當我們在戴上或操作智慧型手錶、智慧型電視以及其他智慧型裝置時,我們只看到「酷」的一面。但您知道這些裝置如何處理它們所蒐集到的資料嗎?還有,這些資料最後都傳送到哪裡?
大多數 (儘管並非全部) 的智慧型裝置都會連上網際網路,並且將智慧型裝置所接收和發送的資料保存在雲端。不過,在資料到達雲端之前,會先經過好幾個層次:
就在幾個月前,Heartbleed心淌血漏洞才橫掃網際網路,現在又出現了另一個存在已久的廣泛性安全漏洞,名叫 Shellshock (亦稱為 Bash 漏洞),這一次,全球數以億計的伺服器和裝置及使用者都將受到威脅。Bash 漏洞之所以嚴重,是因為要利用它來發動攻擊輕而易舉,不需太大的專業技術能力。
這是什麼樣的漏洞?
Shellshock 是一個存在於 UNIX 類系統 Bash 指令列界面程式 (shell) 當中的漏洞。當今的 Bash 程式會讓使用者從遠端執行指令。如此一來,就能讓駭客在系統上執行惡意的程序檔 (script),等於讓駭客掌控了一切。此漏洞的影響非常廣泛,因為所有的 Linux、BSD 和 Mac OS X 作業系統都受到影響,光是 Linux系統就占了網際網路上絕大多數的伺服器,再加上各種 物聯網(IoT ,Internet of Things) 裝置。
威脅的影響範圍及對象?
Shellshock/ Bash 漏洞等於在系統上開了一個後門,讓駭客能夠從遠端執行指令、取得系統控制權、挖掘資料、竊取資料、篡改網站等等。絕大多數採用 Linux 作業系統的電腦和連網裝置,如路由器、Wi-Fi 無線基地台、甚至智慧型燈泡都受到影響。
穿戴式科技正逐漸興起,並且將在數位領域留下不可磨滅的足跡。有了穿戴式裝置,您再也不會漏接任何電話、電子郵件、最新消息等等,其方便性還不只如此。方便性似乎已成了今日科技所追求的目標。
這一波彼此密切相關的全新智慧型裝置不僅滿足了功能、方便性與可靠性需求,更何況還能低調地融入您的一身打扮當中。一個很好的例子就是健身記錄器,這些設計得如同一般手環的智慧型裝置,內建多種生物感應器,能測量您身體的數據並即時計算您的進度,卻完全不影響您日常的健身習慣。其最新數據可以藉由藍牙傳送至您的行動裝置,讓您隨時掌握最新的進度。
另一個例子是智慧型手錶(如:蘋果 Apple 發表的 Apple Watch ),之後它可當成智慧型手機的延伸。其功能就像一般的電子錶,但卻多了顯示手機來電通知的功能。許多智慧型手錶的早期採用者表示,這些裝置能讓他們在忙其他事情時省去隨時查看手機的麻煩。儘管這類手錶的功能目前仍顯陽春,但各大電子廠商皆已承諾在未來不久之內為智慧型手錶開發出更多實用又提升生產力的 App 程式。
延伸閱讀:從陽春到智慧:物聯網 (Internet of Everything) 串連智慧裝置讓生活更便利
這類智慧型裝置的終極版本就是智慧型眼鏡。如果說健身記錄器和智慧型手錶讓您的真實生活和虛擬生活同步的話,那麼智慧型眼鏡則讓您隨時捕捉這世界的驚鴻一瞥。它能幫您搜尋網路、記錄資料、錄下視訊和影像、撥打電話、發送訊息,全都透過簡單的語音指令完成。如同其他尖端技術一樣,這項穿戴式裝置目前仍未成熟,還有許多改進空間,縱然它技術規格很強大,但依然有待開發。
不過,雖然這些智慧型裝置革命性十足,但它們也可能侵犯人們的生活、讓人容易分心、或者帶來危險。由於這些裝置會蒐集並傳送敏感資料,例如您健身記錄器上的健康進度與每日行經路線,或是您透過智慧型手錶發送的訊息,或是您的確切位置以及從智慧型眼鏡看到的畫面,這些都是網路犯罪集團覬覦的全新目標。歹徒一旦攔截到您的資料,就能竊取您的身分。若您在工作場所使用這些裝置,他們就可能潛入您的公司網路。當您在使用這類智慧型裝置時,您必須問問自己願意犧牲多少個人隱私來換取方便性和連線能力。
