浅谈物联网那些成功与失败的安全问题
- 来源:物联中国
- 2014/8/31 10:53:172526
谈到羽毛球拍,或许我们大家家里都会有1、2副挂在家里,也没什么稀奇。其实,当小编收到活力π智能球拍的时候打开布满“0101”数字的球套的时候,也完全没看出来这款羽毛球拍有什么不同之处,直到几分钟后发现手柄下端的指示灯和数据接口,才算是打开了“冰山的一角”。
据负责人介绍,该款智能羽毛球拍是配合智能体育运动分析软件一起使用,通过在传统体育器械内置入智能芯片,可以实现对打球运动轨迹的采集、整理、分析等。同时可以记录自身的运动轨迹,分析出运动的状态,并对此给运动员一些合理的建议和数据参照。
拿到球拍,先试着打了几下感受了一下。然后下载软件安装,打开球拍手柄底部的ON开关,插上蓝牙接收器,选好COM口,使蓝牙配对,就直接可以使用了,整体连接比较简单、易操作。
先说硬件,活力π智能球拍标注球框和球杆材质为:高刚性碳纤维,中杆偏硬,实际测量92克左右,标准可拉磅数是24-32磅,握感不错。整体上在外观、手感方面,与其他球拍没有太大差异,只是把球拍倒过来时才会发现,在球拍手柄底端有开关按钮ON/OFF、一个数据接口和一个指示灯,拍柄内置MEMS感应器和蓝牙通讯模块,用于采集数据和数据的实时传输,这才是活力π区别于普通球拍的“芯”所在。
如果说该款智能球拍和普通球拍没有太多的区别,那么软件才是区分他们的重要标准。
从软件界面上来看,各种参数在这里汇总,一目了然。球拍的动作都可以实时在电脑上显示,软件界面上有显示球速,击球角度,击球点,击球力度,拍速曲线和运动分析等界面。不仅能够纪录挥拍的球速,击球角度、拍速曲线等信息,而且还能将整个挥拍过程中的轨迹以三维图形或线条的方式展现出来,非常直观逼真,吸引人的是将挥拍曲线完整还原成真实动作的大图,看上去显得非常专业漂亮。通过对挥拍数据的分析,给出对运动的一些建议,告知发力是否连贯,击球角度是否佳等信息。后我们也可以打完球,再通过数据线连接电脑,对刚才所打的数据进行分析、总结。
从实际使用体验中来讲,尔思活力π智能球拍是一款与众不同的“芯”球拍,可以系统的采集分析球员和球拍的各种系数,在和一名教练沟通中,教练也表示智能球拍可以分析出高速摄像机都未必能够发现的问题,在轨迹捕捉和数据分析上确实是专业人士的好选择。但
对于小编这种“非专业运动员”来讲这种智能球拍还是太高大上了,普通羽毛球爱好者对待打球更多的是获取一种乐趣,很少去关心我这一拍子下去是多少时速?力量多大?所以,该款智能球拍还是面向专业运动员群体的,对于爱好者推荐而已。
深圳市尔思电子有限公司的智能体育负责人肖先生介绍说,智能球拍应用的技术还可以用在其他领域,如无人驾驶,飞机,汽车等。现在的谷歌眼镜也是类似的原理,区别在于谷歌眼镜是记录用户低速运动的轨迹,而智能球拍记录的是高速运动轨迹,技术的要求规格会更高。公司研发的智能体育产品不仅仅是智能羽毛球拍,还有智能乒乓球拍,智能网球拍,智能高尔夫球杆等智能体育产品,配套软件除了电脑直连版,还有蓝牙版和安卓版,蓝牙版更适合现场演练,赛事讲解,安卓版可以随时随地的分析自己的运动数据。后面我们的产品会加入更多者运动员的数据,进行数据参考,也可以对比分析,我们将来希望建设一个云在线平台,让爱好者的动作可以与明星运动员的动作进行对比,随时可以提取出来进行练习改进。公司也与艾迪宝ADIBO等厂商缔结为战略合作伙伴关系,共同推广数字体育运动,开拓数字体育新市场。
互联网不再仅仅只能从你的笔记本电脑或移动电话进行访问了;现在的电视机,婴儿监护器,烤箱和甚至是汽车零件都能访问互联网。越来越多地嵌入式医疗器械等医疗健康设备也都可以随时访问互联网。可以说现阶段互联网是无处不在的,这一趋势将使得物联网(IOT)得以保持持续地增长。
不幸的是,这种不断发展的技术会使得安全问题也同样大幅增长。上个月,在BlackHat和Defcon的安全会议上的多个演示文稿中,就强调了各种物联网设备的弱点。尽管还额外出现了其他物联网安全挑战的重点,如OWASP物联网安全的几条重要信息,总体看起来,在物联网领域未来将仍然是一场艰苦的战斗。
缺乏更新将会是物联网的阿喀琉斯之踵
