Shodan 是個會索引網路資產和物聯網(IoT ,Internet of Thing)聯網設備的網路搜尋引擎,它能夠顯示任何聯網設備的 IP地址,並揭露如應用軟體和韌體版本等細節資訊。
掃描網路設備的安全漏洞是個繁瑣的過程,但如果你想要修補這些漏洞來保護設備和系統免於被入侵,那這是必要的。不需要特別的去爬網站,可以利用像 Shodan 這樣的工具來輕鬆地搜尋對外暴露的網路資產。
網路設備因為維修理由而啟用遠端連線能力,會讓機器容易被攻擊
「沒有防護」和「對外暴露」的網路資產並不是指這些設備已經被入侵。而是說它們缺乏安全防護或設定不良,因而容易遭受網路攻擊。有些網路設備甚至會因為維修理由而啟用遠端連線能力,但這會讓機器更容易被攻擊。
根據趨勢科技在2016年 2月所做的 Shodan 掃描資料分析,我們很驚訝地看到幾個跟工業控制系統(ICS)設備和協定相關的結果。ICS設備是用來操作工業及相關過程,如加熱、通風和空調(HVAC)、發電、水處理等。你可以看到樣本如下:
圖1-2、Shodan搜尋結果顯示出設備的詳細資訊
誰會想要攻擊智慧家庭?原因為何?這麼做對駭客有何好處?由於物聯網 IoT ,Internet of Thing)裝置有別於 PC 和智慧型手機,並非全都採用相同的作業系統 (至少目前市場現況是如此)。然而這一點小小的差異,就會讓駭客更難以發動大規模的攻擊。除此之外,想要破解 IoT 裝置的安全機制也需要相當的知識和適當的工具。
近年來,資安研究人員早已證明智慧型裝置確實可能遭到駭客入侵。當初研究人員駭入這些裝置的用意,只是希望引起廠商們注意產品的安全性。
但就在去年,趨勢科技研究人員以實驗證明駭客確實能夠從遠端擷取智慧型車輛的資料,甚至篡改自動化油表的油量。為了降低傷害的風險,這些實驗都是在控制的條件下進行,但歹徒可就不會這麼體貼。
現在我們已知道 IoT 裝置有可能遭駭,那麼,歹徒駭入這些功能單純的家用智慧型裝置要做什麼?以下列舉了一些可能攻擊物聯網的非典型嫌犯,以及他們的動機和他們攻擊智慧家庭的機率有多大。
2015年10月21日被稱作「回到未來日
當這虛構的未來日子終於來臨時,不免想問:「片中的未來科技,那些已經成真?」今天從安全和隱私的角度來看這又代表什麼?
電影中有兩件事預測的相當準確:「智慧型住家」和使用生物識別技術
當馬帝發現自己身在2015年以後,他看到未來的自己和家人住在具備聲控功能和智慧型家電的房子裡。因為這房子位在破舊的社區中,意味著這樣的房子在2015年屬於「智慧型住家」的「低階」。
在現實中,電影中所出現的「智慧型住家」技術正開始要變得普及和可以使用。但我們也看到和了解到電影中所沒有表現的另一件事,就是將住家網路化可能會帶來多大的潛在危險。我們已經看到針對智慧型家電(像是冰箱)的攻擊,用它們來發送垃圾郵件(SPAM),成為網路上受感染系統與設備這嚴重問題的一部分。
在1980年代,我們根本不知道「智慧型住家」可能會面臨什麼樣的風險;而在2015年我們開始看到這些風險的些許端倪,因為它才剛要開始成為現實。
【延伸閱讀】《IoT物聯網安全趨勢》高科技家庭越來越有智慧
《IoT 物聯網安全趨勢 》採購智慧型裝置該注意些什麼?
