最近,Gartner在全球大會中預測了2014年的十大技術趨勢,其中有兩項將和你我的生活息息相關,首先是智慧機器(Smart Machines)的興起將為人類歷史帶來巨大的轉變,尤其像是行動裝置如智慧型手機,不只刺激了經濟發展,同時也改變了人們的想法與生活。另一項則是物聯網將會進一步發展成為萬物互聯(Internet of Everything)的時代,包括了汽車和電視,一但統統都連接上了網路,將為人類的未來創造無限可能。
但是,隨著愈來愈多更聰明的智慧裝置與連網產品出現在你我的生活之中,並不代表它們也會變得愈來愈安全,許多的安全專家都提出了警告,如果產品的製造商沒有將資訊安全列入優先考量,那麼這些便利的智慧型設備,也將更容易被惡意濫用,成為新一代的犯罪工具。
物物相聯的隱私與安全問題
美國聯邦貿易委員會(FTC)主席Edith Ramirez在先前舉行的物聯網會議中表示,在五年之前,就已經有比人類更多的物品連接了網路,到了2015年將會有250億的物品連結上網,而預計到了2020年,百分之九十的汽車也會有自己專屬的聯網平台,超過500億個物品將能透過網路來彼此相連。屆時,「個人隱私和資訊安全將是無法忽視的重要問題」,因此她呼籲企業,務必要將安全內建在其所製造的產品之中,無一例外。
對此,弱點研究專家Craig Heffner指出,從過去五年到現在,有許多的安全問題,都在嵌入式系統中被發現,以今日的標準而言,消費型裝置基本上沒有什麼安全性可言。他認為最大的問題點是在於人們選購商品時,根本不會將資訊安全納入考量,大家在意的是產品的功能、外觀及價格,因此,製造產品的企業怎麼可能願意花錢在消費者漠不關心,而且永遠看不到的地方上?
BT的首席技術安全長Bruce Schneier在其發表的一篇文章中也提到,從消費型裝置到工業用的控制系統,終究是可以被入侵的,原因在於大多數的製造商認為,安全是很難做到好的一件事,因為它需要有專家和足夠的時間才行。更何況大多數的消費者在購買安全系統和智慧型裝置時,也沒有足夠的知識去關注安全的重要性,就算目前已經能夠透過展示,高明的駭客可輕易地控制連網的家用設備,包括暖氣、空調及門鎖,也沒有辦法讓消費者立即警覺這些可能的風險。
當然,「你不能預期消費者會有足夠的安全認知」,Bruce指出,雖然入侵事件可能來自於使用者沒有設置好它的產品,但事實上這是製造商的錯,因為這些產品是販賣給一般的消費者來使用,並不是只銷售給安全專家。不過,製造商也提出了他們的標準回應,「若是將產品弄得安全又困難,就會影響使用者的便利性。」
系統安全與使用便利的拔河之爭
駭客研究院(The Hacker Academy)的創辦人,同時也是擁有多年產品安全顧問經驗的Aaron Cohen指出,基本上,大多數人都認為產品功能是比安全優先的,因為一旦把電視的安全性提昇到開與關都很困難,這些產品應該都賣不出去,這也就像是為了資訊安全的問題,然後要所有人把電腦插頭都拔掉,那麼鐵定也是任何工作都沒法處理完成的。
針對兩造的這些爭議,Aaron認為安全和便利其實也是可以取得平衡的,他建議產品製造商應該要導入安全軟體開發生命週期(S-SDLC),並且採用OWASP的安全開發方法,將可避免讓自己成為輕易即可入侵的對象,尤其是那些和居家安全或金融有關的設備產品,更應該將系統的開發安全列為優先考量。
SmartThings的技術長Jeff Hagins則表示,與其討論安全與便利該如何兼顧,事實上成本往往才是企業最關注的事。從產品的角度而言,設計出讓消費者有良好的使用體驗和將安全納入產品之中是一樣困難的,但消費者將從自己能夠負擔的價格來採用具有良好體驗的產品,因此,如果製造商能夠平衡兩者,再置入安全的功能,就能夠在市場上勝出。另外,Cigital的技術長Gary McGraw也認為,在智慧型產品中要強化安全性,並非一朝一夕可改變的事,因此有關個人行動裝置的安全性,應該是企業要優先注意的重點。
為了安全所願意付出的代價有多少
美國聯邦貿易委員會主席Edith Ramirez強調,無論企業是否在意產品的安全,FTC都將會持續關注下去。對此,Jeff Hagins認為在政府制訂相關法規之前,業界應該要有自我規範的認證計畫,就像是給支付卡行業所遵循的PCI-DSS安全標準一樣。不過,Craig Heffner則持有不同的看法,他指出目前業界仍缺乏了可以自我約束的動力,而且即使增加了如同PCI-DSS的規範,也不見得就能保證產品的安全。
雖然持有不同的觀點,但兩位安全專家都同意,為了要改善智慧型裝置的安全,採取適當方法去執行系統更新、修補程式和減少弱點,將是降低安全風險的良方。只是目前有因難的地方在於欠缺即時修補的方法,而且隨著如雨後春荀般大量產生的連網裝置,駭客自然會去挑選具有安全弱點且容易入侵的目標。
而值得慶幸的是,未來消費者的態度將會逐漸扭轉這個困局,因為對消費者來說,通常都認為所購買的產品是安全的,一旦它的智慧型電視被人入侵了,導致看不了任何的電視節目時,製造商自然得必須跳出來回應。所以只要消費者能夠理解不安全的產品可能帶來的風險,對於安全的改善要求終究會獲得廠商的重視。
「只是如果非要等到被入侵了,製造商才開始懂得要進行改善,那麼勢必會付出慘痛的代價」,Jeff Hagins說。 (編輯部/編譯)