【2017年6月6日台北訊】甫剛結束的台北國際電腦展COMPUTEX 2017規劃有五大主題,而聚焦於「物聯網科技應用」的 SmarTEX 展區更帶來眾多嶄新應用,其中有許多皆圍繞著智慧家庭與智慧城市主題。聯合國曾預估2050年全球將會有逾六成以上的人們居住於都市區[1],現階段全球各地皆已積極投注於「智慧城市」的開發上,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704)日前發布「Securing Smart Cities- Moving Toward Utopia with Security in Mind」研究報告,不僅講述各個國家與城市的智慧城市案例,也提醒智慧科技的發展將伴隨著不可避免的資安危機,是未來政府及企業所需面對的重要課題。
趨勢科技前瞻資安威脅研究團隊(Forward-looking Threat Research, FTR)提供智慧城市網路資安十大要點,協助地方政府以及城市開發商檢視智慧城市的安全性,一同共創安全無虞的智慧烏托邦: 繼續閱讀
配合當地文化與市民需求,以及智慧科技在一些關鍵領域可能遭到什麼樣的駭客攻擊是值得被注意的議題。同時,一旦缺乏良好的資安標準和規範,原本預期的效益將大打折扣,進而將衍生出意想不到的問題。
為了協助主管單位打造健全的智慧城市,趨勢科技特別製作了一份資安十大要點,以供於導入智慧科技時做為參考。
智慧科技必須經過嚴格的檢驗及測試,才能進行任何全面性的建置。經由這道步驟,建置單位可在智慧裝置、基礎架構或服務正式上線之前,找出資安和維護上的問題,例如:資料外洩和異常狀況。
此外,市府單位也應聘請獨立的外部廠商定期進行滲透測試。不過,由於滲透測試的重點僅在於漏洞掃瞄,因此,一些標準的產品測試程序,如:品保 (QA) 與品質測試 (QT) 也應列為標準程序。品保的重點在於發掘智慧科技中的瑕疵,而品質測試的重點則在於測試功能的穩定度。
智慧城市計畫的負責人員必須制定一套服務等級協議 (SLA),列出智慧科技廠商及服務供應商必須達到的資安標準。並且明訂未達標準時的罰則。此外,也可以納入民眾資料隱私確保條款、7 天 24 小時緊急應變團隊,或是前述的定期滲透測試和資安稽核。 繼續閱讀
一般建築,不論商業大樓或私人住宅,通常都設有保全系統來保障重要資產的安全。從簡單的門禁管理到全面的監控攝影與警報系統,都算是保全系統。而且隨著這類系統日益複雜,大樓管理員也開始需要更方便的管理方式。
為了能夠更快、更容易掌控,保全系統開始慢慢連上網路。一些智慧型大樓,更是採用中央監控管理系統。值勤的人員直接從中控室就能過濾消防警報、查看是否有動作感應器被觸動,或者查看每一樓的監視畫面。通道入口的人員進出權限也可以從遠端直接更改。換句話說,實體保全正在逐漸數位化。
不僅如此,保全系統的裝置也逐漸變得複雜,門禁部分可能用到證件讀卡機、外出開關 (REX)、門管控制器、管理軟體等等整套系統。監視部分則包括了攝影機、數位錄影機、檢視軟體等等。而且大樓通常還會安裝各種警報裝置,例如:防闖感應器、消防警報器、滅火系統、動作感應器等等。 繼續閱讀
物聯網(IoT ,Internet of Thing)為企業開創了新的機會,也替消費者帶來新的便利時代。而且這一切只會比想像來得更快:根據業界人士估計,到了2020年會有超過240億個物聯網(IoT)設備互聯互通,這還是保守的數據。根據Motley Fool,其他科技巨擘預計在未來三年內將出現500億到2,000億的物聯網(IoT)設備。
有一點很清楚:物聯網會變的大,需要大量的管理。畢竟,用錯誤的方式處理這些設備可能會在你的網路內留下安全漏洞。硬體設置可能造成物聯網(IoT)崩潰,重點是你必須正確的啟用你的系統。
許多組織都只是安裝硬體而不去變動標準設定,結果留下了讓攻擊者能夠攻擊的重大漏洞
多數設備(包括路由器和印表機)出廠時都帶有預設的簡單密碼和停用的安全功能。許多組織都只是安裝硬體而不去變動標準設定,結果留下了讓攻擊者能夠攻擊的重大漏洞。這種情況會因為物聯網(IoT)設備的啟用數量而加速擴大。畢竟,誰會想去設定每個感應器或替咖啡機設定防火牆?但你還是必須這樣子去啟用物聯網(IoT)設備才不會影響安全性。
不安全的聯網設備可能會帶來網路漏洞。
物聯網(IoT)技術仍在發展中,有幾個關於這些設備如何處理敏感資訊的關鍵問題必須先提出。全球隱私執法網路機構(GPEN)隱私掃描發現物聯網(IoT)設備在如何收集、使用和披露資訊上並不清楚。許多公司也並沒有解釋會如何保護用戶資料或該如何刪除個人資料。因為你的網路會產生許多進入點,如果你沒有得到這相關需求和功能的確切答案,你的系統可能就會面臨危險。 繼續閱讀
趨勢科技發現多達1000種型號的網路攝影機,被物聯網(IoT ,Internet of Thing)殭屍病毒Persirai(趨勢科技偵測為ELF_PERSIRAI.A)鎖定,這類攻擊的始作俑者是開放原始碼的後門惡意軟體Mirai,入侵了數位錄影機(DVR)和CCTV攝影機,造成的分散式阻斷服務(DDoS)攻擊,在2016年引起了相當的關注。類似的攻擊還有Hajime殭屍網路。趨勢科技透過Shodan發現約有12萬台的網路攝影機具備可被ELF_PERSIRAI.A攻擊的漏洞。令人憂心的是,許多使用者並不知道自己的網路攝影機暴露在網路上。
圖1:到2017年4月26日為止可被入侵的網路攝影機數量(資料來自Shodan)
這讓惡意軟體的幕後黑手更加容易去透過TCP 81端口來連入網路攝影機。
行為分析
圖2:ELF_PERSIRAI.A的感染流程
網路攝影機通常使用通用隨插即用(UPnP),這是讓設備開啟路由器上的端口來成為伺服器的網路協定,使其成為物聯網惡意軟體顯著的目標。
登入有漏洞的介面後,攻擊者可以執行命令注入,強制網路攝影機透過以下命令連到一個下載網站:
然後下載網站會回應以下命令:
