全球瘋建智慧烏托邦 趨勢科技資安10大要點協助檢視智慧城市安全性

【2017年6月6日台北訊】甫剛結束的台北國際電腦展COMPUTEX 2017規劃有五大主題,而聚焦於「物聯網科技應用」的 SmarTEX 展區更帶來眾多嶄新應用,其中有許多皆圍繞著智慧家庭與智慧城市主題。聯合國曾預估2050年全球將會有逾六成以上的人們居住於都市區[1],現階段全球各地皆已積極投注於「智慧城市」的開發上,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704)日前發布「Securing Smart Cities- Moving Toward Utopia with Security in Mind」研究報告,不僅講述各個國家與城市的智慧城市案例,也提醒智慧科技的發展將伴隨著不可避免的資安危機,是未來政府及企業所需面對的重要課題。

趨勢科技前瞻資安威脅研究團隊(Forward-looking Threat Research, FTR)提供智慧城市網路資安十大要點,協助地方政府以及城市開發商檢視智慧城市的安全性,一同共創安全無虞的智慧烏托邦: Continue reading “全球瘋建智慧烏托邦 趨勢科技資安10大要點協助檢視智慧城市安全性”

【資料圖表 】如何防止保全系統遭到網路攻擊?

一般建築,不論商業大樓或私人住宅,通常都設有保全系統來保障重要資產的安全。從簡單的門禁管理到全面的監控攝影與警報系統,都算是保全系統。而且隨著這類系統日益複雜,大樓管理員也開始需要更方便的管理方式。

為了能夠更快、更容易掌控,保全系統開始慢慢連上網路。一些智慧型大樓,更是採用中央監控管理系統。值勤的人員直接從中控室就能過濾消防警報、查看是否有動作感應器被觸動,或者查看每一樓的監視畫面。通道入口的人員進出權限也可以從遠端直接更改。換句話說,實體保全正在逐漸數位化。

不僅如此,保全系統的裝置也逐漸變得複雜,門禁部分可能用到證件讀卡機、外出開關 (REX)、門管控制器、管理軟體等等整套系統。監視部分則包括了攝影機、數位錄影機、檢視軟體等等。而且大樓通常還會安裝各種警報裝置,例如:防闖感應器、消防警報器、滅火系統、動作感應器等等。 Continue reading “【資料圖表 】如何防止保全系統遭到網路攻擊?”

Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的

原本該讓我們生活更美好的聯網用品,竟瞬間變成了攻擊他人的殭屍網路!

從去年 9 月感染了大約 10 萬個物聯網裝置的 Mirai 原始程式碼在網路上流傳開始,駭客們便紛紛忙著開發新的變種來搶攻那些安全堪慮的物聯網裝置,儼然成了一場軍備競賽。
從電燈開關、恆溫控制器,到聯網茶壺、無人機以及各種日常生活用品,讓這些聰明但不安全的智慧裝置連上網際網路,就如同引狼入室。現在光在大門隨便裝個簡單的鎖頭是不夠的,這批最近才剛轉戰家用網路的犯罪集團,他們感染家庭智慧裝置,將它們變成殭屍來替他們從事不法勾當。

這波搶攻裝置、建立殭屍網路熱潮有如一股掏金熱,如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣,存在著相同的安全漏洞,那麼未來恐怕有重大的災難等著我們。

網域名稱服務 (DNS) 供應商 Dyn 的伺服器在 2016 年底遭到一起重大的網路攻擊,全球多家知名網站因而停擺,包括 Twitter 和 Netflix 皆頓時陷入危機,工程師們為了讓伺服器恢復正常運作而疲於奔命。該事件的罪魁禍首,是一個叫作「Mirai」的物聯網 IoT ,Internet of Thing)殭屍病毒。

駭客的軍備競賽:紛紛開發新變種,搶攻物聯網裝置

網路媒體 All About Circuits 特約作家 Robin Mitchell 將這起網路犯罪事件歸類為「Botnet傀儡殭屍網路」攻擊。基本上,Mirai 幕後的犯罪集團利用此惡意程式感染了大約 10 萬個物聯網裝置,並以此建立了一個殭屍網路。歹徒之所以能夠建立這樣的殭屍網路,只因為物聯網裝置缺乏足夠的入侵防護措施。事實上,這些被感染的裝置很可能還在使用出廠時所內建的預設密碼,而這些密碼非常容易破解。

隨著物聯網裝置的日益普及,我們該如何對付像 Mirai 這類專門攻擊物聯網裝置的惡意程式呢?當這些原本應該讓我們生活更美好的連網用品瞬間變成了敵人,將變成什麼樣的狀況?