使用生物識別技術在今日也變得更加可行
當警方找到1985年的珍妮佛(馬帝的女朋友)昏迷在一條小巷裡,他們能夠用她的指紋識別她。因為2015年的珍妮佛仍然活著,所以大概有指紋建檔在警方資料中。 繼續閱讀
從健身追踪器到頭戴式顯示器,甚至到聯網家電, 物聯網(IoT ,Internet of Things)和智慧型設備在這些日子裡佔據媒體大部分的篇幅。但根據今年早些時候趨勢科技所委託進行的研究顯示,現實是採用率仍然偏低。我們能預期這將會有所改變嗎?的確有可能,因為事實是這些連網設備的出現很有可能讓我們的生活變得更加豐富及更有生產力。
但安全和隱私問題仍是物聯網(IoT ,Internet of Things)廠商所面臨的一大阻礙。究竟要如何進一步去消弭這些問題並推升採用率呢?
採用率上升
許多人不知道的是,物聯網(IoT ,Internet of Things)的採用率並不如媒體報導看起來的那樣高。趨勢科技和Ponemon Institute合作訪談超過700名美國消費者,完成了研究 – 聯網生活的隱私和安全。根據調查顯示,95%的人「沒有計劃」使用Google Glass,94%的人不打算在住家使用智慧化安全系統。當提到智慧型居家恆溫系統(91%)、健身追踪器(91%)和聯網廚房電器(83%)時,這數字也差不多高。
但我們認為並不會一直保持這樣。一份最近由數位行銷Acquity Group針對2,000名美國消費者所進行的研究發現,採用物聯網(IoT ,Internet of Things)技術會因為新B2B和B2C使用方式的出現而變得「不可避免」。它聲稱有近三分之二的消費者打算在未來五年內購買居家聯網設備,而且穿戴式裝置將會在明年成長一倍,達到28%的採用率。
關於那些阻礙
主要阻礙還依然存在打擊著物聯網(IoT ,Internet of Things)接受度。當提到物聯網設備,根據Acquity Group,有近四分之一(23%)的消費者擔心隱私問題,而談到穿戴式裝置,擔心的人則略少(19%)。而大多數趨勢科技的受訪者(54%)聲稱不確定(15%)或不相信(39%)物聯網帶來的好處要遠大於安全和隱私問題。
不確定性的部分原因是這些智慧型設備廠商鮮少對消費者資料會如何被使用,用在哪裡以及使用多久來進行溝通,這讓受訪者感到困惑和擔心。但還有一個實際的恐懼是設備本身和其四周建立的生態系的安全性問題會導致它們出現故障,甚至讓駭客可以入侵系統。當物聯網在我們生活所扮演的角色越來越重要時,這種擔憂只會越來越大。
是時候加以行動
根據Acquity Group,用「有用資訊或優惠卷」來獎勵消費者可以讓他們更加願意和第三方分享資料。而根據我們的調查,消費者對物聯網安全(75%)的擔憂更勝於隱私問題(44%)。
七個物聯網(IoT ,Internet of Things)廠商可以提高安全性和消除隱私憂慮的方法:
@原文出處:What Smart Device Makers Must Do to Drive the IoT Revolution作者:Jon Clay
更多文章,請至萬物聯網(IoE ,Internet of Everything)中文入網站
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知和新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候,人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊(DDoS)打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛
許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的,但最近的問題(如Heartbleed和Shellshock)已經說明開放原始碼軟體也有其問題。
非技術人員可能會問:「為什麼之前沒有人注意到這些問題?難道我們軟體開發人員太懶了?難道開發人員忘記如何開發安全的應用程式?」基本上他們是想問軟體社群:我們為什麼會捅這麼大的婁子?
要開發安全的程式碼在大多數情況下都很困難,不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事,雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。
隨著智慧型設備越來越普遍,而且被用在了重要用途上,軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全!看看不良軟體會造成多嚴重的後果就知道了,這想法並不像聽起來那麼瘋狂。
同樣重要的是,我們需要決定什麼需要保護和什麼需要連網。比方說,人們不斷地說:智慧化電錶比較安全也對電力網有幫助。這可能沒錯,但會有什麼樣的後果?誰控制這些設備?誰有權存取這些數據?
如果真正重要的設備會被連上網路,就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發,並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試,來確認這些重要系統可以對抗已知漏洞和攻擊。
越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事,確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。
@原文出處:Defending Critical Systems: Does It Have To Be “Smart”?
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
