好暴露,洛杉磯!美國前十大城市的網路資產,有多暴露? Shodan 都知道

Shodan 是個會索引網路資產和物聯網(IoT ,Internet of Thing)聯網設備的網路搜尋引擎,它能夠顯示任何聯網設備的 IP地址,並揭露如應用軟體和韌體版本等細節資訊。

掃描網路設備的安全漏洞是個繁瑣的過程,但如果你想要修補這些漏洞來保護設備和系統免於被入侵,那這是必要的。不需要特別的去爬網站,可以利用像 Shodan 這樣的工具來輕鬆地搜尋對外暴露的網路資產。

網路設備因為維修理由而啟用遠端連線能力,會讓機器容易被攻擊

「沒有防護」和「對外暴露」的網路資產並不是指這些設備已經被入侵。而是說它們缺乏安全防護或設定不良,因而容易遭受網路攻擊。有些網路設備甚至會因為維修理由而啟用遠端連線能力,但這會讓機器更容易被攻擊。

根據趨勢科技在2016年 2月所做的 Shodan 掃描資料分析,我們很驚訝地看到幾個跟工業控制系統(ICS)設備和協定相關的結果。ICS設備是用來操作工業及相關過程,如加熱、通風和空調(HVAC)、發電、水處理等。你可以看到樣本如下:

 

 

圖1-2、Shodan搜尋結果顯示出設備的詳細資訊

Continue reading “好暴露,洛杉磯!美國前十大城市的網路資產,有多暴露? Shodan 都知道"

可能攻擊物聯網 (IoT) 的駭客的五種嫌疑犯

誰會想要攻擊智慧家庭?原因為何?這麼做對駭客有何好處?由於物聯網 IoT ,Internet of Thing)裝置有別於 PC 和智慧型手機,並非全都採用相同的作業系統 (至少目前市場現況是如此)。然而這一點小小的差異,就會讓駭客更難以發動大規模的攻擊。除此之外,想要破解 IoT 裝置的安全機制也需要相當的知識和適當的工具。

近年來,資安研究人員早已證明智慧型裝置確實可能遭到駭客入侵。當初研究人員駭入這些裝置的用意,只是希望引起廠商們注意產品的安全性。

但就在去年,趨勢科技研究人員以實驗證明駭客確實能夠從遠端擷取智慧型車輛的資料,甚至篡改自動化油表的油量。為了降低傷害的風險,這些實驗都是在控制的條件下進行,但歹徒可就不會這麼體貼。

現在我們已知道 IoT 裝置有可能遭駭,那麼,歹徒駭入這些功能單純的家用智慧型裝置要做什麼?以下列舉了一些可能攻擊物聯網的非典型嫌犯,以及他們的動機和他們攻擊智慧家庭的機率有多大。

網路犯罪集團

Continue reading “可能攻擊物聯網 (IoT) 的駭客的五種嫌疑犯"

30 年後看電影「回到未來 」的兩個科技預言

2015年10月21日被稱作「回到未來日­」(Back to the Future Day),因為這天是1989年首映的經典科幻電影《回到未來續集》(Back to the Future Part II)裡,劇中人物穿越時空從1985年乘著時光車抵達「未來」的日子。

當這虛構的未來日子終於來臨時,不免想問:「片中的未來科技,那些已經成真?」今天從安全和隱私的角度來看這又代表什麼?

電影中有兩件事預測的相當準確:智慧型住家」和使用生物識別技術

當馬帝發現自己身在2015年以後,他看到未來的自己和家人住在具備聲控功能和智慧型家電的房子裡。因為這房子位在破舊的社區中,意味著這樣的房子在2015年屬於「智慧型住家」的「低階」。

在現實中,電影中所出現的「智慧型住家」技術正開始要變得普及和可以使用。但我們也看到和了解到電影中所沒有表現的另一件事,就是將住家網路化可能會帶來多大的潛在危險。我們已經看到針對智慧型家電(像是冰箱)的攻擊,用它們來發送垃圾郵件(SPAM),成為網路上受感染系統與設備這嚴重問題的一部分。

在1980年代,我們根本不知道「智慧型住家」可能會面臨什麼樣的風險;而在2015年我們開始看到這些風險的些許端倪,因為它才剛要開始成為現實。

【延伸閱讀】《IoT物聯網安全趨勢》高科技家庭越來越有智慧
《IoT 物聯網安全趨勢 》採購智慧型裝置該注意些什麼?