如果物聯網繼續這麼容易遭到這類攻擊,那麼情況將更令人擔憂。市場研究機構 Gartner 預測,到了 2020 年,全球將有208 億個物聯網裝置:從智慧家庭恆溫控制器和電燈開關,到聯網茶壺、無人機以及各種日常生活用品。如果這些聯網用品都像 Dyn 事件當中那些遭到攻擊的裝置一樣存在著相同的安全漏洞,那麼未來將有重大的災難等著我們。 Continue reading “Mirai 原始碼流傳之後….面對轉戰家用網路的殭屍大軍, 光在大門上鎖是不夠的”

如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?

家用網路的安全性跟保護企業邊界一樣重要,因為被駭的家用設備可能成為攻擊組織及公司資產的同伴。有弱點的家用網路不僅會影響到所有者和網路服務供應商,還會影響到連接的設備和儲存在上面的個人資料。

 

當有越來越多家庭使用智慧型設備來連接網際網路,路由器通常是唯一的守門員。無論使用者是筆記型電腦/桌上型電腦加上路由器,或者有其他設備會連接網路,安全風險都是一樣的。根據我們的研究,家用路由器最容易遭受跨站腳本(XSS)和PHP任意程式碼注入(arbitrary code injection)攻擊,還會被用來進行DNS放大(DNS amplification)攻擊。

智慧卻不安全的設備連上網際網路,就好像邀請看起來很有親和力卻心懷鬼胎的客人進入家門。只在閘道加上簡單的鎖並無法阻止它。根據最近對家用網路所進行的侵略來看,壞人們永遠可以找到方法破門而入。更糟的是,他們會感染這些設備,將它們變成接收指令進行網路犯罪的殭屍機器,就像最近對DNS服務商DynBrian Krebs所進行的攻擊,及在多個Netgear路由器內所發現命令注入漏洞。

 

後門程式,ELF檔案和 Mirai殭屍網路

家用路由器和物聯網(IoT ,Internet of Thing)設備通常都是使用Linux,因為它的普及性和具備的成本效益。但因為Linux的可移植性,開發在x86平台上的惡意軟體也可以在少幅度或甚至完全不修改原始碼的情況下就移植到家用路由器(通常是ARM或Armel)上。

家用路由器也可能遭受惡意應用程式、腳本和ELF檔案的影響。例如BASHLITE(趨勢科技偵測為ELF_BASHLITE)在2014年被用在大規模的分散式阻斷服務(DDoS)攻擊,最近經由感染物聯網設備(主要是巴西、哥倫比亞和台灣的網路監視錄影機DVR)來打造一個分散式阻斷服務攻擊 (DDoS)殭屍網路。還可能針對ARM、英特爾和相容x86和x86-64架構來感染隱藏的後門程式。這包括了Ring 3(也就是在使用者模式執行的)Rootkit,例如Umbreonvlany,它借用了另一個針對Linux的著名rootkit – Jynx2的功能。

圖1、Linux rootkit的安裝腳本節錄

圖2、vlany的範例程式碼,一個針對ARM系統的ring3 rootkit

 

Mirai(日語的「未來」,被偵測為ELF_MIRAI)相當特別,不單是因為它的複雜性(它使用預定義的預設憑證列表)。它的原始碼發布在駭客論壇上,讓其成為一個開放原始碼的惡意軟體,現被廣泛地利用和加以修改變得更強大。它的變種被用來將TalkTalk路由器變成殭屍機器攻擊高知名度的網站讓其斷線,如 Netflix、Reddit、Twitter和Airbnb。當Mirai殭屍網路攻擊德國電信所提供的90萬台家用路由器時,也導致了客戶服務中斷。 Continue reading “如何讓家用路由器不變成殭屍機器,接收指令進行網路犯罪?”

保護智慧家庭:家庭使用者與裝置製造商的安全祕訣

 

不論家庭使用者或家用物聯網(IoT ,Internet of Thing)裝置製造商,都能採取一些方法來降低智慧家庭伴隨而來的潛在風險,只要知道該從何著手即可。以下是便是我們所提供的一些實用安全祕訣。

家庭使用者如何保障智慧家庭安全?

