作者:Raimund Genes(趨勢科技 CTO 技術長)
每當我聽到物聯網(IoT ,Internet of Things)時,我的心情都會有些矛盾。毫無疑問地,這在技術上是新的「大勢所趨」,但同時我也擔憂它是否安全。讓我解釋一下。
當一家公司製造一個智慧型設備,他們不僅需要製造該設備的硬體,他們還需要為其編寫軟體。這不是個簡單的任務,特別是對於那些複雜的項目來說。舉個例子 – 現代化的汽車。想想看它擁有的所有功能:遠端協助,行車路線輔助系統,甚至是出車禍時的緊急服務通知。它甚至可以整合關於我如何駕駛的各種統計數據,並且和其他駕駛者做比較。
這一切都需要有相當大量的軟體進行編寫。一輛現代化的汽車有超過1億行的程式碼。這比辦公室軟體如Microsoft Office(4500萬行)還多出一倍;或是一架波音787夢幻客機(1400萬行)的7倍以上。更多程式碼不僅代表更多的功能,也代表了有更多機會出現各種安全缺陷和漏洞。
軟體漏洞是我們已經(不幸地)學會如何應對的事情。世界各地的軟體廠商會定期發送更新給他們的客戶;智慧型設備應該也沒有不同。我在過去十年裡所擁有的每台車都有收到定期的更新,包括轉向系統的改變。鑑於在德國高速公路上,時速140英里(或每小時225公里)是正常的行駛速度,所以在這情況下不要出現死亡藍色螢幕是件相當重要的事情。
我們已經知道有弱點的設備會受到網路犯罪份子攻擊。例如,路由器對於攻擊相當脆弱,也很容易被入侵。我們需要智慧型設備廠商認知到自己的產品也是,有可能會成為目標。安全廠商如趨勢科技會盡我們所能來保護使用者,但更好的方式是智慧型設備盡可能地將安全擺在第一位。設備廠商不僅必須要試著遵循安全實作來開發自己的產品;他們還必須要測試這些設備,才可以在面對新威脅時保持安全。
更多關於我對物聯網的想法可以從下列影片內找到:
想知道更多關於安全風險和如何保護智慧型設備的資訊,請訪問我們物聯網資訊站,裡面包含了我們討論這個新興領域的資料。
@原文出處:Securing the Internet of Everything
《同場加映》趨勢科技資訊安全研究副總裁 Rik Ferguson的看法
雖然針對「智慧型」或「聯網」裝置的攻擊仍不普遍,但我們相信網路犯罪者已經準備探索這全新聯網裝置 (且大多沒有防護) 的世界能為他們帶來什麼樣的犯罪契機。一旦殺手級的應用出現,駭客將完成武裝,隨時準 備大舉入侵,就如同當年 Android 平台崛起時的情形。我們已在真實世界見到針對監視攝影機所連接的數位錄放影機 (DVR) 的攻擊。駭客嘗試利用它們來開採必特幣,而且該事件並非隨機感染任何裝置,因為該事件中的惡意程式是專為 ARM 處理器所撰寫,不過這些低功耗裝置實在無法勝任數位貨幣開採作業的吃重工作。
此外我們也見到多起專門入侵家用路由器的攻擊,因為這些裝置非常適合用來針對智慧型裝置發動中間人攻擊 (MiTM),駭客可以直接將威脅插入資料通訊當中而不須感染個別裝置。
最近亦出現一些針對智慧型家庭照明系統、電動車管理系統,以及智慧型電視的概念驗證攻擊 (PoC)。不幸的是,這些大多利用設計上的不良,或是製造商不安全的作法,而非底層作業系統或介面在程式方面的漏洞。
令人喪氣的是,只要產品急於上市,安全依然經常是新興物聯網(IoE ,Internet of Everything)廠商最後的考量。我們都應該謹記比爾•蓋茲(Bill Gates) 在 12 年前發給微軟和所有子公司的那封題為「Trustworthy Computing」(值得信賴的運算) 的電子郵件所言:
「未來,我們必須開發技術和政策來協助企業更妥善管理日漸擴大的個人電腦、伺服器與其他智慧型裝置網路,確保其關鍵營業系統安全無虞。系統將必須能夠自我管理而且必須具備韌性。我們現在應為促成這項未來的軟體預作準備。」
這段話對現在來說真是再真切不過。