你購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,但會將連網設備的安全列入採買要素嗎?根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式,約有七成曾受過釣魚式攻擊、五成受過漏洞攻擊、四成則受過分散式阻斷服務攻擊(DDoS)。另外,勒索病毒 攻擊也是一新犯罪趨勢。但你知道:家用智慧型產品 毛孩子都能侵入侵嗎?
很顯然地,必須做些什麼來保護物聯網(IoT ,Internet of Thing)。不幸的是,我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題:我要看電視時要隨時可以看。
上個禮拜DNS服務商Dyn所遭遇的大規模分散式阻斷服務攻擊 (DDoS)攻擊敲響了一記警鐘:物聯網生態鏈已經徹底、完全地被破壞。缺乏支援和不安全的設備造成網際網路基礎設施一個重要的部分斷線,影響了許多知名網站。
上周末臺灣10月21日傍晚19點10分,Dyn管理的DNS服務系統遭到DDoS攻擊,造成多數網站無法使用,其中較知名的有:CNN、Airbnb、Spotify、Netflix、HBO等。這啟攻擊中,駭客控制數千萬件物聯網(IoT)裝置,包含網路攝影機、監視系統、無線網路基地台等,命裝置發動攻擊。影響延續約8小時,直到台灣時間隔日早上8點才完全修復。
編按:無獨有偶 ,新加坡時間10月22日又見DDoS攻擊鎖定DNS!新加坡電信Star Hub遇襲,導致用戶3天難上網
⊙延伸閱讀:CNN、Netflix還有Spotify都不能用!上週末到底發生什麼事?
大部分攻擊起因: 監視/網路攝影機感染Mirai僵屍網路
這起攻擊來自何處?大部分都是感染了Mirai惡意軟體的物聯網(IoT ,Internet of Thing)設備所造成,趨勢科技將其偵測為ELF_GAFGYT.DGB/ELF_BASHLITE.SM。(Mirai傀儡殭屍網路原始碼已經在10月初公開發布,恐遭有心人士惡意利用)。關於攻擊的大部分原因是一家白牌的數位網路監視攝影機和網路攝影機。這家廠商已經公開召回他們一些具有漏洞的設備,這是一個值得鼓勵(可能代價高昂)的舉動。不過,也很可能有其他廠商的設備也參與其中。
利用數以千計遭到殭屍化的監視攝影機來發動 DDoS 攻擊,其實之前已經有案例。
⊙延伸閱讀:監視攝影機暗藏惡意程式
在找到方法保護好物聯網前,這起攻擊不會是最後的一次
要將這些攻擊說是「前所未有」是有點勉強 – 就在幾個星期前,Brian Krebs也遭受到Mirai「Botnet傀儡殭屍網路」的DDoS攻擊。可以肯定的是,在找到方法保護好物聯網前,這起攻擊並不會是最後的一次。
而關於物聯網(IoT ,Internet of Thing),現在的優勢是在攻擊者那方:有太多物聯網設備是不安全,無法保護,也不會受到保護。阻斷服務攻擊成為更加有力的威脅:威脅公司會斷線變成實際可行也更具說服力的說法。
物聯網產品自己也會因分散式阻斷服務攻擊 (DDoS)攻擊而產生對現實世界的影響 – 當這些設備無法連到中央伺服器時會發生什麼事?比如這個例子, 一個可根據溫度來智慧決定要不要加熱的恆溫器, 因為網路斷了拿不到數據, 結果就不停的加熱, 號稱比較省電的裝置卻適得其反,無法正常運作。DDoS攻擊曾經只是會造成困擾的事情 。而現在隨著越來越多重要功能放到網路上,這成為了嚴重的威脅。
四成連網裝置受過分散式阻斷服務攻擊(DDoS),但購買智慧型家電時,有多少人會將資安列入考量?
根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式,約有七成曾受過釣魚式攻擊(Phishing)、五成受過漏洞攻擊(Unpatched vulnerabilities)、四成則受過分散式阻斷服務攻擊(DDoS)。另外,勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊也是一新犯罪趨勢。
很顯然地,必須做些什麼來保護物聯網。不幸的是,再怎麼說這有多困難都有些輕描淡寫了。我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題:我要看電視時要隨時可以看。
當人們購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,鮮少有人會將連網設備的安全列入採買要素。
⊙延伸閱讀:Android 智慧型電視後門程式現身,惡意程式恐開家中資訊後門
IoT生態鏈缺口: 產品賣家並非每個人都有足夠的技術和能力來解決自己所賣東西的問題
網路安全專家把這種威脅比作「好像每個人都有一顆核彈」
那物聯網產品賣家呢?他們並非每個人都有足夠的技術和能力來解決自己所賣東西的問題。在某些情況下,這些賣家只是拿白牌產品來貼牌而已。經銷商和進口商是否真的能夠支援自己所賣的產品?答案是:可能不行。
這篇文章報導:加拿大網路安全專家在接受CBC採訪時說,” 侵入工作站或Windows的裝置是比較困難的。但是由無數小公司生產的便宜的智能電子產品,在安全防護上非常初級。而目前對這個行業的管理缺乏相關法規,使那些不想在安全上投資的小公司有漏洞可鑽。
駭客侵入這些產品如入無人之境,然後可以透過它們發動大規模的網路攻擊,例如發送海量垃圾信息導致網站癱瘓。另一位網路安全專家把這種威脅比作「好像每個人都有一顆核彈」。”
