IoT分析觀點 - 資安趨勢部落格

《 IoT 物聯網安全趨勢》行動安全和物聯網：智慧型手機成為遠端控制中心的問題

2014 年 08 月 26 日2016 年 01 月 25 日趨勢科技 TrendMicro

你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

自從手機熱潮開始，智慧型手機已經成為我們生活中不可或缺的一部分，它們也是今日快節奏的世界裡不可缺少的東西。它們可以幫我們無時無刻地連結到我們的朋友和家人，也讓我們可以點一點螢幕就完成我們的日常工作。我們和智慧型手機已經形成如此牢固的關係，也讓網路犯罪份子將其納入他們獲取金錢的攻擊目標。無論是好是壞，智慧型手機已經成為我們日常生活必備工具的重要部分。

隨著改變之風吹起，智慧型手機似乎會成為我們生活中更重要的一部分，而這和物聯網有關。當iOS 8推出時，Apple同時介紹了HomeKit，這是一個可以幫助使用者在家裡管理第三方物聯網設備的應用程式服務。有了HomeKit，使用者可以將安裝在一個房間裡的設備都群組起來，對每個房間群組都設定唯一的參數/控制。這讓使用者可以方便地修改設定，不管是房間到房間或更加細微的設定。在本文撰寫時，Google還沒有提供對應的產品，但我們在未來的日子裡一定會看到。

隨著這樣的發展，我們已經可以預期它會成為下一件大事情，不管是因為其所帶來的整體方便性或是酷的程度。從這電子玩意來控制家中幾乎所有的東西時，什麼是最便利的，和老實說 – 最令人興奮的部分？像是你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

但這只是硬幣的一面。另一面，不幸的，將智慧型手機加入到你的自動化住家生態系統可能不是最安全的決定。因為該平台有許多安全隱憂 – 我們已經在這部落格討論了不少 – 可能會帶到你家中具備物聯網功能的設備，進而讓你容易受到網路犯罪攻擊。網路犯罪份子駭入你的手機來替你訂閱加值服務？已經有了。網路犯罪份子透過你的手機駭入你的保安系統，將其關閉好讓他們可以搶你？這很有可能發生！

物聯網（IoT ,Internet of Things）是這網路時代所出現技術裡最令人興奮的概念之一。帶領著我們一步步地接近未來世界的住家，大多數（如果不是全部）家電不僅可以連到網路上，也可以透過一中央控制中心來實現全面的控制和自動化，無論我們身在哪裡（或至少，只要我們可以連網。）

然而，不管如何令人興奮，我們還是要小心地進行。因為大多數應用在這新時代的技術仍是基於目前的行動設備技術（智慧型電視、智慧型家電等），有可能遭受和今日行動設備相同的安全問題。

還有一個事實就是，行動設備（尤其是智慧型手機）可能很快就會成為我們住家的「中央控制中心」，因為我們用它來管理我們所有的家電和保全系統。Google和Apple已經開始在各自的行動平台上制定住家自動化管理應用程式。比方說，最近所推出的iOS8 Homekit，宣稱可以完全控制住家和內部所有的網路設備，而且可以讓使用者輕易地根據所在房間來群組設備。

那麼想想看，這對物聯網（IoT ,Internet of Things）會有什麼潛在風險。它讓網路犯罪份子駭入別人的智慧型手機進而進入別人家中不再只是科幻幻想，而是可能發生的現實場景。行動設備已經趕上了個人電腦，成為最被針對的平台。所以毫無疑問的，網路犯罪份子會找到方法來開發此新領域的財路。

可能出現的風險

使用智慧型手機作為自動化住家的中央遙控器意味著這平台內的所有安全威脅都可能會影響到住家。下面是這些威脅例子和它們會如何影響到自動化的住家：

作業系統漏洞 – 網路犯罪分子可以利用智慧型手機作業系統底層的漏洞來控制智慧型手機，進而可以控制自動化住家，像是關閉保全系統，甚至監視家人活動來進而勒索或資料竊取。
應用程式漏洞 – 應用程式漏洞可被利用來取得收發的資料以達到竊取或勒索的目的。甚至可以再次用來控制整個控制中心，或防止惡意軟體被偵測或移除。
行動惡意軟體 – 手機惡意軟體可以用來攔截或竊取來自控制中心和與其連接設備的資料或透過遠端惡意攻擊來取得控制中心的控制權。它也可能會感染帶有螢幕的電器使其出現廣告軟體或惱人的彈出視窗。
高風險應用程式 – 這應用程式不一定是惡意軟體，但被編寫來收集和儲存資料，可能會被不安全的使用。可以被利用來竊取導致滲透家中網路的資料。
實體遺失/被竊/破壞 – 智慧型手機（也就是控制中心）的遺失/被竊/破壞不僅會讓使用者無法進入自己的家或開啓/關閉必要的系統，也讓網路犯罪分子能夠非法進入他家。這問題的嚴重性不僅在於控制中心的安全性，還包括整個房子。控制中心被破壞也意味著要重新佈線和將一切設定回原狀，這都要花費寶貴的時間和資源。
不安全的連線 – 管理連接系統的專有應用程式和控制中心可能不會使用加密來保護他們在網路上收發的資訊。這可能會導致資料外洩或被竊取。儲存在智慧型手機本身的資料也可能被偷走。