 

使用生物識別技術在今日也變得更加可行

當警方找到1985年的珍妮佛(馬帝的女朋友)昏迷在一條小巷裡,他們能夠用她的指紋識別她。因為2015年的珍妮佛仍然活著,所以大概有指紋建檔在警方資料中。 Continue reading “30 年後看電影「回到未來 」的兩個科技預言"

七個物聯網廠商提高安全性和消除隱私憂慮的方法

社群網站 社交網站 SMS 通用

從健身追踪器到頭戴式顯示器,甚至到聯網家電, 物聯網(IoT ,Internet of Things)和智慧型設備在這些日子裡佔據媒體大部分的篇幅。但根據今年早些時候趨勢科技所委託進行的研究顯示,現實是採用率仍然偏低。我們能預期這將會有所改變嗎?的確有可能,因為事實是這些連網設備的出現很有可能讓我們的生活變得更加豐富及更有生產力。

但安全和隱私問題仍是物聯網(IoT ,Internet of Things)廠商所面臨的一大阻礙。究竟要如何進一步去消弭這些問題並推升採用率呢?

 

採用率上升

許多人不知道的是,物聯網(IoT ,Internet of Things)的採用率並不如媒體報導看起來的那樣高。趨勢科技和Ponemon Institute合作訪談超過700名美國消費者,完成了研究 – 聯網生活的隱私和安全。根據調查顯示,95%的人「沒有計劃」使用Google Glass,94%的人不打算在住家使用智慧化安全系統。當提到智慧型居家恆溫系統(91%)、健身追踪器(91%)和聯網廚房電器(83%)時,這數字也差不多高。

但我們認為並不會一直保持這樣。一份最近由數位行銷Acquity Group針對2,000名美國消費者所進行的研究發現,採用物聯網(IoT ,Internet of Things)技術會因為新B2B和B2C使用方式的出現而變得「不可避免」。它聲稱有近三分之二的消費者打算在未來五年內購買居家聯網設備,而且穿戴式裝置將會在明年成長一倍,達到28%的採用率。

 

關於那些阻礙

主要阻礙還依然存在打擊著物聯網(IoT ,Internet of Things)接受度。當提到物聯網設備,根據Acquity Group,有近四分之一(23%)的消費者擔心隱私問題,而談到穿戴式裝置,擔心的人則略少(19%)。而大多數趨勢科技的受訪者(54%)聲稱不確定(15%)或不相信(39%)物聯網帶來的好處要遠大於安全和隱私問題。

不確定性的部分原因是這些智慧型設備廠商鮮少對消費者資料會如何被使用,用在哪裡以及使用多久來進行溝通,這讓受訪者感到困惑和擔心。但還有一個實際的恐懼是設備本身和其四周建立的生態系的安全性問題會導致它們出現故障,甚至讓駭客可以入侵系統。當物聯網在我們生活所扮演的角色越來越重要時,這種擔憂只會越來越大。

 

是時候加以行動

根據Acquity Group,用「有用資訊或優惠卷」來獎勵消費者可以讓他們更加願意和第三方分享資料。而根據我們的調查,消費者對物聯網安全(75%)的擔憂更勝於隱私問題(44%)。

 

七個物聯網(IoT ,Internet of Things)廠商可以提高安全性和消除隱私憂慮的方法:

  1. 按照「安全設計」準則 – 從一開始就建立好防禦措施,而不是在設計好產品之後再加入
  2. 最小化所收集的資料量,並且限制其保存的時間來減少遭受破壞性外洩事件的風險
  3. 建立多層次網路安全防禦,從端點到在網路上先進的偵測APT攻擊針對性威脅
  4. 確保所有員工都受到訓練,了解網路安全的重要性
  5. 確保承包商和其他第三方廠商擁有跟內部員工相同的高安全標準
  6. 遵循「最小權限」原則來實施嚴密的存取控制
  7. 在嚴重問題成為已知時盡快提供設備安全修補程式

 

@原文出處:What Smart Device Makers Must Do to Drive the IoT Revolution作者:Jon Clay

 

更多文章,請至萬物聯網(IoE ,Internet of Everything)中文入網站

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

< CTO 觀點 >防禦重要系統:它必須要「智慧化」嗎?

CTO

作者: Raimund Genes(趨勢科技技術長)

 

 

 

 

無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候,人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊(DDoS)打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛

許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的,但最近的問題(如HeartbleedShellshock)已經說明開放原始碼軟體也有其問題。

非技術人員可能會問:「為什麼之前沒有人注意到這些問題?難道我們軟體開發人員太懶了?難道開發人員忘記如何開發安全的應用程式?」基本上他們是想問軟體社群:我們為什麼會捅這麼大的婁子?

