《 IoT 物聯網安全趨勢 》面對萬物聯網所帶來的風險與效益 (下篇)

本文的上篇當中,我們詳述了物聯網(IoT ,Internet of Things)所牽涉到的裝置、技術與流程,並提到這些裝置如何可能遭到攻擊。廣泛來說,IoE 涵蓋了各種以 IP 連網的端點裝置,將網際網路的觸角延伸至傳統 PC、智慧型手機與平板的範圍之外。

物聯網受到科技大廠的再度青睞
表面上,IoT看起來只是一種把戲,最常讓人聯想到就是生化機器人的抬頭顯示器、連網牙刷以及可追蹤使用者步伐和睡眠習慣的手環。然而這樣的刻板印象卻掩蓋了IoT在改善內容及服務供應方式的潛力。Salesforce.com 的 JP Rangaswami 指出 IoE 將是一套減少浪費並消除效率瓶頸的系統,涵蓋商業供應鏈到日常大眾運輸流程。

Why You Should Be Smart about Smart Devices

點小圖看大圖

以下是幾個登上媒體頭條版面的最新IoT 消息,並且點出了連網基礎架構的普及能帶來什麼樣的應用:

  • Apple 在其即將來臨的 Worldwide Developers Conference 全球開發者大會上有可能展示一套可讓使用者操控居家物品的最新平台。基本上就是將 iOS 裝置變成一個萬用遙控器,遙控保全系統、照明以及其他家電。
  • 而今年稍早才併購恆溫控制與煙霧感應器製造商 Nest 的 Google,現在可能又打算併購 Dropcam 這家居家監控攝影服務廠商。
  • Samsung 早已在測試 IoT水溫,推出 Galaxy Gear 智慧型手錶與 Galaxy Fit 健康手環,兩者都搭上了穿戴式科技與健身監測的最新潮流。

有了全球最大科技廠商在背後支持,IoT  應該將安全與隱私權列為第一要務。IoT  提供了改造與提升網際網路的全新契機,然而 Dropcam 之類的技術卻帶來了令人不安的可能發展,例如居家監視攝影系統可能遭到挾持。

事實上,正在崛起的 IoT  已經發生多起遭到攻擊的案例,包括一起名為「Moon Worm」(月蟲) 的 路由器漏洞攻擊。所有相關人員都應在基礎架構變得更先進、相關攻擊變得更複雜之前,從這些事件當中記取教訓。

《Wired》引述 REX 智庫創辦人 Jerry Michalski 的話表示:「大多數暴露在網際網路上的裝置都有可能被駭。而且還可能出現非預期的結果:它們可能被用於一些原設計之外的用途,而且大多不是好事。」

從 Moon Worm 和其他攻擊記取 IoE 安全的教訓
網路安全產業只要看看 Moon Worm 和幾個類似的惡意攻擊行動,就能知道 IoT  安全已經是現在式,而非未來的情景。以下是近年來最知名的一些 IoT  安全相關事件:

  • 2014 年 2 月,Moon Worm 現身,專門攻擊特定型號的 Linksys 路由器,橫行全球。該攻擊會利用一個可跳過驗證機制的漏洞,甚至還具備自我複製能力。廠商建議使用者最好更新到最新的韌體版本,並且停用遠端管理功能以策安全。
  • 今年四月,一群駭客利用惡意程式取得了保全系統監視錄影機 (DVR) 的控制權。除此之外,他們也會將受感染的端點裝置用於開採比特幣 (Bitcoin)。開採比特幣是一項非常耗費 CPU 資源的作業,也就是說,受感染的裝置將變得非常緩慢。能夠掌控 IoT 對歹徒來說是一項強大的誘因,所以才會不辭辛苦地運用監視攝影機內低功耗的 ARM 處理器來執行開採比特幣這類吃重的運算工作。
  • 國際電動車大廠 Tesla 生產了許多搭載觸控螢幕介面與整合式行動電話網路的尖端電動車。可預期的,由於這項功能需仰賴網路與軟體,網路安全將成為該公司未來必須解決的一項問題。跟據《Ars Technica》報導,直到最近,Tesla 的車主都只需設定一個六個字元的密碼,其中至少必須包含一個字母和一個數字,這使得這些帳號很容易遭到暴力破解攻擊。此外,針對 Tesla 設計的第三方 App 程式也可能導致車主的帳號密碼外洩。

在 2014 年 5 月的一項研討會上,Moon Worm 與IoT  安全成為討論的焦點,身為研究學者的 In-Q-Tel 資訊安全長 Dan Geer 指出,IoT  的最基本的一項弱點就是有太多裝置的軟體都已過時。駭客可輕易地攻擊未修補的韌體與作業系統漏洞,就能取得 IoT 裝置的掌控權,從監視攝影機到網路通訊設備等等。

除此之外,Geer 也說明為何  Moon Worm 的出現代表 IoE 安全已經是個切身的問題。此外,還有一個大家低估的 IoT 安全問題就是,這類攻擊事件可能看起來像技術性意外或失靈事件:使用者如何知道這些融入他們日常生活的端點裝置是單純的故障還是遭到入侵?

Geer 在研討會中指出:「這隻名為月亮 (The Moon) 的蠕蟲正透過遍布全球的 Linksys 路由器到處爬行,或許正應驗了我所說的情況。「這或許會,也或許不會,讓整個森林燃燒起來,但眼前它已經著火。或許只要再發生一次事件,我們就再也無法分辨產業意外事件和惡意行動之間的差別,這一點至關重要。」

保護 IoT:我們可以做些什麼?
要找出 IoT  的安全策略,研究人員不僅可以從 Moon Worm 和其他類似情況取得靈感,還可從過去十年以來 Microsoft Windows XP 使用者遲遲不願升級的情況記取教訓。由於迷你筆電 (Netbook) 之類的簡易裝置大受歡迎,使得持續修補 XP 漏洞的代價更高,對這些裝置來說,這套老舊的作業系統再適合不過,此外,由於 XP 並未開放原始碼,因此,外界也無法提供修補程式。

同樣的這些問題,不一定要成為 IoE 安全的包袱。Geer 建議,連網的裝置可以設定一個有效期限來鼓勵使用者在幾年之後就汰換掉一台智慧型冰箱。另一種作法是,裝置製造商可將過了生命週期的產品原始碼公開,至少讓軟體開發社群可以修補一些漏洞,避免像 XP 那麼難以正式劃下句點。

面對萬物聯網所帶來的風險與效益 (下篇) (Dealing with the risks and rewards of the Internet of Everything, part 1)

 

851 215 FB Cover promotion812

萬物聯網時代,企業必要掌握的資安四大面向

萬物聯網資訊安全中心  多層次的資訊安全中心控管
萬物聯網駭客攻防手法  深度分析APT攻擊,建立完整的防禦架構
萬物聯網雲端防護架構  私有雲 、公有雲、混合雲的資訊安全
萬物聯網行動安全機制  企業行動裝置安全策略

當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】