我們可以從這些潛在威脅看出用來作為自動化住家遠端控制中心的智慧型手機如果被駭，後果有多可怕。不僅會讓不法份子有可能控制你的住家和設備，也可能竊取資料。

一個情境例子：使用者在上班，遠離了他的自動化住家，將他Android作業系統的智慧型手機註冊和安裝為控制中心。使用者不知道的是，網路犯罪份子已經透過漏洞入侵了他的智慧型手機 – 可能是因為從第三方網站替他最愛的遊戲下載一個「正常的更新程式」。這更新將惡意程式碼插入原本正常的遊戲程式，有效地將其木馬化，但仍然讓它保留正常使用狀態。繼續閱讀

《 IoT 物聯網安全趨勢》交通號誌遭駭客入侵：IoT 安全成為焦點

2014 年 08 月 20 日2016 年 01 月 25 日趨勢科技 TrendMicro

直到最近，物聯網（IoT ,Internet of Things）的安全性大多只是紙上談兵，因為 IoT才剛萌芽，普及率仍低。正如趨勢科技趨勢科技威脅研究員 Robert McArdle 今年稍早所言，儘管有 Google 等各家廠商的努力，IoT 仍缺乏可讓它普及的「殺手級應用」。

然而，企業與資安廠商卻仍擔憂將網際網路拓展至各種內嵌式感應器與家電之後可能帶來的潛在風險。不過截至目前為止，網路安全仍大多以 PC、行動裝置、伺服器與網路為主，IoE 只是一個龐大的潛在市場，而非快速崛起的勢力。Cisco 認為 IoT 未來將是一個 19 兆美元的商機，但是網路安全能否有效跟進以應付這全新的運算情勢？

美國北卡羅來納州交通部 (Department of Transportation) 道路交通號誌遭駭客入侵事件突顯 IoT 的全新風險
IoT 最獨特的一點就是它涵蓋了傳統認知上並非「電腦」的端點裝置。高速公路交通號誌即是一例。縱然這些號誌也配備了電子式顯示器 (雖然跟今日的智慧型手機和平板比起來顯得很陽春) 但很少人會與它們互動或特別留意到這些號誌，這些號誌看起來更像告示牌而非可駭入的裝置。

美國北卡羅來納州交通部的負責管理的一些交通號誌日前遭到一名駭客入侵，駭客將標誌上的內容改成「Hacked by Sun Hacker Twitt Wth Me」(駭客 Sun Hacker 在此，上 Twitter 來找我)，目的是要駕駛人上 Twitter 找他。這訊息一點也不像在開玩笑，而且這樣的行為儼然形成一股令人擔心的潮流：

早在 2009 年，Jalopnik 之類的網站即顯示出道路交通號誌多麼容易遭到入侵。有觀察者指出，這些設備缺乏實體安全措施可防止篡改行為，同時又普遍採用預設密碼 (如「DOTS」)。該事件後來的演變是交通號誌內容被改成「Warning, Zombies Ahead」(小心，前有殭屍)。
高速公路交通號誌屬於公共安全資產。若是遭到駭客入侵，可能會讓用路人收到錯誤訊息，導致交通打結或交通意外。該事件中的訊息還好只是自我推銷，並無實質誤導的情形，但真實傷害的可能性確實存在。
北卡羅來納州這起事件以及後續的倣效案例，或許是受到日前推出的家用電玩主機熱門遊戲《看門狗》(Watch Dogs) 之影響。《看門狗》遊戲場景設定在未來世界的芝加哥，遊戲中強調駭入基礎建設 (如交通號誌) 的情節。McArdle 在他的貼文當中也提到，玩家所處的空間 (幾乎被 Oculus Rift 之類的電子裝置所淹沒) 正如同 IoT 科技普及的前兆。

此攻擊事件的技術細節目前外界仍不清楚。Sun Hacker 在 Twitter 上宣稱，要更改交通號誌顯示內容必須駭入一個 NCDOT VPN，不過，美國境內一些類似事件的調查人員表示，該攻擊應該是利用了簡易網路管理通訊協定 (Simple Network Management Protocol，簡稱 SNMP) 訊息的漏洞。此外，駭客也可能趁機修改已遭入侵的數據機密碼，讓修復工作更加困難。NCDOT 宣稱已知道自己的系統如何遭到入侵，並且正在修補相關漏洞。

NCDOT 資訊長 David Ulmer 表示：「我們非常嚴正看待此次的網路事件。我們不僅正在與執法機關共同追查此一嚴重事件，更針對我們的設備和 IT 基礎架構進行重複掃瞄以確保任何其他漏洞皆已修補完畢。」繼續閱讀

《 IoT 物聯網安全趨勢》介紹智慧型電表

2014 年 08 月 06 日2016 年 01 月 25 日趨勢科技 TrendMicro

雖然穿戴式技術可能是物聯網（IoT ,Internet of Things）最為人所知的項目，但最被廣泛使用的可能是智慧型電表（包括水表、瓦斯表等）。

智慧型電表到底是什麼？它是公用事業（電力、煤氣或水）的記錄器，記錄這些公用事業的消費量，並將其透過某種形式來雙向跟供應商溝通。（包括使用無線網路、電力網或用戶自己的網路服務連線。）不只是簡單的住家監控，智慧型電表可以收集資料作為遠端公用事業報表之用。

單單一個智慧型電表的用途有限。但如果大多數電表都是「智慧型」，就會對公用事業產生較大的效益。有了大規模智慧型電表所提供的額外資訊，公用事業可以根據需要來調整服務，以提升服務的效率、可靠性、成本效益和持續性。

部署和使用方法

有些人可能會認為智慧型電表只是種理論。然而，它們已經在某些國家廣泛使用，可以想見在未來幾年內會變得更加普遍。

讓我談談我所知道的世界 –歐洲。比方說之前義大利的電力獨佔企業 – 義大利國家電力公司（Enel）已經推出智慧型電表給它幾乎所有的3600萬個客戶。此外，義大利國家電力公司已經部署稱為Telegestore的遠端管理系統，讓公用事業公司能夠透過智慧型電表來採取動作，不然就需要進行實地訪問。3.3億次電表讀取和超過一百萬次的其他遠端操作，讓一切對客戶和義大利國家電力公司來說都更加容易。義大利國家電力公司還擁有西班牙公用事業公司Endesa公司的92％股份，並且推出同類產品到市場中。

義大利和西班牙並不是唯一帶頭採用智慧型電表的歐洲國家。其他被歐盟認定為智慧型電表「動態推動者」的國家包括愛沙尼亞、芬蘭、法國、愛爾蘭、馬爾他、荷蘭、挪威、葡萄牙、瑞典和英國。這些國家裡的監管機構和公用事業都會做出必要動作來對推動採用智慧型電表。

技術標準與風險

有多個產業團體和協定正在推動智慧型電表技術。這也相當程度地反映出智慧型電表有多種部署和使用方式：不同的應用可能需要不同的技術。然而這也代表智慧型電表使用種類廣泛的技術標準。

其他類似的利基設備 – 如住家自動化設備和連網路由器 – 都已被證明有嚴重的安全問題。電燈開關有漏洞是一回事。但公用事業電表和控制有漏洞就是另外一回事了。智慧型電表和智慧型電網還沒有對潛在性安全隱患做過完整的測試和審查；我們必須要考慮到當這些設備出現漏洞時會產生什麼可能的狀況 – 因為這是必然會發生的。

下面的影片介紹了些可能的情景。在未來的部落格文章裡，我們會探討其中一些場景的細節和討論可能導致這些問題的情況。

繼續閱讀

《 IoT 物聯網安全趨勢》面對萬物聯網所帶來的風險與效益 (下篇)

2014 年 07 月 28 日2016 年 01 月 25 日趨勢科技 TrendMicro

在本文的上篇當中，我們詳述了物聯網（IoT ,Internet of Things）所牽涉到的裝置、技術與流程，並提到這些裝置如何可能遭到攻擊。廣泛來說，IoE 涵蓋了各種以 IP 連網的端點裝置，將網際網路的觸角延伸至傳統 PC、智慧型手機與平板的範圍之外。

物聯網受到科技大廠的再度青睞
表面上，IoT看起來只是一種把戲，最常讓人聯想到就是生化機器人的抬頭顯示器、連網牙刷以及可追蹤使用者步伐和睡眠習慣的手環。然而這樣的刻板印象卻掩蓋了IoT在改善內容及服務供應方式的潛力。Salesforce.com 的 JP Rangaswami 指出 IoE 將是一套減少浪費並消除效率瓶頸的系統，涵蓋商業供應鏈到日常大眾運輸流程。