要開發安全的程式碼在大多數情況下都很困難,不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事,雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。

隨著智慧型設備越來越普遍,而且被用在了重要用途上,軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全!看看不良軟體會造成多嚴重的後果就知道了,這想法並不像聽起來那麼瘋狂。

同樣重要的是,我們需要決定什麼需要保護和什麼需要連網。比方說,人們不斷地說:智慧化電錶比較安全也對電力網有幫助。這可能沒錯,但會有什麼樣的後果?誰控制這些設備?誰有權存取這些數據?

如果真正重要的設備會被連上網路,就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發,並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試,來確認這些重要系統可以對抗已知漏洞和攻擊。

越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事,確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。


@原文出處:Defending Critical Systems: Does It Have To Be “Smart”?

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

< IoT 物聯網>人們對物聯網安全與隱私問題的真正想法是什麼?

物聯網(IoT ,Internet of Things)。這是我們每天聽到越來越多次的名詞。從智慧型手機到智慧型電視再到智慧型汽車:每一天我們都會聽到更多關於人們如何將設備連到網路上,以及這會為我們帶來什麼好處。

但是,會購買和使用這些設備的人對於這些設備的安全和隱私問題的真正想法是什麼?他們認為自己能夠充分保護自己的資料嗎?他們認為方便性和安全隱私間的得與失真的值得嗎?他們認為自己的個人資訊是某種可以被交易和出售的有價之物嗎?以及如果真是如此,他們會為什麼價錢出售?

IOE

趨勢科技已經和Ponemon Institute合作來找出答案。我們共同合作發表的新研究:「聯網生活的隱私和安全:針對美國、歐洲和日本消費者的研究」。這是一份在美國、歐洲和日本進行超過1,900名使用者的全球性調查,嘗試去理解人們如何看待物聯網設備的安全和隱私問題。 Continue reading “< IoT 物聯網>人們對物聯網安全與隱私問題的真正想法是什麼?"

創新和網路安全攜手並進

我們在巴賽隆納的世界行動通訊大會Mobile World Congress),簡稱MWC,和業界領袖、先驅及創新者一同討論行動科技的未來。能夠看到革命性的想法以及物聯網(IoT ,Internet of Things)產品很令人興奮。不過重要的是要記住,在一切變得更加方便及舒適時,我們也要準備好面對它們可能帶來的網路風險。我們對於網路安全的熱情驅使著我們提醒出席者記住:

智慧型設備廠商必須將網路安全列為優先。開發人員和廠商能夠認識到自己的產品可能成為網路犯罪目標是很重要的。趨勢科技不停地去創新、開發和改善我們的安全產品及服務以保護使用者,而智慧型設備能夠盡可能地將安全放在第一位也是同樣的重要。我們提醒所有的行動裝置廠商在開發產品時要將良好的安全實作放在心上,同時要定期地加以測試和更新,以確保它們在面對新威脅時一樣安全。

為防護物聯網建立政策是關鍵。聯邦貿易委員會主席Edith Ramirez一月在消費性電子展上談到要為公司建立政策「以增強消費者的隱私和安全,從而讓消費者能夠信賴物聯網設備」。她建議的三個步驟包括:

採用安全的設計

  • 最小化使用資料
  • 增加透明度,在處理非預期資料用途時,提供消費者通知和選擇能力

我們相信,透過建立書面政策及加以堅持,將開始讓網路安全融入公司文化,成為開發新技術時的首要考量點。 Continue reading “創新和網路安全攜手並進″

< IoT 物聯網新趨勢 > 穿戴式技術和物聯網的下一步?

 

必須要說的是,在寫本篇部落格文章時,我還必須將「wearables(穿戴式技術)」加入我文書處理程式的詞典。我們現在仍然處在進入「物聯網(IoT ,Internet of Things)」旅程的開始階段。但事實是,任何一個新生事物都有著自己獨特的狀況。而物聯網的狀況是:

設備和服務不再設計成各自為政,有許多公司現在都在提供API,包括了運動服裝公司、建築公司、百貨商、各國政府、慈善機構等你所可以想到的任何單位。

  • 消費化是真的;這些科技會先賣給消費者,再滲透入企業環境而被採用。
  • 新科技被採用的速率會隨著時間而成倍數增加,它被當作目標和濫用的速度也一樣。
  • 群眾集資(crowdfunding,另一個需要加到我文書處理程式的單字)作為籌措專案資金手段的興起也帶來創意的爆炸,以及隨之而來的加速市場化。而安全性仍然是後期才會出現的想法。

Continue reading “< IoT 物聯網新趨勢 > 穿戴式技術和物聯網的下一步?"

