几周前,科技新闻网站TheVerge报道了一款新的Ring安全摄像头,它实际上是一架无人机,可以在家里飞来飞去。从明年开始,“永远在家”的摄像头应该可以让主人看到整个家里,而不需要多个摄像头。传统的物联网安全威胁安全专业人员可能会以不同的方式处理新闻,也就是说,请记住,物联网(包括安全摄像头等智能家居设备)往往不太安全。其中许多产品都包含易于利用的漏洞,包括常见的默认密码。与此同时,安全研究人员对这些设备的关注度越来越高,使得更严重的漏洞为更广泛的黑客所利用。目前有许多活跃的物联网僵尸网络,从事大规模分布式拒绝服务(DDoS)攻击或出租作为代理网络。也许更让设备所有者担心的是Motherboard去年的报告称,一名黑客闯入了田纳西州儿童卧室中安装的Ring摄像头,并与其中一名儿童交谈。物联网设备在安全方面享有当之无愧的坏名声,但情况正在改善。许多制造商更加重视安全问题,在全球范围内,已经颁布或正在讨论新的法律来强制执行某些物联网安全措施,同时禁止不安全措施,例如使用常见的默认密码。并且不要忘记数据!传统的安全威胁并不是IoT设备的唯一问题。收集数据(例如相机图像或位置数据)的设备通常将此数据存储在云中某处的中央位置。即使这样的服务器无法被黑客入侵,它也会成为执法部门、政府和情报机构的金矿,而制造商可能会被诱惑以某种略微匿名的形式将数据出售给数据经纪人。乐观主义者表示,损害可能会减轻,因为法律可能会对数据获取和销售设置高壁垒。公司也可能被迫采用隐私优先的方法并限制集中存储的数据量。物联网安全和滥用但是还有第三种安全风险经常被忽视并且不容易通过立法或更好的做法来缓解:滥用(前)合作伙伴或跟踪者。对于施虐者来说,有安全摄像头,尤其是那些可以在房子周围飞行的摄像头,可以为他们提供有关目标的信息。在其他情况下,滥用者使用他们不应该知道的凭据:很多滥用都是关于权威的。从传统的安全角度来看,这似乎是可以预防的。使用强密码,并在可能的情况下使用多重身份验证来防止不必要的帐户访问。此外,切勿让可能不受欢迎的人靠近设备。但这忽略了虐待关系的复杂性。对于许多虐待受害者来说,施虐者使用他们的设备是不安全的,这样做会加剧虐待和暴力。亲密关系也与恶意网络参与者和受害者之间的传统“关系”有很大不同。在今年早些时候发表的一篇论文中,KarenLevy(康奈尔大学)和BruceSchneier(哈佛大学)研究了亲密关系中的隐私威胁,例如,注意到经常动态。许多虐待关系始于正常、健康的关系,在这种关系中,共享设备和服务不仅不是问题,而且通常是非常可取的。传统的威胁模型没有考虑这种动态。另一个问题是,在人际关系中,即使是虐待关系,人们也常常发现自己处在同一个地理位置。即使在糟糕的关系中,孩子的共同监护权也可能是必要的。出于安全考虑,这意味着不仅需要考虑远程威胁,还需要考虑通过物理访问更改设置或获得永久访问权限的风险。两年多前,《纽约时报》报道了智能家居技术如何在许多家暴事件中发挥作用。后来问题变得更糟了。对于网络安全专业人员如何帮助在虐待关系中使用联网设备,目前还没有明显的解决方案。但任何从事此类产品工作的人,无论是制造商还是安全专家,都应该了解虐待关系的复杂性,并了解技术在其中扮演的角色。由于这种隐私威胁,可能会失去生命。那么,作为网络安全专业人士,您可以做些什么来降低智能设备被用于家庭暴力的可能性?首先,推动物联网制造商不仅默认启用隐私,还要确保隐私被视为来自亲密伙伴的威胁。其次,支持家庭暴力意识月等活动,以支持直接或间接帮助受害者的组织。第三,也许是最重要的一点,让自己了解家庭虐待的复杂性并聆听受害者的故事。
