2018年3月10日

4分鐘閱讀

使用區塊鏈保護“物聯網”

更好地跟蹤和分發安全軟體更新的能力將有助於加強不安全的物聯網裝置,這些裝置已經導致了重大的網路災難

作者:Nir Kshetri& The Conversation US

Getty Images

以下文章經 The Conversation許可轉載,《The Conversation》是一個報道最新研究的線上出版物。

世界充滿了互聯裝置——而且更多裝置正在湧現。2017年,據估計有 84億 個支援網際網路的恆溫器、攝像頭、路燈和其他電子裝置。到2020年,這個數字可能超過200億,到2030年可能達到 5000億 或更多。因為它們將始終線上,所以這些裝置中的每一個——無論是語音識別個人助理、手機支付停車收費表,還是工業機器人深處的 溫度感測器——都容易受到網路攻擊,甚至可能成為網路攻擊的一部分。

關於支援科學新聞報道

如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的有影響力的故事。

今天,許多“智慧”網際網路連線裝置是由知名品牌的大公司製造的,例如谷歌、蘋果、微軟和三星,它們既有技術系統,也有營銷動力來快速解決任何安全問題。但這在日益擁擠的 小型網際網路裝置領域並非如此,例如燈泡、門鈴,甚至UPS運送的包裹。這些裝置及其數字“大腦”通常由不知名的公司製造,其中許多公司位於發展中國家,它們沒有資金或能力,也沒有品牌認知需求來融入強大的安全功能。

不安全的“物聯網”裝置已經 導致了重大的網路災難,例如 2016年10月對網際網路路由公司Dyn的網路攻擊,該攻擊導致超過 80個熱門網站癱瘓,並導致美國各地的網際網路流量停滯。作為一名 “物聯網”技術、 區塊鏈系統和 網路安全領域的學者,我認為解決這個問題的方案可能是使用區塊鏈跟蹤和分發安全軟體更新的新方法。

將安全放在首位

今天的大型科技公司努力確保使用者安全,但他們給自己設定了一個艱鉅的任務:在全球各地的系統上執行的數千個複雜軟體包 不可避免地會出現錯誤,使它們容易受到駭客攻擊。他們還擁有 研究人員和安全分析師團隊,他們試圖在缺陷造成問題之前識別和修復它們。

當這些團隊發現漏洞時(無論是來自他們自己還是其他人的工作,還是來自使用者對惡意活動的報告),他們都能夠很好地編寫更新程式,並 將它們傳送給使用者。這些公司的計算機、手機甚至許多軟體程式都會定期連線到其製造商的站點以檢查更新,並且可以 自動下載甚至安裝它們

除了跟蹤問題和建立修復程式所需的人員配備外,這項工作還需要巨大的投資。它需要軟體來響應自動查詢、新版本軟體的儲存空間以及網路頻寬,以便快速將其全部發送給數百萬使用者。這就是人們的iPhone、PlayStation和Microsoft Word副本如何與安全修復程式保持相當無縫的更新。

下一代網際網路裝置的製造商都沒有這樣做。以 杭州雄邁資訊科技有限公司為例,該公司總部位於中國上海附近。雄邁 以其品牌製造網際網路連線的攝像頭和配件,並 向其他供應商銷售零件

它的許多產品以及許多其他類似公司的產品都包含 在工廠設定且難以或無法更改的管理密碼。這為駭客打開了大門,讓他們可以連線到雄邁製造的裝置,輸入預設密碼,控制網路攝像頭或其他裝置,並 產生大量的惡意網際網路流量

當問題及其全球範圍變得清晰時,雄邁和其他製造商幾乎無能為力來更新他們的裝置。防止未來此類網路攻擊的能力取決於建立一種方法,使這些公司能夠在發現缺陷時快速、輕鬆且廉價地向客戶釋出軟體更新。

一個潛在的答案

簡而言之,區塊鏈是一個交易記錄計算機資料庫,它 同時儲存在許多不同的地方。從某種意義上說,它就像一個公共公告欄,人們可以在其中釋出交易通知。每篇文章都必須附帶數字簽名,並且永遠無法更改或刪除。

我不是唯一一個建議使用區塊鏈系統來 提高網際網路連線裝置安全性的人。2017年1月,一個包括美國網路巨頭思科、德國工程公司博世、紐約梅隆銀行、中國電子製造商富士康、荷蘭網路安全公司金雅拓和許多區塊鏈初創公司在內的團體成立,旨在 開發這樣一個系統

裝置製造商可以使用它來代替像科技巨頭那樣建立自己的軟體更新基礎設施。這些較小的公司將不得不對其產品進行程式設計,以定期與區塊鏈系統聯絡,檢視是否有新軟體。然後,他們將安全地上傳他們開發的更新。每個裝置都將具有強大的加密身份,以確保製造商與正確的裝置進行通訊。因此,裝置製造商及其客戶將知道裝置將有效地保持其安全性的最新狀態。

這些型別的系統必須易於程式設計到記憶體空間和處理能力有限的小型裝置中。它們需要 通訊和驗證更新的標準方法,以區分官方訊息和駭客的企圖。現有的區塊鏈,包括 Bitcoin SPV 和 Ethereum Light Client Protocol,看起來很有希望。區塊鏈創新者將繼續找到更好的方法,使數十億“物聯網”裝置更容易自動檢查和更新其安全性。

外部壓力的重要性

僅僅開發能夠保護“物聯網”裝置的基於區塊鏈的系統是不夠的。如果裝置製造商實際上不使用這些系統,那麼每個人的網路安全仍然會面臨風險。製造廉價裝置且利潤率低的公司,如果得不到外部的幫助和支援,它們就不會增加這些保護層。他們需要技術援助以及來自政府法規和消費者期望的壓力,以促使他們從目前的做法轉變。

如果明確表明他們的產品除非更安全否則就賣不出去,那麼不知名的“物聯網”製造商將會加緊努力,使使用者和整個網際網路更安全。

本文最初發表於 The Conversation。閱讀 原文

© .