物聯(lián)網(wǎng)安全不容忽視 嵌入式系統(tǒng)亟需優(yōu)化

　　安全技術(shù)專家布魯斯-施奈爾(bruce schneier)在《連線》上撰文稱，嵌入式系統(tǒng)是物聯(lián)網(wǎng)的核心技術(shù)。物聯(lián)網(wǎng)在將計算技術(shù)帶入與人類生活密切相關(guān)領(lǐng)域的同時，也向外界敞開了大門，增加了外部攻擊的風(fēng)險。

　　全文如下：

　　安全隱患

　　嵌入式系統(tǒng)是物聯(lián)網(wǎng)的核心技術(shù)。所謂嵌入式系統(tǒng)，就是被嵌入硬件之中的計算技術(shù)，從廣義上來說就是計算機系統(tǒng)。

　　與PC這樣的通用計算機系統(tǒng)不同，嵌入式系統(tǒng)通常只針對某一特殊任務(wù)，其核心是由一個或幾個預(yù)先編程好用來執(zhí)行少數(shù)幾項任務(wù)的微處理器或單片機組成。因此，設(shè)計人員能夠?qū)ζ溥M行優(yōu)化，減小尺寸或降低成本，廠家也通常進行大量生產(chǎn)。

　　但問題是，當(dāng)物聯(lián)網(wǎng)將計算技術(shù)帶入與人類生活密切相關(guān)的領(lǐng)域，嵌入式系統(tǒng)在提供便利和效益的同時，也向外界敞開了大門，從而增加了來自外部攻擊的風(fēng)險。

　　嵌入式計算系統(tǒng)布滿了漏洞，并且沒有任何有效的補丁能對其進行修復(fù)。毫不夸張的說，嵌入式系統(tǒng)正面臨“安全危機”。

　　上世紀90年代，PC產(chǎn)業(yè)也曾遭遇類似“危機”。當(dāng)時的PC行業(yè)軟件充斥著各種安全漏洞，軟件廠商集中精力“隱瞞”事實，錯失最佳修復(fù)良機。當(dāng)安全更新發(fā)布的時候，如何說服用戶去安裝，又是另外一個難題。

　　PC產(chǎn)業(yè)在過去二十幾年里發(fā)生了巨大變化。一方面，用戶反饋敦促軟件商加快安全更新的發(fā)布速度。另一方面，自動更新-自動在用戶電腦上安裝安全更新的功能-也逐漸成為主流。當(dāng)然，結(jié)果也許并不十分完美，但比起90年代時已好上太多。

　　與90年代相比，現(xiàn)下的情況要復(fù)雜得多，因為計算機技術(shù)較當(dāng)時已是天差地別?，F(xiàn)在，所有設(shè)備都是聯(lián)網(wǎng)的，路由器和調(diào)制解調(diào)器里的計算機比90年代中期的PC性能還要強大，物聯(lián)網(wǎng)將所有這些都計算機都變成了消費電子設(shè)備。但相比之下，消費電子企業(yè)在處理安全問題的能力上遠不如PC及軟件公司。

　　黑客曾證實，路由器比PC更易被攻破。在全球知名的Def Con大會上，某黑客成功侵入了30款家用路由器中的15款，其中不乏來自知名品牌的知名產(chǎn)品。

　　所以，如果安全問題得不到解決，“災(zāi)難”一定會降臨。

　　嵌入式系統(tǒng)

　　要更好地理解所謂安全問題，需先了解嵌入式系統(tǒng)市場。

　　一般來說，嵌入式系統(tǒng)的核心是博通、高通、Marvell等公司提供的專用計算機芯片。這些芯片價格低廉，利潤空間也很小。除了價格，制造商只能通過功能和帶寬來實現(xiàn)差異化，因此常在芯片中“植入”Linux系統(tǒng)，其它開源或?qū)Ｓ媒M件和驅(qū)動程序。

　　受控于成本及大批量生產(chǎn)的要求，在出貨前，制造商總是盡量精簡制造。因此除非真的有必要，否則廠家不會更新BSP(板級支持包)。

　　嵌入式系統(tǒng)制造商-通常是原始設(shè)備制造商(ODMs)-根據(jù)價格和功能選擇芯片，然后制作成路由器、服務(wù)器等設(shè)備。同樣，ODMs也不會做過多設(shè)計，有些品牌公司也許會在其中加入用戶界面或其它一些功能。