世界上到处都是联网设备——而且还会有更多的设备出现。在2017年,估计有840亿的联网恒温器、摄像头、街灯和其他电子设备。到2020年,这个数字可能会超过2000亿,到2030年可能会达到5000亿甚至更多。因为它们都是在线的,每一种设备——无论是语音识别的个人助理,还是一个付费电话的停车计时器,或者一个工业机器人的温度传感器——都将很容易受到网络攻击。
如今,许多“智能”联网设备都是由拥有知名品牌的大公司制造的,比如谷歌、苹果、微软和三星,它们既有技术系统,也有营销动机,可以迅速解决任何安全问题。但在日益拥挤的小型互联网设备的世界里,情况并非如此,比如灯泡、门铃,甚至UPS快递的包裹。这些设备,以及它们的数字“大脑”,通常是由不知名的公司制造的,许多在发展中国家,没有资金或能力或者品牌识别的需求来整合强大的安全功能。
不安全的物联网设备已经造成了重大的网络灾难,比如2016年10月互联网路由公司王朝的网络攻击,导致80多个受欢迎的网站瘫痪,美国的互联网流量陷入停滞。做我物联网技术、区块链系统和网络安全方面的学者,我认为,可以利用区块链来跟踪和发布安全软件更新的新方法。
将安全列为优先事项
如今的大型科技公司也在努力保证用户的安全,但他们给自己设定了一项艰巨的任务:在世界各地的系统上运行的成千上万个复杂的软件包总是会有错误,他们容易受到黑客的攻击。他们也有研究人员和安全分析师团队,他们试图在问题出现之前发现并修复缺陷。
当这些团队发现漏洞(无论是来自他们自己或其他人的工作,还是来自用户的恶意活动报告)时,他们就可以很好地对程序进行更新,并将它们发送给用户。这些公司的电脑、电话、甚至许多软件程序都会定期与制造商的网站连接,以检查更新,并且可以自动下载甚至安装。
除了追踪问题和找到解决办法所需的工作人员外,这项努力还需要巨大的投资。它需要软件来响应自动查询、新版本软件的存储空间和网络带宽,以便快速将其发送给数百万用户。这就是人们的iPhones、PlayStations和Microsoft Word的拷贝如何与安全修复保持无缝更新。
下一代互联网设备制造商的情况则完全不是这样。以杭州雄迈科技有限公司为例,总部位于中国上海附近。雄迈主要根据其品牌生产联网相机和配件,并向其他供应商销售零部件。
它的许多产品以及许多其他类似公司的产品都包含了在工厂中设置的管理密码,这些密码很难或不可能改变。这为黑客们打开了连接到雄迈制造设备的大门,输入的预设密码,控制了网络摄像头或其他设备,并产生了大量的恶意网络流量。
当这个问题变得清晰起来的时候,几乎没有什么是雄迈和其他制造商可以做事情来重新更新他们的设备了。防止未来网络攻击的能力取决于创建一种方式,这些公司可以在发现缺陷时快速、轻松、廉价地向客户发布软件更新。
一个潜在的解决方案
简单地说,区块链是一个交易记录计算机数据库,它同时存储在许多不同的地方。从某种意义上说,它就像一个公共公告板,人们可以在上面发布交易通知。每个帖子必须有一个数字签名,并且永远不能被更改或删除。
我并不是唯一一个建议使用区块链系统来改善联网设备安全性的人。2017年1月,包括美国网络巨头思科、德国工程公司博世、纽约梅隆银行、中国电子产品制造商富士康、荷兰网络安全公司Gemalto以及一些区块链创业公司在内的多家公司成立,旨在开发这样一个系统。
对于设备制造商来说,它可以像科技巨头那样,利用自己的软件更新基础设施来创建自己的软件更新基础设施。这些规模较小的公司将不得不定期对其产品进行编程,以定期检查区块链系统,看看是否有新的软件需要更新。然后他们会安全地上传他们的更新。每个设备都有一个强大的加密身份,以确保制造商与正确的设备进行通信。因此,设备制造商和他们的客户将知道,设备都在有效地保持其安全性。
这些类型的系统必须易于编写成内存空间和处理能力有限的小型设备。他们将需要标准的方式来沟通和认证更新。现有的区块链,包括比特币SPV和Ethereum轻客户端协议,看起来前景光明。区块链创新者将继续寻找更好的方法,使得数十亿台“物联网”设备能够自动检入并更新其安全性。
外部压力的重要性
仅开发能够保护物联网设备的基于区块链的系统是不够的。如果这些设备的制造商没有真正使用这些系统,那么每个人的网络安全都将处于危险之中。那些制造利润微薄的公司,如果没有外部的帮助和支持,他们就不会增加这些保护层。他们将需要技术援助和来自政府法规和消费者期望的压力,以改变他们目前的做法。
未知的物联网制造商将加大力度,使用户和整个互联网变得更加安全。