无效或没有计划,将成为物联网部署安全更新的大障碍。现实情况是,漏洞会随时出现在任何代码中。我们认为在整个设计和开发周期中都会有着较少的安全问题存在。然而,所有的软件厂商必须要能随时准备快速地响应漏洞,并发布补丁,以保护他们的用户。
我们必须从过去的失败中汲取教训
没有实际的修补计划所带来的影响,如今可以直接从iOS和Android上观察得到。两者都运用大量的安全资源,由有才华的开发团队来开发这些操作系统,当安全问题被发现时,两者也都能迅速做出补丁加以修正。苹果发布的补丁可直接通过iOS的更新向用户分发,但是Android设备的补丁必须通过设备制造商和网络运营商来进行发布,所以这其间一定会造成大量的时间延误。其可能出现的结果是,Android设备可能数月或数年都无法接收重要的补丁。据统计,小于18%的Android设备在运行新的Android版本,82%的设备都缺少关键的安全更新。
今天的激励模式阻碍了物联网补丁的发布
让我们想象一个安全漏洞被发现的物联网烤箱,冰箱,或婴儿监视器,而且这些设备都是您近购买的。它们会及时发布补丁以解决这一问题么?让我们看一下各方的激励模式。
☉ 制造商方面:
极力想让产品销售出去
产品要包括物联网连接的功能–即使这并不是他们的专业领域
产品的市场因素带动产品的销售
☉ 顾客方面:
主要目的是希望设备能正常工作
认为能进行物联网连接是一个很好的功能
大多数不想使用“固定”的模式
☉ *组织方面:
希望设备能在其控制下成为僵尸网络并进行分布式攻击
想保持隐藏,不影响设备性能,这样不被察觉,他们的恶意软件也就不会被消除
如果我们对上述因素进行评估,我们可以看到物联网设备修补漏洞对厂商来说具有非常低的优先级。*组织会利用目前设备上一些已经过时的漏洞。如果*组织足够狡猾,他们会在系统后台运行其恶意代码,而不影响设备的整体性能。这意味着顾客不会察觉到恶意软件的存在,并且该安全漏洞也不会被顾客反馈至制造商那里去。因此,如果该设备的评价没有负面的安全漏洞影响,制造商将没有动机对其进行补丁修补。
物联网的漏洞将影响很多受害者
虽然制造商可以不急于修复这些漏洞,但其潜在的危险还是很大的。
1、物联网设备的所有者
客户将失去隐私。他们的私人数据会在其不知情的情况下被监视并出售。随着物联网的扩展,这些数据将变得更加多样化,包括重要的健康数据,位置信息和家中的视频流等等。
2、涉及整个Web上的应用程序
在物联网上的所有Web应用程序也将处于危险之中。脆弱的物联网设备将受到损害,并加入恶意僵尸网络。这些受损的设备会发送垃圾邮件,拒绝提供安全服务,甚至能监视并获得整个被盗网络的数据。受害的网站将继续攻击其它不相关的网站和应用,恶意攻击防御系统,并不断扩大僵尸网络。
进行有效的修补程序部署将会是一个大问题
设备的黑客绝大多数会被忽视,也不影响到设备的所有者。然而,一些安全漏洞会给顾客带来严重的影响,这样公众便会要求提供补丁加以修正。但如何将这个补丁发布出来呢?
在这种情况下,制造商可能会争相发布补丁。可是然后呢?如何修补实际受损失的设备呢?要求所有客户重新启动他们的烤箱,汽车,或心脏起搏器?或只将更新的软件提供在实物产品的下一个版本上?这意味着客户将继续使用未打补丁的设备,直到他们买了一台新的烤面包机,婴儿监视器等。所以不幸的是,我们在物联网安全方面,目前面临的挑战之一是,即使我们发布了一个补丁,也没有有效的渠道能及时送达到大多数设备上。
我们怎样才能做得更好?
我们有两种方法可以使情况变得更好。
首先,我们需要通过努力使消费者改变激励模式,这样生产商将倾向于快速修补漏洞。这可以通过公开影响范围广泛的IoT安全漏洞来实现。也可以通过对物联网安全性弱点内容的广泛交流来完成。屡犯者要追究责任,消费者也应参与投票。我们还应该提倡积极安全的方法,来帮助建立强健和安全的物联网设备。
其次,物联网设备制造商必须为其产品中不可避免的安全漏洞做好准备。他们必须考虑设计和实施过程中的安全性,避免明显的安全弱点。不过,他们也必须建立一个可用的修补模式,使设备升级时能首先完成必要的重要的安全升级。这也需要与用户进行无缝的合作,并且可以满足大多数的设备。