點小圖看大圖

以下是幾個登上媒體頭條版面的最新IoT 消息，並且點出了連網基礎架構的普及能帶來什麼樣的應用：

Apple 在其即將來臨的 Worldwide Developers Conference 全球開發者大會上有可能展示一套可讓使用者操控居家物品的最新平台。基本上就是將 iOS 裝置變成一個萬用遙控器，遙控保全系統、照明以及其他家電。
而今年稍早才併購恆溫控制與煙霧感應器製造商 Nest 的 Google，現在可能又打算併購 Dropcam 這家居家監控攝影服務廠商。
Samsung 早已在測試 IoT水溫，推出 Galaxy Gear 智慧型手錶與 Galaxy Fit 健康手環，兩者都搭上了穿戴式科技與健身監測的最新潮流。

有了全球最大科技廠商在背後支持，IoT 應該將安全與隱私權列為第一要務。IoT 提供了改造與提升網際網路的全新契機，然而 Dropcam 之類的技術卻帶來了令人不安的可能發展，例如居家監視攝影系統可能遭到挾持。

事實上，正在崛起的 IoT 已經發生多起遭到攻擊的案例，包括一起名為「Moon Worm」(月蟲) 的路由器漏洞攻擊。所有相關人員都應在基礎架構變得更先進、相關攻擊變得更複雜之前，從這些事件當中記取教訓。

《Wired》引述 REX 智庫創辦人 Jerry Michalski 的話表示：「大多數暴露在網際網路上的裝置都有可能被駭。而且還可能出現非預期的結果：它們可能被用於一些原設計之外的用途，而且大多不是好事。」

從 Moon Worm 和其他攻擊記取 IoE 安全的教訓
網路安全產業只要看看 Moon Worm 和幾個類似的惡意攻擊行動，就能知道 IoT 安全已經是現在式，而非未來的情景。以下是近年來最知名的一些 IoT 安全相關事件：

2014 年 2 月，Moon Worm 現身，專門攻擊特定型號的 Linksys 路由器，橫行全球。該攻擊會利用一個可跳過驗證機制的漏洞，甚至還具備自我複製能力。廠商建議使用者最好更新到最新的韌體版本，並且停用遠端管理功能以策安全。
今年四月，一群駭客利用惡意程式取得了保全系統監視錄影機 (DVR) 的控制權。除此之外，他們也會將受感染的端點裝置用於開採比特幣 (Bitcoin)。開採比特幣是一項非常耗費 CPU 資源的作業，也就是說，受感染的裝置將變得非常緩慢。能夠掌控 IoT 對歹徒來說是一項強大的誘因，所以才會不辭辛苦地運用監視攝影機內低功耗的 ARM 處理器來執行開採比特幣這類吃重的運算工作。
國際電動車大廠 Tesla 生產了許多搭載觸控螢幕介面與整合式行動電話網路的尖端電動車。可預期的，由於這項功能需仰賴網路與軟體，網路安全將成為該公司未來必須解決的一項問題。跟據《Ars Technica》報導，直到最近，Tesla 的車主都只需設定一個六個字元的密碼，其中至少必須包含一個字母和一個數字，這使得這些帳號很容易遭到暴力破解攻擊。此外，針對 Tesla 設計的第三方 App 程式也可能導致車主的帳號密碼外洩。

在 2014 年 5 月的一項研討會上，Moon Worm 與IoT 安全成為討論的焦點，身為研究學者的 In-Q-Tel 資訊安全長 Dan Geer 指出，IoT 的最基本的一項弱點就是有太多裝置的軟體都已過時。駭客可輕易地攻擊未修補的韌體與作業系統漏洞，就能取得 IoT 裝置的掌控權，從監視攝影機到網路通訊設備等等。繼續閱讀

《 IoT 物聯網安全趨勢》面對萬物聯網所帶來的風險與效益 (上篇)

2014 年 07 月 25 日2016 年 01 月 25 日趨勢科技 TrendMicro

近來，似乎所有主要大廠都在密切關注物聯網（IoT ,Internet of Things）的議題。IoT 有時亦稱為萬物聯網 (Internet of Everything)，只不過概念上或許有些微差異。隨著智慧型手機、平板和超輕薄筆電革命性改變了人們上網的方式、時機和地點，一些感應器及網路端點裝置製造商正試圖發展出一套更複雜的裝置生態體系來將這場革命帶向另一個高峰。