對於家庭使用者來說,一個殘酷的現實是,並非所有智慧型裝置都內建基本的安全措施。因此,裝置的安全性要靠使用者對裝置的設定與使用方式來維護。只要您將安全列為智慧家庭的第一要務,您和家人就能用得安心,同時也會讓您想再增加其他智慧型裝置。

安全的智慧型裝置設定

您對家裡的智慧型家電有多了解?您是否熟悉它們的運作方式並知道它們的極限?比方說,您的家用物聯網裝置是否內建且預設開啟加密功能?有了加密,至少可以遏止有心人士試圖竊取裝置內的敏感資訊。

我們在前面談到 Amazon Echo 會持續聆聽您的對話以等候語音指令。若您對這樣的設計不太放心,那麼或許您可以暫時先將它關閉,等到您真正需要時再開啟。

有些裝置還提供了雲端服務來方便您存取資料。但我們建議您還是盡可能避免使用這類服務。使用這類裝置必須小心謹慎,尤其當裝置廠商在雲端資料處理方面並無太多經驗時。

檢查所有裝置的預設設定,研究一下如何修改這些設定來配合您的確切需要並保障您的隱私和個人安全。

檢查您的所有裝置是否都隨時保持更新。每當收到裝置韌體更新的通知時,請立即安裝最新版本。許多裝置甚至設有自動更新功能可以幫您省下麻煩。要不然,至少每個月更新一次,這樣也能降低駭客利用未修補漏洞入侵裝置的風險。將裝置的原始設定備份出來或儲存一份副本,萬一裝置發生非預期故障時,就能回復到先前的設定。 Continue reading “保護智慧家庭:家庭使用者與裝置製造商的安全祕訣”

「快起來,你爸爸在找你。」總在夜晚出現的隱形人,竟是它…

從舒適到災難:智慧家庭的風險

我們真的要讓全世界的駭客連結到我們的廚房、空調以及其他家用設備嗎?尤其是我們的門鎖?

當原本應該為生活帶來舒適便利的東西頓時變成一場災難,該怎麼辦?

時間發生在 2015 年 4 月,美國華盛頓的一對夫妻陷入了一個令人寢食難安的狀況。好一陣子,他們的三歲兒子一直在抱怨有個隱形人會在晚上出來跟他講話。一開始,他們還一直叫小孩不要亂講,直到有一天他們真的聽到陌生人的聲音從他們兒子房間裡安裝的嬰兒監視器中傳出。

那個聲音說:「小朋友,快起來,你爸爸在找你。」

更令他們毛骨悚然的是,他們發現該裝置的攝影鏡頭竟然還會跟著他們移動,那鬼魂般的聲音接著說:「看看是誰來了。」

這只是眾多家庭物聯網(IoT ,Internet of Thing裝置遭駭的恐怖故事之一。

家庭物聯網裝置的設計都是以功能為優先考慮,其次才想到安全

人們應該要能安心地使用智慧型裝置,但今日的現況並非如此。今日家庭物聯網裝置的設計都是以功能為優先考慮,其次才想到安全。因此,當這些酷炫裝置上市時,經常暗藏一些消費者在購買當下考慮不到的安全風險。這不禁讓人懷疑,消費者是否真有辦法在興沖沖地將這些裝置帶回家之前,仔細想清楚它們的好處與風險。

駭客將知道屋主是否在家,或者他們監視的對象是否正在前往某處。當然,這些是較極端的情況,但卻一點也不誇張。

嬰兒監視器直播隱私

首先是隱私的問題。許多物聯網裝置都具備錄影和錄音的功能,或者會將影音資料傳送至雲端處理。萬一駭客有辦法攔截這些內容,那就能看到並聽到屋內的狀況。再回頭看看前述嬰兒監視器的案例,由於駭客找到了裝置的軟體漏洞,因此就能將這些原本讓家長隨時關心兒童狀況的裝置變成現成的監視器材。

iot

語音助理蒙上監聽陰影

某些物聯網裝置 (如自動化語音助理) 會隨時等候使用者下達語音指令,然後將語音內容傳送至雲端處理,並在幾秒之內做出回應。過去已發生許多關於這類裝置傳送過多語音資料的爭議Continue reading “「快起來,你爸爸在找你。」總在夜晚出現的隱形人,竟是它…”

迎接智慧家庭的到來:物聯網 (IoT) 的普及與安全責任

將來有一天,一切開關按鍵都將消失。人們再也不需透過遙控器來轉台,或者透過開關來關燈。這些裝置都將按照其設計的功能自動運作,完全不需使用者操作:不需拍手、不需語音指令、也不需在空中畫手勢。它們將擁有某種程度的自主性,因此不需人為介入。這將是無可避免、非常接近、且非常真實的未來。智慧科技已經來臨,而且只會越來越聰明。

iot1

人們在討論這些科技及物聯網 (IoT) 時通常會以這些裝置和基礎架構是否自動化來作為它是否「智慧」的標準,但其實光自動化還不算。

首先,任何歸類在物聯網之下的裝置都必須超越其最原始的基本功能。它必須要能像個人電腦一樣接收、處理、傳送數位資訊。要達到這點,它必須具備第二項條件,那就是:連線能力。裝置必須能夠連上網際網路,甚至要能和附近的其他智慧裝置溝通。

