新聞資訊

NEWS

首頁

別小看智能燈泡，它能秒變物聯(lián)網(wǎng)“瘟疫”

2019-09-05 13:54

有位密碼學專家起草了一篇論文，要展示一顆智能燈泡如何能在幾分鐘內(nèi)讓整個智能城市都受到惡意軟件感染；這是參與近日在美國硅谷舉行的資安方案供貨商RSA年度技術大會（RSA Conference，編按：RSA現(xiàn)隸屬Dell－EMC集團）之一場座談的專家們所討論的話題之一。

在另一個議程中，美國國會國土安全委員會（congressional committee on homeland security）主席、眾議院議員（德州第十選區(qū)） Michael McCaul則提出了一個更具威脅性的潛在風險：“不良份子在我們的關鍵基礎建設上留下網(wǎng)絡指紋（cyber fingerprints），透露他們正在監(jiān)視你說了什么、做了什么，可以從內(nèi)部打擊你?！?/p>

因此McCaul呼吁建立一個由美國國土安全部（Department of Homeland）負責協(xié)調(diào)的國家網(wǎng)絡安全計劃，負責主持定期演習以及訂定反擊方案選項：“我們正在我們的數(shù)字生活中戰(zhàn)斗，而且我們并沒有獲得勝利；”他每個星期都會聽取關于網(wǎng)絡安全威脅的簡報，包括從去年春天開始俄羅斯黑客在美國總統(tǒng)大選期間的活動。

McCaul表示：“我敦促過歐巴馬總統(tǒng)（President Obama）以及當時的總統(tǒng)候選人川普（Trump）公開發(fā)表立場，但對于他們打擊危及國家體系之威脅的反應感到失望。

RSA公鑰加密技術（public key encryption）共同開發(fā)者Adi Shamir對網(wǎng)絡安全的整體評估也同樣令人憂心，他在一場邀集密碼學專家的座談中表示：“今日我們所知的因特網(wǎng)已經(jīng)沒救了，我真的覺得我們應該打掉重練?！?/p>

kaili

Shamir與他的同事將在今年發(fā)表一篇題為《物聯(lián)網(wǎng)將變成核彈（IoT Going Nuclear）》的論文，描述一個人如何能以內(nèi)含惡意軟件的智能燈泡，在幾分鐘內(nèi)讓使用大量智能照明燈具的整個智能城市都受到感染。

他指出，韓國廠商LG Electronics的智能電視就被勒索軟件攻擊：「政府應該要（針對這種問題）做一些事情，例如不讓那些不夠安全的裝置鏈接公共因特網(wǎng)；」這個提議獲得了聽眾們的熱烈掌聲。

而與談專家大致同意，機器學習、量子運算以及區(qū)塊鏈（blockchains）在可見的未來對于安全性不會有太大影響。 Shamir表示：「我對于人工智能（AI）在防守上的表現(xiàn)感到樂觀，但不是進攻；抵抗新一代的零時差攻擊需要巧妙的手法，而非強大的機器學習方案：“那適用于行為比對（comparing behaviors）、發(fā)現(xiàn)異常以及針對異常發(fā)出警報?！?/p>

能擊敗今日加密技術架構的量子計算機實機還需要很多年才打造得出來，不過美國伍斯特理工學院（Worcester Polytechnic Institute）網(wǎng)絡安全策略教授Susan Landau表示：“我沒有看到在后量子研究領域有（與一般加密技術）相同水平的數(shù)學研究，這關系到我是否接受它（即今日的后量子技術）成為標準。”

投資教育就是最佳的防御武器

RSA的另一位共同開發(fā)者Ron Rivest則表示，在比特幣（bitcoin）背后更廣泛應用區(qū)塊鏈技術的影響力被夸大了：“它感覺被看成像是萬靈丹那樣的東西...那可以被用在金融領域... 但不是普遍需要；”他呼吁在教育上有更大的投資，這才是最佳的安全策略：“如此能催生更多人才，開發(fā)所需工具。”

密碼學家Whitfield Diffie則呼吁，該特別針對新種類的架構即正確（correct－by－construction）編程技術有更多投資：“我想我們把所有的事情搞錯了，我從幾年前就在想這件事?！?/p>

“以邏輯驗證的正確程序代碼（logically proven correct code）...被大大低估，如果我們能投注像是花費在邏輯功能（logical functioning）裝置以及質(zhì)量編程（quality programming）上交互式安全技術之資源，我們會取得更佳成果；”Diffie的發(fā)言也獲得了熱烈掌聲。

眾議員McCaul在另一場談話中大致同意「聯(lián)邦政府機關并非網(wǎng)絡安全的解答，答案應該來自私部門的杰出成就」的說法，他表示：“我們正在流失網(wǎng)絡領域人才，因為內(nèi)部士氣低落，還有外面的錢比較多；”他呼吁設立更多網(wǎng)絡安全獎學金以回報政府服務。而當McCaul指出：“安全平臺有后門（back doors）是大錯特錯；”也贏得了在場技術專家們的掌聲。

與會安全專家們也擔心，新上任的川普政府可能會對企業(yè)施壓，必須將密鑰提供給執(zhí)法部門。伍斯特理工學院Landau正在撰寫一本預計秋天出版的新書，將描述的案例是：“（在數(shù)字時代的）執(zhí)法部門有很多不同調(diào)查方法，就算手機是被鎖住的?！?/p>

Landau曾因2015年發(fā)生的San Bernardino恐怖分子槍擊案，在Apple與聯(lián)邦調(diào)查局（FBI）之間的安全性爭議期間，于國會聽證會中擔任證人。

McCaul在他的談話中坦承：“法律并沒有跟上數(shù)字時代，武器總是能超越防御需求，但我們正面臨的是以二十世紀的防御方法、十九世紀的官僚，來因應二十一世紀的威脅；”他的結論是：“盡管網(wǎng)絡領域一片黯淡．．．我們擁有全世界最強的頭腦，能尋找防御網(wǎng)絡的解決方案?！?/p>

(來源： eettaiwan)