資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長

在零售業一起可能是有史以來規模最大的資料外洩事件當中,導因於歹徒成功入侵了數十年如一日的老舊銷售櫃台 (POS) 系統網路。

2013 年將在資訊安全產業留下永遠的烙印,因為該年美國發生了有史以來最大的一宗資料外洩事件。美國大型連鎖超市Target 在耶誕購物季節遭到一項使用 BlackPOS 惡意程式 (一種銷售櫃台系統記憶體擷取程式) 的鎖定APT攻擊/目標攻擊,導致嚴重的資料外洩。據估計,網路犯罪集團偷走了大約 4000 萬筆信用卡與現金卡 (debit card) 卡號以及 7000 萬筆 Target 消費者的個人資料。請參考:關於美國零售業業者 Target 資料外洩常見問題集

自從 Target 資料外洩事件曝光以來,一連串的商家及零售商店便陸續跳出來承認自己發生資料外洩。在這些外洩事件當中,歹徒多使用銷售櫃台系統記憶體擷取程式 (PoS RAM scraper)。本月稍早,獨立記者 Brian Krebs 也揭露了另一家美國零售業龍頭 Home Depot 所發生的大型資料外洩事件,歹徒採用了 BlackPOS銷售櫃台系統記憶體擷取程式。幾乎美國境內所有 Home Depot 店面應該都受到影響,而且其失竊的資料量也應該超越了 Target 外洩事件的規模。

2014 年,除了資料外洩事件數量增加之外,銷售櫃台系統記憶體擷取程式家族的數量也有所成長。下圖顯示銷售櫃台系統記憶體擷取程式家族的發展與演進: Continue reading “資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長"

《物聯網(IoT)安全趨勢》物聯網管理員(AoT) – 智慧化的副作用

在一篇之前的文章裡,我們談論到住家持續地智慧化–住家會隨著時間過去而累積更多智慧型設備是很自然的演變。雖然這有其好處,智慧型住家的居民也需要投入時間和精力來維護這些設備。隨著越來越多設備加入到一般消費者的家中,這樣的需求只會更增加。

管理一個充滿智慧型設備的家庭需要同時具備多使用者IT管理者和技工的能力。讓我們稱這角色為物聯網管理員(AoT)。一般使用者被要求擔任這樣的角色,儘管並沒有證據顯示他們已經準備好了。

這新的角色值得去探討,因為人們能否扮演好這角色會大大地影響其日常生活,這包括了他們的住家安全。這角色所需要做到的程度跟許多因素有關,包括了:

  • 家中智慧型設備的數目
  • 這些設備是否能夠自行運作
  • 這些設備有多安全
  • 這些設備有無使用消耗品,像是電池
  • 有多少家庭成員使用這些設備
  • 廠商多久會進行更新
  • 它們多常會遭受攻擊–實體或虛擬

圖1、第二代Nest恆溫控制器的電池(圖片來源:iFixit.com

 

想起家庭運算以前的主力:個人電腦。它是個令人印象深刻功能強大的機器,但同時也非常複雜。有多少人有親戚朋友有台裝滿老舊而不安全軟體的電腦?我敢說我們都認識這樣的人。

想想你最後一次解決家中智慧型設備的時候 –像是你的路由器或網路攝影機。試想一下:你是怎麼發現問題跟解決方法的,花了多久去修好。如果我們把這當作一份工作,它的描述會像是這樣子:

工作簡介

實作和維護住家內智慧型設備(物聯網設備)的持續部署和操作。需要每天24小時,每禮拜七天的待命。

能力期望

  • 具備智慧型設備和家電的管理知識,包括:

o   安全和監控設備 –保全和嬰兒監控攝影機,智慧型門鎖

o   智慧型集線器 –包括智慧型集線器和連接的周邊

o   家電 –包括智慧型冰箱/洗衣機/乾衣機

o   穿戴式裝置 –包括運動偵測器和智慧型眼鏡

o   安全感測器 –包括煙霧探測器/二氧化碳感測器/溫度控制器

o   智慧型影音設備 –包括環繞立體聲接收器,遊戲機,智慧型電視,智慧型音響,智慧型收音機 Continue reading “《物聯網(IoT)安全趨勢》物聯網管理員(AoT) – 智慧化的副作用"