解讀 IoT：基本概念與技術
最近在舊金山舉行的 Cisco Live U.S. 2014 大會上，Cisco 副總裁 Mala Anand 表示 IoE 是「企業大規模轉型」的典範，並指出該公司預測 IoE 相關技術最終將創造出一個 19 兆美元的市場。

然而，IoE 到底是什麼？儘管它或許和今日數十億 IP 連網裝置遍布全球的情況沒有太大差異，但望文生義，它通常意味著更大的規模以及裝置和人之間更密切的互動。IoE 涵蓋的一些核心領域包括：

裝置對裝置：智慧型感應器、機器人與伺服器之間可彼此通訊，實現流程的簡化與自動化，如：庫存管理、即時監控基礎建設與工廠生產線。
裝置對人：有時亦稱為「機器對機器對人」，此領域包括一些越來越熱門的裝置和服務，如醫療監控。Jawbone Up 和 Fitbit Flex 等穿戴式裝置已經將資料蒐集與 IP 連網功能拓展到 PC 和其他具備螢幕的裝置之外。讓我們來感受一下這件事的規模：去年 Jawbone 表示，他們每晚可蒐集到 60 年的睡眠資料。
人對人：這聽起來有點怪，但這對許多入來說已稀鬆平常，那就是社群網路。全球網路規模的基礎架構與高效率演算法，是這類平台背後運作的基礎，但人與人之間的連結才是關鍵。

在一個較為技術的層次上，物聯網（IoT ,Internet of Things）涵蓋了各式各樣的連網裝置。可連上網際網路的牙刷和冰箱或許還在剛問市的階段，仍未成為大眾接受的主流，但 Nest Labs 之類的公司卻已引起不少關注。Google 今年稍早即以超過 3 兆美元的天價併購了這家智慧型可程式化恆溫控制系統與煙霧感應器製造商。

物聯網（IoT ,Internet of Things）的潛在效益無窮。某些產業提倡者 (如 Salesforce.com 的 JP Rangaswami) 指出，IoE 將為科技領域帶來的效應，就如同全面電氣化對於電力的影響一樣，它將成為日常生活當中無所不在、看不見卻隨時存在的重要元素。

《eWeek》引述 Rangaswami 的話表示：「[萬物聯網]的最終效益將是全面減少浪費：就實體物流來說為人員與商品的移動，在邏輯物流方面則是創意與資訊的移動。決策將變得更快、更好，擁有更準確的資訊為基礎。並且可更有效消除先前假設和規劃上的錯誤。」

萬物聯網存在著什麼風險？
與物聯網（IoT ,Internet of Things）的商業效益同樣令人關注的是 IoE 衍生出來的網路安全與隱私權問題。一些以網際網路為命脈的知名廠商，從 eBay 到 Adobe，在保管使用者私人資訊方面已經捉襟見肘，因而導致一些大規模的資料外洩事件，進一步讓網路犯罪更加猖狂，因為駭客取得了入侵其他帳戶所需的資訊。未來一旦連網變得更加普及，情況將變得如何？

Pew Research 與 Elon University 的 Imagining the Internet Center 所做的研究報告「物聯網將在 2025 年蓬勃發展」(The Internet of Things Will Thrive by 2025) 一文，深入探討了IoE 全面普及的風險與潛在效益。在負面影響方面，作者預料 IoE 的演進，就像電腦運算能力的進步一樣，將帶來一場資訊安全廠商與網路犯罪者之間的軍備競賽。

毫無疑問，當大量的端點裝置具備 Wi-Fi、藍牙和/或行動電話網路功能時，將有助於改善某些情況，如：監控設備故障情形並將狀況回報給伺服器。但問題是，這些新增加的資料傳輸應該如何 (以及由誰負責) 保障安全。

負起 IoE 安全的責任
一般個人和企業之所以擔心誰該負起物聯網（IoT ,Internet of Things）的安全責任不是沒有原因的。正如Heartbleed心淌血漏洞告訴我們，即使是一些關鍵的技術，例如用來保障網路銀行交易及付款安全的加密技術，也可能出現漏洞，因此那些受益的眾多廠商應該投入更多的經費來支持其研發。有鑑於 IoE 的規模龐大，網路安全的重要性只會越來越高。

《The Inquirer》引述 Intel 企業行銷總長 Stuart Dommet 的話指出：「您將必須保護裝置或感應器，您將必須保護資料，而且您將必須在一個開放的網路上做好這些保護，這的確是一項超大規模的變革。取得個人資料很可能是未來最大的一項改變，而光這一點就能摧毀您的企業。很重要的一點是，我們必須了解資訊安全將變成什麼樣貌，因為我們沒有架設私人網路的成本。」繼續閱讀