物联网安全存在巨大隐患 美国政府不镇定了

原文链接：Two U.S. lawmakers think the government has a new cybersecurity problem: The Internet of Things
译者：安翔
责编：贾维娣（jiawd@csdn.net）

美国政府在上周二发布了一条法案，旨在解决物联网安全问题。

众所周知，去年黑客利用物联网的漏洞攻陷了互联网的骨干网，导致 Twitter 和 Spotify 等大量网站都无法访问。这里所提到的物联网包含多种类别的网络连接设备，比如健身追踪器和智能恒温器。

虽然此次网络瘫痪事件覆盖范围不是非常大，持续时间也比较短暂，但是这次事件使得人们对物联网的网络安全问题充满了恐惧，美国国会的一些立法者现在正努力确保美国政府提出相应的安全防御对策。

就在8月2日，弗吉尼亚民主党人 Mark Warner 和科罗拉多州共和党参议员 Cory Gardner 发布了一项新的法案。这项法案称之为“2017物联网网络安全改进法案”，它试图强制那些向联邦机构出售可穿戴设备、传感器和其它联网工具的公司必须遵守一些新的安全标准。

立法者的新提案将纳入法律，提案指出供应商需要确保销售给美国政府的小型、无屏设备能够进行安全升级。（这听起来像是一个既定事实，但实际不是这样）。同时它还禁止这些科技公司将密码硬编码到他们提供的工具的固件中。

密码用以帮助制造商访问这些工具，虽然通常情况下密码都被用户隐藏，但是黑客依然可以很容易利用这些密码。之前攻击者就已经使用名为 Mirai 的恶意软件设法将网络摄像机和其他设备转变成一个强大的僵尸网络，典型代表就是去年 10 月的那次网络瘫痪事件。

Warner 在接受 Recode 网站采访时说到：“随着网络安全风险的加剧，你需要不断升级你的游戏。而针对那些非常便宜和小巧的物联网设备，如果它们使用硬编码的密码并且无法在线打补丁，那么这些设备就无法满足最新物联网安全法案中的标准协议”。

他说：“随着时间推移，或许在这几年里很快就有大约200亿的物联网设备联网，并且联邦政府使用了这其中的数百万设备，更要命的是几乎所有设备都采用硬编码密码且无法在线升级”，他继续说，“那么很显然我们会遇到巨大的麻烦。“

在消费层面，物联网发展迅猛，欣欣向荣。IDC 在6月发布的报告中预计到2021年，世界各地的物联网支出可能高达1.4万亿美元。

消费者非常热衷这些工具，同样，美国政府也对这些工具密切关注。例如，Govini 公司发现联邦机构在2011年至2015年之间在传感器和数据采集器上的花费就高达40亿美元。

信息技术产业基金会ITIF （一个科技推广组织），在去年的一项分析报告中提到：目前在联邦政府大楼中使用了大量的物联网设备和工具，比如运用传感器跟踪能源使用情况，结合运动传感器自动开关灯从而减少能耗。

据 ITIF 统计，农业部门也高度依赖土壤传感器来收集全国农田的相关数据。国防部是网络连接便携式设备最大的买家和研究者之一：例如，Govini 的报告中指出陆军已经探索和尝试过一些可穿戴设备，这些设备对那些服役于危险的国外战场的人员有所帮助。

Warner 向 Recode 网站坦诚地说到：实际上并没有对美国政府当前拥有或运营的物联网设备数量进行全面和准确的统计。民主党立法委员说，联邦机构比其他机构更迫切需要安全保障，以免他们的设备受到黑客攻击，因此国会出台了这项最新的网络安全规则。

Gardner 说，他们的法案免去了研究人员针对可穿戴设备和其他小型联网工具的网络安全性的调研和评估工作。该提案促使联邦政府工作人员制定一个准则，让专家们测试物联网设备的安全防御性能，然后将其报告给制造商，不用再担心之前的两项禁止这类行为的法律条文。

表面上看，该法案仅适用于试图向美国政府出售其工具的科技公司和承包商。但是 Warner 希望联邦机构官方的大量采购（明年在科技方面的采购可能花费高达950亿美元），同时也能够刺激面向普通消费领域销售物联网设备的公司在安全性方面进行提升。

Warner 很早以前就警告过物联网的一个领域（联网玩具）具有重大的安全隐患。同样，政府还有其他一些人也提出了对于物联网网络安全的担忧，比如联邦贸易委员会民主党专员 Terrell McSweeny 多年前就警告过智能家居和其他类似工具在安全方面存在风险。