智慧城市就像是来自未来的迷人光影,在这些城市中,交通灯、各种设施的智能仪表、公共交通全部被连接起来,将巨量的数据反馈到线上。
英国格拉斯哥市已经花费了2400万英镑用于安装智能街灯和交通流量传感器,前者可以为行人和骑行者提供更好的照明。另一座城市布里斯托则在收集从健康到污染的各种数据,并把这些数据经由“城市操作系统(city operating system)”处理。这些城市(在建设智慧城市上)的步伐把其他城市甩开了几条街,但实际上大多数城区都或多或少会有一些智能的影子。
然而,一位知名的互联网安全研究员已经发出警告:未来的智慧城市可能会比现如今的智能手机和电脑更容易受到黑客侵袭。
安全研究公司IOActive Labs的首席科技官Cesar Cerrudo指出,城市机构和政府部分并未在选购科技公司的产品时对其安全性进行测试。“他们(政府)对构成智慧城市的系统和设备进行了大量的功能性测试,但他们并未对其进行安全性测试。因此,基本上,他们对供应商选择了无条件信任。”他表示。
在今年4月份于旧金山举行的一次RSA安全会议上Cerrudo发表了讲话,他提到,许多销售智能系统的公司并未在系统中集成安全有效的加密措施——考虑到如此多的设备无线传输数据,这是很严重的问题。“所有的数据都经由无线传输。如果你的加密措施不到位,任何人都能截取这些数据,危害城市安全。”他强调。
他举了个具体的例子:墨尔本到伦敦等城市都设置了交通控制传感器,总数达200000个。它们就很容易遭到黑客袭击。
Sean Sullivan是F-Secure公司的安全分析师,他说:“智慧城市可为城市规划部门提供大量珍贵信息,帮助改善城市居住体验。但它可能成为恶作剧的受害者,只有妥善保护才有可能全身而退。”
他同意Cerrudo的看法,认为智慧城市很容易被非法入侵,但认为这些入侵更有可能是非恶意,而是处于恶作剧的目的——比如黑客会修改高速公路的电子信息路标,或者设法让城市交通陷入混乱。
Sullivan还谈到了一次“智能电表入侵案”,黑客通过入侵智能电表并将其重新编程而用上了不花钱的电,这让电力公司损失了数百万。
IT安全公司Sophos安全研究部门的全球主管James Lyne表示,一些系统将安全寄希望于“冷门晦涩的程序语言”。
“如今,核心的国家基础设施中的设备通过使用晦涩的计算机语言或隔离来保证安全。即是说,它们使用那些已经被时代淘汰的、晦涩难懂的计算机语言,并尽量设置于孤立的网络中,从而避免遭遇袭击。”Lyne说。
Lyne补充道:“截至目前为止黑客团体尚未对这种设备进行统一的入侵。我猜测这主要是因为,攻击这些设备并不能满足黑客们的金钱或政治目标,而前者一般都是黑客最感兴趣的部分。”
“黑客最喜欢攻击的仍旧是你或我手中的传统设备,它们更能给黑客带来利益。但随着互联型城市的进一步发展,这一局面也有可能发生改变。”
考虑到安全上所面临的风险,下面这种情况就让人有些无法理解了——一些物联网设备供应商不允许像Cerrudo这样的研究员测试他们的产品——除非Cerrudo自己出钱买。
“更有甚者,当得知你隶属一家安全公司后,一些供应商甚至不会把产品卖给你,”Cerrudo说,不过他并未指出具体的供应商公司名字。“我在了解一款智能街道照明系统时就遇到了这个麻烦。我试着去买一台,但他们连价格都不报给我。”
Cerrudo说,还没落好脚的新公司视安全研究公司为某种威胁,而一些更成熟的制造商则会和第三方安全研究公司甚至黑客一同寻找安全漏洞。
现实情况是,即使制造商和安全研究员们一同找到了软件漏洞,为覆盖城市的整个系统推送更新可能也要花数月甚至数年的时间。
“有时智能设备供应商没有设置合适的更新推送机制,他们需要类似的机制来完成安全修复,并将补丁快速部署到系统和设备上,”他说。“这真的是一项巨大的挑战,显然,发现安全问题的第一要务就是快速修复。如果做不到,这意味着你将彻底暴露在攻击者面前。”
那么为了保护智慧城市需要做什么呢?政府部门需要在采购智慧城市解决方案时更加负责,他们不仅仅应该看重优秀的功能,还应该花时间了解其安全系统,并确保安全系统真的有用。
Cerrudo号召每个城市都建立一个计算机紧急应对小组(Computer Emergency Response Team)——就像许多大企业做的那样——用来应对黑客攻击,处理漏洞,并帮助确保智能设备供应商修复此类漏洞,同时对系统做进一步的侵入测试。
“一旦发生互联网入侵事故,城市管理者将很难做到有效应对。一座城市或许能够防范地震和洪水,但我认为许多城市对互联网袭击没有任何概念和应对措施。”