物联网威胁堪比核弹，该如何防御？

有位密码学专家起草了一篇论文，要展示一颗智能灯泡如何能在几分钟内让整个智慧城市都受到恶意程式感染；这是参与近日在美国硅谷举行的资安方案供应商RSA年度技术大会(RSA Conference，编按：RSA现隶属Dell-EMC集团)之一场座谈的专家们所讨论的话题之一。

在另一个议程中，美国国会国土安全委员会(congressional committee on homeland security)主席、众议院议员(德州第十选区) Michael McCaul则提出了一个更具威胁性的潜在风险：“不良份子在我们的关键基础建设上留下网络指纹(cyber fingerprints)，透露他们正在监视你说了什么、做了什么，可以从内部打击你。”

因此McCaul呼吁建立一个由美国国土安全部(Department of Homeland)负责协调的国家网络安全计画，负责主持定期演习以及订定反击方案选项：“我们正在我们的数位生活中战斗，而且我们并没有获得胜利；”他每个星期都会听取关于网络安全威胁的简报，包括从去年春天开始俄罗斯骇客在美国总统大选期间的活动。

McCaul表示：“我督促过欧巴马总统(President Obama)以及当时的总统候选人川普(Trump)公开发表立场，但对于他们打击危及国家体系之威胁的反应感到失望。”

RSA公钥加密技术(public key encryption)共同开发者Adi Shamir对网络安全的整体评估也同样令人忧心，他在一场邀集密码学专家的座谈中表示：“今日我们所知的网际网络已经没救了，我真的觉得我们应该打掉重练。”

Shamir与他的同事将在今年发表一篇题为“物联网将变成核弹(IoT Going Nuclear)”的论文，描述一个人如何能以内含恶意软件的智能灯泡，在几分钟内让使用大量智能照明灯具的整个智慧城市都受到感染。

他指出，韩国厂商LG Electronics的智能电视就被勒索软件攻击：“政府应该要(针对这种问题)做一些事情，例如不让那些不够安全的装置连结公共网际网络；”这个提议获得了听众们的热烈掌声。

RSA Conference中的密码学专家座谈会

而与谈专家大致同意，机器学习、量子运算以及区块链(blockchains)在可见的未来对于安全性不会有太大影响。Shamir表示：“我对于人工智能(AI)在防守上的表现感到乐观，但不是进攻；抵抗新一代的零时差攻击需要巧妙的手法，而非强大的机器学习方案，那适用于行为比对(comparing behaviors)、发现异常以及针对异常发出警报。”

能击败今日加密技术架构的量子电脑实机还需要很多年才打造得出来，不过美国伍斯特理工学院(Worcester Polytechnic Institute)网络安全策略教授Susan Landau表示：“我没有看到在后量子研究领域有(与一般加密技术)相同水准的数学研究，这关系到我是否接受它(即今日的后量子技术)成为标准。”

投资教育就是最佳的防御武器

RSA的另一位共同开发者Ron Rivest则表示，在比特币(bitcoin)背后更广泛应用区块链技术的影响力被夸大了：“它感觉被看成像是万灵丹那样的东西…那可以被用在金融领域…但不是普遍需要；”他呼吁在教育上有更大的投资，这才是最佳的安全策略：“如此能催生更多人才，开发所需工具。”

密码学家Whitfield Diffie则呼吁，该特别针对新种类的架构即正确(correct-by-construction)编程技术有更多投资：“我想我们把所有的事情搞错了，我从几年前就在想这件事。”

“以逻辑验证的正确程式码(logically proven correct code)…被大大低估，如果我们能投注像是花费在逻辑功能(logical functioning)装置以及品质编程(quality programming)上互动式安全技术之资源，我们会取得更佳成果；”Diffie的发言也获得了热烈掌声。

众议员McCaul在另一场谈话中大致同意”联邦政府机关并非网络安全的解答，答案应该来自私部门的杰出成就”的说法，他表示：“我们正在流失网络领域人才，因为内部士气低落，还有外面的钱比较多；”他呼吁设立更多网络安全奖学金以回报政府服务。而当McCaul指出：“安全平台有后门(back doors)是大错特错；”也赢得了在场技术专家们的掌声。

与会安全专家们也担心，新上任的川普政府可能会对企业施压，必须将密钥提供给执法部门。伍斯特理工学院Landau正在撰写一本预计秋天出版的新书，将描述的案例是：“(在数位时代的)执法部门有很多不同调查方法，就算手机是被锁住的。”

Landau曾因2015年发生的San Bernardino恐怖分子枪击案，在Apple与联邦调查局(FBI)之间的安全性争议期间，于国会听证会中担任证人。

McCaul在他的谈话中坦承：“法律并没有跟上数码时代，武器总是能超越防御需求，但我们正面临的是以二十世纪的防御方法、十九世纪的官僚，来因应二十一世纪的威胁；”他的结论是：“尽管网络领域一片黯淡…我们拥有全世界最强的头脑，能寻找防御网络的解决方案。”

编译：Judith Cheng

本文授权编译自EE Times，版权所有，谢绝转载

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。