比方說,智慧家庭中的自動化窗簾會在日出時自動打開,此時將觸動室內的智慧型燈泡自動熄滅。這樣的連動不但可以引入自然光,讓室內明亮,而且可以節省能源。另一個裝置之間彼此溝通的例子是,每當電話鈴聲響起時,智慧型電視就自動調低音量,讓使用者更容易聽到電話鈴聲。

 

自動化與連線能力既是物聯網的動力,也是阻力。

家庭物聯網必將崛起

物聯網的發展已停滯多年,因為使用者發現智慧型裝置並不實用。而且這些獨特的裝置生產成本很高,因此價格居高不下。幾年前,它們可說是奢侈品,而非必需品。而且,不是每個國家都有適當的基礎建設讓人人都能連上網際網路。因此,早期的採用者皆是科技狂熱者,而且要負擔得起物聯網裝置,又要位於能夠發揮這類裝置效益的地區。

然而,物換星移,市場的風向早已轉變。現在,人們對智慧型裝置開始趨之若鶩,一方面為了追求生活上的便利,一方面也為了追求個人的生活享受。這一點,業界早已留意。

市場的風向早已轉變。現在,人們對智慧型裝置開始趨之若鶩,一方面為了追求生活上的便利,一方面也為了追求個人的生活享受。這一點,業界早已留意。

 

那些市值動輒數十億的美國矽谷科技公司,競相追逐創新,因此推出各式各樣的物聯網裝置供大眾選擇。所有企業,不論規模大小,只要是漠視這股趨勢變化者,終將被市場所遺忘。這令人聯想到當年的手機巨擘正是因為未能抓住消費者對智慧型手機的需求趨勢,最後消失在地平線上。

2018 年,全球將有超過十億個連網裝置

市場研究顧問機構 Gartner 甚至預言,至 2018 年,全球將有超過十億個連網裝置,而這數字還只包括智慧家庭而已。另外十億個裝置預料將出現在智慧商業建築,其餘的十億個裝置則將分布各種不同產業,如:醫療、交通運輸以及其他推動智慧城市運作的產業。

日本德國兩個國家的都會區都已開始擁抱智慧型家庭浪潮。在這些地區,物聯網已經深深融入人們的生活當中,成為日常必需品。

在通勤量極大的日本大都會地區,通勤族可藉由家庭自動化來善用通勤的時間並節省能源。例如,配備智慧廚房家電的公寓可在主人踏入公寓門口的同時已準備好美味的料理。

在老年人口龐大的德國,許多人都選擇配戴健康監視器。當發生緊急狀況時 (如心臟病發),裝置就能自動呼叫緊急救援。因此,這類監視器確實可以救人一命。

負起家庭物聯網的安全責任

家庭物聯網的普及終將使得市場競爭更加激烈。然而,缺乏統一的監理機構來制定這些裝置的功能與安全規範,長期下來將衍生許多安全問題。

那麼,問題是:誰應負起物聯網的安全責任。

 

物聯網的版圖正在不斷演變。隨著物聯網走出家庭、進入城市,使用者的主導權將大為削弱。

 

是不是該由物聯網的使用者來承擔?就目前而言,答案似乎如此。因為,使用者能自由選擇要在家中導入哪些裝置。他們可以在家中安裝一套智慧型家庭娛樂系統,並完全掌握每次使用時裝置會將哪些資訊傳送給廠商。使用者永遠必須在個人的隱私和安全、以及生活的舒適與滿意之間做出取捨。

但物聯網的版圖正在不斷演變。隨著物聯網走出家庭、進入城市,使用者的主導權將大為削弱。

一個很好的例子就是,新的智慧型公寓已經開始配備物聯網裝置,如:監視保全攝影機或緊急情況感應器。這些公寓的住戶將被迫必須接受一定程度的監視。想像一下,假使未來所有新蓋的大樓,不論公家或私人住宅,都必須安裝這些物聯網裝置會是什麼情況。

一旦智慧科技廣泛應用在公共建築或交通工具,使用者將完全無法掌握自己的隱私和個人安全。如此一來,安全的重擔將從使用者移轉到物聯網裝置的生產者。那麼,廠商應該先預見哪些危險才能保護其使用者和其企業本身,防範可能發生的災難?

我們將在本部落格繼續探討有關這方面的問題。

原文出處:Securing Smart Homes