伴隨物聯網(IoT ,Internet of Thing)技術發燒、聯網裝置數量攀升,現今人人皆已身處萬物聯網之應用情境。儘管IoT應用普及度激增,但相關資安防護措施,並未出現同等幅度進化,加上聯網裝置製造商、使用者普遍缺乏防範意識,導致IoT成為駭客攻擊的大好題材。
當前不管是涵蓋眾多子系統的智慧城市,或貼近民眾日常生活的智慧家庭網路、車聯網,都淪於駭客攻擊目標,潛藏著前所未見的風險;譬如向來採取實體隔離的工業網路,都曾在Web連線過程出現破口,導致PLC與SCADA慘遭入侵,甚至感染勒索病毒,釀成巨大災損,突顯IoT確實危機四伏。
建立防禦模型,力抗智慧城市資安危機
不可諱言,容納各式感測器、致動器、異質網路的智慧城市,堪稱最複雜的IoT應用場域,風險指數相對較高,是亟需加強防禦的一環。
趨勢科技資深研究員Philippe Lin說,有不少人利用IFTTT APP自行設定各種服務之間關聯性,智慧城市彷彿是大量IFTTT的集合體,是內含大量系統的複雜系統,可能潛伏許多系統風險。有人認為智慧城市網路有實體隔離措施,縱使駭客入侵,也只能上去看看、製造一些隱私權侵犯話題,不足以做出致命舉動,但事實並非如此。
去年底一場歐洲的工業自動化展,某專家將多廠牌SCADA設備一字排開,眾目睽睽下展開「Gateway to (S)hell」駭人演繹,只見他透過這些設備的Web介面,成功存取Shell、掌握Root權限,此情景若發生在現實世界,後果著實不堪設想。
Philippe Lin指出,趨勢科技已提出智慧城市防禦模型,透過「Sensor的Sensor」嚴謹方式,隨時偵測各種感測器、功能與服務的狀態,以提高城市遭攻擊後的復原能力,另彙整十大要點,幫助政府與承包商共創安全智慧城市,它們包括:執行品質檢驗與滲透測試;建立服務層級協議(SLA);建立縣市政府下轄的電腦緊急應變小組;確保軟體完整性,並定期更新;考量智慧基礎建設的使用年限;時時謹記隱私資料處理規範;通訊管道必須認證、加密且做好管制;準備手動操作備案;設計容錯的系統;及確保基礎服務永續運作。
強化閘道防禦,遏阻駭客入侵家庭網路
IDC研究機構預估,2020 年全球將有超過300億臺IoT設備,除手機、平板或PC等常見裝置外,更充斥機上盒、電視、家電等等嵌入式系統,它們可能潛藏原生性漏洞,且疏於更新韌體,故深受駭客覬覦。
趨勢科技網路威脅防禦技術事業部專案經理Ryan Lung表示,一般家庭的大量嵌入式C連網設備,皆透過家用閘道器進行連網,等於為駭客提供極佳的攻擊路徑;為此趨勢科技利用智慧家庭嵌入式安全解決方案,嚴加保護家用閘道器,建立智慧家庭安全灘頭堡,迄今在全球守護逾170萬個家庭,可於第一時間阻擋各種Inbound 或Outbound攻擊,並提供虛擬補丁(Virtual patch,為智能家庭連網設備打造強而有力的安全防線。
同時趨勢科技持續分析智慧家庭的安全事件,以探知駭客動向。在2017年,該智慧家庭嵌入式安全解決方案協助全球家庭用戶攔阻逾1.1億次漏洞攻擊,歸納比特幣挖礦、TELNET Default Password Login、MS17-010 SMB-related、Brute Force Login為四大熱門攻擊模式,皆與Mirai、WannaCry等遺毒有所關聯;儘管資安業者多已對此類威脅戒慎恐懼,紛紛祭出對應防護方案,但嵌入式系統並非 Install Base,相對不易更新韌體、不易加裝防護措施,加上不少使用者未勤換密碼以及弱密碼的配置,導致這些遺毒遲遲無法在智慧家庭絕跡。
Ryan Lung呼籲家庭用戶,宜儘速提高資訊安全意識,不忘啟動連網裝置中的自動更新功能,避免開啟未知功能,莫要在設定裝置時寫入個人資訊,養成設置複雜密碼的習慣,不要點擊不明URL,需在閘道端建立第一道守護關卡,嚴密監控所有進出網路流量,確保家中連網裝置的所有端點同受保護。
練好安全基本功,避免愛車遭駭客荼毒
人們熱衷追逐自駕車美好願景,殊不知「汽車駭客」威脅逐步升溫;只因隨著車聯網(IoV)興起,車內系統紛紛連接網際網路,倘若這些元件存在漏洞,便形同門戶洞開,讓駭有機會入侵得逞,取得車輛控制權,偷走你的愛車。
趨勢科技安全研究員Spencer Hsieh說,進入IoV時代,車內多數元件皆可連網,更有甚者,車用資訊娛樂系統(IVI)、OBD II行車診斷監控電腦還可連結CANbus內網控制器,意謂駭客只要出手控制IVI或OBD II,便能對CAN-BUS輸送訊號,連帶掌控車內所有系統,發動各種惡意行為。
為洞悉車聯網潛在資安危機,趨勢科技特別成立Car Hacking Lab,不斷研擬可能的駭客入侵模式,從而彙整三大關鍵破口,分別是智慧感應遙控車匙(Remote Keyless System)、IVI與OBD-II Dongle。比方說,駭客可藉由Replay或Relay等方式播放開啟車門的無線訊號;設法將異常APP裝設於IVI、循序進入CAN-BUS並攻陷電子控制單元(ECU),囊括車窗、煞車、防撞…等等主控權;利用Dongle漏洞入侵OBD-II,再以「逆向工程」破解車上防護機制、然後修改韌體,一步步實現對車輛的控制。
為防範汽車駭客入侵,車主務須提升安全意識,舉凡及時更新軟體與韌體系統,留意一些以藍芽、WiFi及USB為接口的第三方設備,避免裝載來路不明的APP,導入防毒防駭系統、避免IVI 等系統元件遭受來自網際網路的漏洞攻擊,種種關鍵基本功皆不宜偏廢。