这一切意味着物联网将始终在悬崖边上跳舞，除非政府能够介入解决这一问题。 当市场失效时，政府是唯一的救世主。它可以对物联网设备生产商施加安全法规，强迫他们生产安全的设备，即使客户没有要求。

布莱恩•克雷布斯是网络安全领域的知名记者，时常揭露网络犯罪分子和他们的鬼蜮伎俩，因此成为他们的眼中钉肉中刺。就在上个月，他对在线攻击寻租服务的鞭笞导致了两名服务经营者被捕。之后不久，他的网站在一次分布式拒绝服务攻击中陷于瘫痪。

从任何角度而言，这都不是个新事物。分布式拒绝服务攻击是一种集群攻击，发送过载流量使网站和其他联网系统陷于崩溃。之所以称为分布式，是因为其他联网的不安全电脑——有时数以百万计——被征召成为僵尸网络一员在无意中参与了袭击。这种策略已存在了数十年之久；由单独黑客发动的分布式拒绝服务攻击让人烦扰不已；犯罪分子实施分布式拒绝服务攻击是为了勒索钱财；而政府部门这么做则是为了检测他们的策略。防卫方法是存在的，有些公司能对分布式拒绝服务进行转移，将此技术出租给客户获利。

实质上这是一场比拼规模的竞赛。如果攻击者消防水龙喷涌而出的数据能冲垮防卫者的围墙，攻方胜；如果防卫者能亡羊补牢、巩固堤防，守方胜。

克雷布斯遭受的攻击呈现了新模式，相较同类而言它规模巨大，并且运用了特别招募的设备。这次攻击者没有采用传统电脑组成僵尸网络，而是召集了闭路监控摄像头、数字视频录像机、家庭路由器，以及其他与互联网相通、作为物联网一分子的嵌入式电脑。

已经有很多文章提到了物联网已危如累卵，实际上，用于攻击克雷布斯的软件非常简单，可以称之为业余级别。这次袭击证明了除非政府能够介入解决这一问题，否则物联网经济仍然不够安全。这个市场已经失效，不能自行修复。

除非政府能够介入解决这一问题，否则物联网经济仍然不够安全

我们所用的电脑和智能手机一如既往的安全可靠，因为背后有专门的安全专家团队在处理问题。像微软、苹果和谷歌这样的大公司在发布产品前会花大量时间测试代码，一旦发现漏洞将立即弥补。大公司负担得起这类安全团队，因为他们能从软件上直接或间接地挣到大钱，有些还能在安全竞争上获得收益。不过，对于数字视频录像机或家庭路由器之类的嵌入式系统就完全是另一回事了。这类系统的销售利润率很低，往往由国外第三方公司安设。设备提供公司的确缺乏足够的专业性让它们变得安全可靠。

更糟的是，多数这类设备找不到落脚之处用于修补。尽管攻击克雷布斯的僵尸网络源代码早已公之于众，我们却无法将感染的设备升级。微软每月为你的电脑发送安全补丁；苹果也时常采取类似措施，虽然时间不固定。但是，你升级家中路由器固件的唯一方式就是撇了它，然后买个新的。

事实上，我们电脑和手机安全的另一项保证就是我们经常换个新的。我们每过几年就买个新笔记本，至于手机就换的更频繁了。而嵌入式物联网系统就不可同日而语了。他们年复一年的担负重任，甚至要用上几十年。我们买个新的数字视频录像机能用上五到十年，一个冰箱可能用上25年；至于自动调温器，可能从没换过。听说银行已经开始处理自动提款机中Windows 95的安全问题了？相同的问题将在整个物联网行业不断产生。

市场自身没法修补这一问题，因为无论是买家还是卖家都当它是空气。想想攻击布莱恩·克雷布斯的那些闭路电视摄像头和数字视频录像机吧，它们的主人根本不在乎。这些设备既便宜又能用，再说这些人根本也不知道布莱恩是谁。这些设备的卖家也不在乎——他们现在卖的是新款，版本更高；设备的原始买家只会关心价格和性能。市场本身没有解决方案，因为不安全性正是经济学家口中所谓的外部效应，即购买决定所产生的影响他人的效应。比如不可见污染就属于这一类。

这一切意味着物联网将始终在悬崖边上跳舞，除非政府能够介入解决这一问题。 当市场失效时，政府是唯一的救世主。它可以对物联网设备生产商施加安全法规，强迫他们生产安全的设备，即使客户没有要求。政府还可以让生产商承担责任，引导大家，比如说让布莱恩·克雷布斯控告他们。任何这类举措都可以增加不安全性的成本，促使厂家在设备安全上投入资金进行改善。

当然，对于世界性问题而言，这些只能是我们在国家内部能够做的。互联网是全球性的，攻击者可以很方便地利用非洲的物联网设备搭建僵尸网络，效果跟在美国没什么两样。在长期计划中，我们需要构建的物联网应该弹性十足，足以抵御这类攻击。计划虽好，但是遥遥无期，利用不安全物联网设备发动的攻击始终源源不绝，而我们暂时仍然束手无策。