)了幾條街,但實(shí)際上大多數(shù)城區(qū)都或多或少會(huì)有一些智能的影子。
然而,一位知名的互聯(lián)網(wǎng)安全研究員已經(jīng)發(fā)出警告:未來(lái)的智慧城市可能會(huì)比現(xiàn)如今的智能手機(jī)和電腦更容易受到黑客侵襲。
安全研究公司IOActive Labs的首席科技官Cesar Cerrudo指出,城市機(jī)構(gòu)和政府部分并未在選購(gòu)科技公司的產(chǎn)品時(shí)對(duì)其安全性進(jìn)行測(cè)試。“他們(政府)對(duì)構(gòu)成智慧城市的系統(tǒng)和設(shè)備進(jìn)行了大量的功能性測(cè)試,但他們并未對(duì)其進(jìn)行安全性測(cè)試。因此,基本上,他們對(duì)供應(yīng)商選擇了無(wú)條件信任。”他表示。
在今年4月份于舊金山舉行的一次RSA安全會(huì)議上Cerrudo發(fā)表了講話,他提到,許多銷售智能系統(tǒng)的公司并未在系統(tǒng)中集成安全有效的加密措施——考慮到如此多的設(shè)備無(wú)線傳輸數(shù)據(jù),這是很嚴(yán)重的問(wèn)題。“所有的數(shù)據(jù)都經(jīng)由無(wú)線傳輸。如果你的加密措施不到位,任何人都能截取這些數(shù)據(jù),危害城市安全。”他強(qiáng)調(diào)。
他舉了個(gè)具體的例子:墨爾本到倫敦等城市都設(shè)置了交通控制傳感器,總數(shù)達(dá)200000個(gè)。它們就很容易遭到黑客襲擊。
Sean Sullivan是F-Secure公司的安全分析師,他說(shuō):“智慧城市可為城市規(guī)劃部門提供大量珍貴信息,幫助改善城市居住體驗(yàn)。但它可能成為惡作劇的受害者,只有妥善保護(hù)才有可能全身而退。”
他同意Cerrudo的看法,認(rèn)為智慧城市很容易被非法入侵,但認(rèn)為這些入侵更有可能是非惡意,而是處于惡作劇的目的——比如黑客會(huì)修改高速公路的電子信息路標(biāo),或者設(shè)法讓城市交通陷入混亂。
Sullivan還談到了一次“智能電表入侵案”,黑客通過(guò)入侵智能電表并將其重新編程而用上了不花錢的電,這讓電力公司損失了數(shù)百萬(wàn)。
IT安全公司Sophos安全研究部門的全球主管James Lyne表示,一些系統(tǒng)將安全寄希望于“冷門晦澀的程序語(yǔ)言”。
“如今,核心的國(guó)家基礎(chǔ)設(shè)施中的設(shè)備通過(guò)使用晦澀的計(jì)算機(jī)語(yǔ)言或隔離來(lái)保證安全。即是說(shuō),它們使用那些已經(jīng)被時(shí)代淘汰的、晦澀難懂的計(jì)算機(jī)語(yǔ)言,并盡量設(shè)置于孤立的網(wǎng)絡(luò)中,從而避免遭遇襲擊。”Lyne說(shuō)。
Lyne補(bǔ)充道:“截至目前為止黑客團(tuán)體尚未對(duì)這種設(shè)備進(jìn)行統(tǒng)一的入侵。我猜測(cè)這主要是因?yàn)?,攻擊這些設(shè)備并不能滿足黑客們的金錢或政治目標(biāo),而前者一般都是黑客最感興趣的部分。”
“黑客最喜歡攻擊的仍舊是你或我手中的傳統(tǒng)設(shè)備,它們更能給黑客帶來(lái)利益。但隨著互聯(lián)型城市的進(jìn)一步發(fā)展,這一局面也有可能發(fā)生改變。”
考慮到安全上所面臨的風(fēng)險(xiǎn),下面這種情況就讓人有些無(wú)法理解了——一些物聯(lián)網(wǎng)設(shè)備供應(yīng)商不允許像Cerrudo這樣的研究員測(cè)試他們的產(chǎn)品——除非Cerrudo自己出錢買。
“更有甚者,當(dāng)?shù)弥汶`屬一家安全公司后,一些供應(yīng)商甚至不會(huì)把產(chǎn)品賣給你,”Cerrudo說(shuō),不過(guò)他并未指出具體的供應(yīng)商公司名字。“我在了解一款智能街道照明系統(tǒng)時(shí)就遇到了這個(gè)麻煩。我試著去買一臺(tái),但他們連價(jià)格都不報(bào)給我。”
Cerrudo說(shuō),還沒(méi)落好腳的新公司視安全研究公司為某種威脅,而一些更成熟的制造商則會(huì)和第三方安全研究公司甚至黑客一同尋找安全漏洞。
現(xiàn)實(shí)情況是,即使制造商和安全研究員們一同找到了軟件漏洞,為覆蓋城市的整個(gè)系統(tǒng)推送更新可能也要花數(shù)月甚至數(shù)年的時(shí)間。
“有時(shí)智能設(shè)備供應(yīng)商沒(méi)有設(shè)置合適的更新推送機(jī)制,他們需要類似的機(jī)制來(lái)完成安全修復(fù),并將補(bǔ)丁快速部署到系統(tǒng)和設(shè)備上,”他說(shuō)。“這真的是一項(xiàng)巨大的挑戰(zhàn),顯然,發(fā)現(xiàn)安全問(wèn)題的第一要?jiǎng)?wù)就是快速修復(fù)。如果做不到,這意味著你將徹底暴露在攻擊者面前。”
那么為了保護(hù)智慧城市需要做什么呢?政府部門需要在采購(gòu)智慧城市解決方案時(shí)更加負(fù)責(zé),他們不僅僅應(yīng)該看重優(yōu)秀的功能,還應(yīng)該花時(shí)間了解其安全系統(tǒng),并確保安全系統(tǒng)真的有用。
Cerrudo號(hào)召每個(gè)城市都建立一個(gè)計(jì)算機(jī)緊急應(yīng)對(duì)小組(Computer Emergency Response Team)——就像許多大企業(yè)做的那樣——用來(lái)應(yīng)對(duì)黑客攻擊,處理漏洞,并幫助確保智能設(shè)備供應(yīng)商修復(fù)此類漏洞,同時(shí)對(duì)系統(tǒng)做進(jìn)一步的侵入測(cè)試。
“一旦發(fā)生互聯(lián)網(wǎng)入侵事故,城市管理者將很難做到有效應(yīng)對(duì)。一座城市或許能夠防范地震和洪水,但我認(rèn)為許多城市對(duì)互聯(lián)網(wǎng)襲擊沒(méi)有任何概念和應(yīng)對(duì)措施。”
分享到微信 ×
打開(kāi)微信,點(diǎn)擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁(yè)分享至朋友圈。