文章一開始的圖文解說根據傳輸及接收的資料將穿戴式裝置分成三種不同類型:「輸入型」裝置會蒐集並儲存本地端的資料,「輸出型」裝置會顯示來自配對裝置的通知讓使用者閱讀,「輸入輸出型」裝置則可傳送、接收並顯示資料。請點選上面的影像來查看穿戴式裝置圖文解說的全文。
◎原文出處:https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/ready-for-wearable-devices
惡意威脅份子會對企業和組織進行間諜和破壞活動。經過足夠的研究後,惡意威脅份子可以製造社交工程陷阱( Social Engineering)誘餌來騙得足夠多的員工點入連結或打開附加檔案。電子郵件是目標攻擊最常使用的進入點
•每天的電子郵件流量有超過60%屬於企業用途
•一般企業員工平均每天會寄送41封和接收100封的電子郵件。
•收到的郵件中有16%是垃圾郵件
點圖片可放大
攻擊者會假造內容讓它符合時事且更具有說服力
•攻擊者利用常見網頁郵件服務(如Yahoo!、Gmail等等)的帳號和之前所入侵獲得的帳號來寄送電子郵件
•在RSA受到的攻擊中,送給員工的電子郵件中有主旨為:「 Recruitment Plan(聘僱計畫)」
•攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件
•攻擊者假造附加檔案名稱來變得更符和時事,更有說服力
•在Nitro攻擊活動中,電子郵件偽裝成來自目標公司的資訊部門
•一封送至印度目標的電子郵件偽稱含有印度彈道導彈防禦計畫的資料
企業需要更大規模的多層次安全解決方案來讓網路管理者可以深入了解並掌控整體網路的全貌,以降低目標攻擊的危險性,不管它會利用什麼設備或是入侵點。
科技進步帶來了更強大的裝置。由於物聯網(IoT ,Internet of Things) 的發展,現在人、裝置與流程之間終於有了斬新的高科技無線連結。各種產業都已開始趕搭物聯網(IoT ,Internet of Things) 的列車,推出具備新奇遙控功能的家電產品。現在,App 程式可以和家用電器溝通。例如,可遠端遙控家中的燈光或花園的灑水裝置。
點小圖可看大圖
隨著IoE 的崛起,一些日常熟悉的家用電器與個人產品也都出現新的發展。現在,超高解析度的 4K 電視大多能連上網際網路,甚至具備臉部或姓名辨識功能。一些運算能力強大的穿戴式裝置和智慧型手機等個人產品,現在也成了一般日常生活用品。根據研究預測,到了 2018 年,光是智慧型手錶的全球出貨量就將達到 2 億 1,400 萬。
具備IoT 功能的裝置普及率只會越來越高。不用多久,我們就會看到速度更快的智慧型手機、自動化程度更高的汽車、遊戲畫面更逼真的電玩主機。
不幸的是,隨著連網的未來步步逼近,網路犯罪者也已做好準備。新的科技帶來了新的攻擊機會。智慧型電視當中儲存的資訊,很可能是駭客獲取個人資訊的下一個目標。新的電玩主機也可能促使網路犯罪者開發出專門針對玩家和遊戲服務的威脅。自動駕駛汽車很可能被駭客入侵並遭到篡改,進而危及乘客安全。
新科技已全面來臨,在享受新科技的同時,請務必確保自身的安全,防範竊盜及其他危險。
@原文來源 ttp://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/smart-technologies-are-linked-to-threats
萬物聯網(IoE ,Internet of Everything)相關中文報導,請看這裡
