几周前,技术新闻网站The Verge报道了一款新的Ring安全摄像头,它实际上是一架无人机,可以在屋子里飞来飞去。从明年开始,这款“永远在家”的摄像头应该可以让它的主人在不需要多个摄像头的情况下,看到家里全貌。
传统物联网安全威胁
安全专业人士可能会从不同的角度来看待新闻,也就是说,要记住,物联网(包括安全摄像头等智能家居设备)的安全性往往较差。这些产品中有许多包含容易被利用的漏洞,包括常见的默认密码。与此同时,安全研究人员越来越关注这些设备,从而使更严重的漏洞可供更广泛的黑客使用。
目前有许多物联网僵尸网络处于活跃状态,参与大规模分布式拒绝服务(DDoS)攻击或作为代理网络出租。可能更让设备拥有者担心的是去年Motherboard报道的消息,一名黑客侵入了田纳西州一间儿童卧室里安装的Ring摄像头,并与其中一名孩子交谈。
物联网设备在安全性方面享有当之无愧的坏名声,但情况正在改善。许多制造商越来越重视安全性,而在全球范围内,已经制定或正在讨论新的法律,以强制某些物联网安全实践,同时禁止不安全的实践,例如使用通用默认密码。
别忘了数据!
传统的安全威胁并不是物联网设备需要关心的唯一问题。收集数据(例如摄像头图像或位置数据)的设备通常将此数据存储在云中某处的中心位置。即使这样的服务器不会被黑客攻击,它也将成为执法机构、政府和情报机构的金矿,同时制造商也可能被诱惑将数据以某种稍微匿名的形式出售给数据经纪人。
乐观主义者认为这种损害可能会得到缓解,因为法律可能会对数据的获取和销售设置高门槛。公司也可能被迫采取隐私优先的做法,并限制集中存储的数据量。
物联网安全与虐待
但是,还有第三种安全风险常常被忽视,也无法通过立法或更好的做法轻易减轻:虐待(前)伴侣或跟踪狂。
对于施虐者来说,可以使用安全摄像头,尤其是可以在房屋内飞行的安全摄像头,可以向他们提供目标者的信息。在其他情况下,施虐者会使用他们本不该知道的凭证:很多虐待行为都是关于权限的。
从传统的安全角度来看,这似乎是可以预防的。使用强密码,并在可能的情况下使用多因素身份验证,可以防止不必要的帐户访问。而且,永远不要让潜在的不良人员靠近设备。
但这忽略了虐待关系的复杂性。对于许多虐待受害者来说,不让施虐者使用她们的设备是不安全的,这样做可能会加剧虐待和暴力。亲密关系与传统恶意网络参与者和受害者之间的“关系”也有很大不同。
在今年早些时候发表的一篇论文中,凯伦·利维(康奈尔大学)和布鲁斯·施奈尔(哈佛大学)研究了亲密关系中的隐私威胁,例如,他们注意到这种关系往往是动态的。许多虐待关系开始于正常、健康的关系,在这种关系中,共享设备和服务不仅不是问题,而且通常是非常可取的。传统的威胁模型没有考虑这种动态关系。
另一个问题是,在人际关系中,甚至是虐待关系中,人们经常发现自己处于相同的地理位置。即使是在糟糕的关系中,对孩子的共同监护也可能是有必要的。为了安全起见,这意味着不仅需要考虑远程威胁,而且还需要考虑物理访问更改设置或获得永久访问的风险。
两年多前,《纽约时报》报道了智能家居技术如何在许多家庭虐待事件中发挥作用。这个问题后来变得更糟了。
网络安全专业人士如何提供帮助
在虐待关系中使用连网设备并没有明显的解决办法。但任何从事此类产品工作的人,无论是作为制造商还是作为安全专家,都应该了解虐待关系的复杂性,并了解技术在其中扮演的角色。因为这种隐私威胁,可能会造成生命损失。
那么,作为网络安全专家,你能做些什么来降低智能设备被用于家庭暴力的可能性呢?
- 首先,推动物联网制造商不仅在默认情况下启用隐私,而且还要确保这种隐私考虑了亲密伙伴的威胁。
- 其次,支持家庭暴力宣传月之类的活动,为那些直接或间接帮助受害者的组织提供支持。
- 第三,也许是最重要的,让自己了解家庭虐待的复杂性,并听听受害者的故事。
转载请注明:IT运维空间 » 安全防护 » 物联网设备:虐待关系中的隐私与安全
发表评论