直到最近,物聯網(IoT ,Internet of Things)的安全性大多只是紙上談兵,因為 IoT才剛萌芽,普及率仍低。正如趨勢科技趨勢科技威脅研究員 Robert McArdle 今年稍早所言,儘管有 Google 等各家廠商的努力,IoT 仍缺乏可讓它普及的「殺手級應用」。
然而,企業與資安廠商卻仍擔憂將網際網路拓展至各種內嵌式感應器與家電之後可能帶來的潛在風險。不過截至目前為止,網路安全仍大多以 PC、行動裝置、伺服器與網路為主,IoE 只是一個龐大的潛在市場,而非快速崛起的勢力。Cisco 認為 IoT 未來將是一個 19 兆美元的商機,但是網路安全能否有效跟進以應付這全新的運算情勢?
美國北卡羅來納州交通部 (Department of Transportation) 道路交通號誌遭駭客入侵事件突顯 IoT 的全新風險
IoT 最獨特的一點就是它涵蓋了傳統認知上並非「電腦」的端點裝置。高速公路交通號誌即是一例。縱然這些號誌也配備了電子式顯示器 (雖然跟今日的智慧型手機和平板比起來顯得很陽春) 但很少人會與它們互動或特別留意到這些號誌,這些號誌看起來更像告示牌而非可駭入的裝置。
美國北卡羅來納州交通部的負責管理的一些交通號誌日前遭到一名駭客入侵,駭客將標誌上的內容改成「Hacked by Sun Hacker Twitt Wth Me」(駭客 Sun Hacker 在此,上 Twitter 來找我),目的是要駕駛人上 Twitter 找他。這訊息一點也不像在開玩笑,而且這樣的行為儼然形成一股令人擔心的潮流:
- 早在 2009 年,Jalopnik 之類的網站即顯示出道路交通號誌多麼容易遭到入侵。有觀察者指出,這些設備缺乏實體安全措施可防止篡改行為,同時又普遍採用預設密碼 (如「DOTS」)。該事件後來的演變是交通號誌內容被改成「Warning, Zombies Ahead」(小心,前有殭屍)。
- 高速公路交通號誌屬於公共安全資產。若是遭到駭客入侵,可能會讓用路人收到錯誤訊息,導致交通打結或交通意外。該事件中的訊息還好只是自我推銷,並無實質誤導的情形,但真實傷害的可能性確實存在。
- 北卡羅來納州這起事件以及後續的倣效案例,或許是受到日前推出的家用電玩主機熱門遊戲《看門狗》(Watch Dogs) 之影響。《看門狗》遊戲場景設定在未來世界的芝加哥,遊戲中強調駭入基礎建設 (如交通號誌) 的情節。McArdle 在他的貼文當中也提到,玩家所處的空間 (幾乎被 Oculus Rift 之類的電子裝置所淹沒) 正如同 IoT 科技普及的前兆。
此攻擊事件的技術細節目前外界仍不清楚。Sun Hacker 在 Twitter 上宣稱,要更改交通號誌顯示內容必須駭入一個 NCDOT VPN,不過,美國境內一些類似事件的調查人員表示,該攻擊應該是利用了簡易網路管理通訊協定 (Simple Network Management Protocol,簡稱 SNMP) 訊息的漏洞。此外,駭客也可能趁機修改已遭入侵的數據機密碼,讓修復工作更加困難。NCDOT 宣稱已知道自己的系統如何遭到入侵,並且正在修補相關漏洞。
NCDOT 資訊長 David Ulmer 表示:「我們非常嚴正看待此次的網路事件。我們不僅正在與執法機關共同追查此一嚴重事件,更針對我們的設備和 IT 基礎架構進行重複掃瞄以確保任何其他漏洞皆已修補完畢。」
關鍵基礎建設遭駭客入侵:危險性有多大?
正如資訊安全專家 Brian Krebs 在他的部落中所言,最近道路交通號誌事件很可能再度點燃有關基礎建設遭到駭客聯合攻擊的討論。去年,研究機構 ABI Research 估計,基礎建設相關的安全支出將提升至 460 億美元,較 2012 年增加約 40 億。美國、南韓等國皆已加強這方面的工作,將它納入國家安全策略當中,並且大大增加網路安全方面的支出。
交通號誌事件背後的歹徒看來並非隸屬任一國家或跨國組織的成員。根據 Krebs 表示,Sun Hacker 似乎是一位業餘的網站破壞者,並且也低估了網路聯合戰爭的潛力。
他認為,只要能看出漏洞並善加利用,一位熟練的駭客就很可能從中摸索出真正具破壞力的攻擊。北卡羅來納州交通號誌事件讓我們知道仍有很多可利用的機會。
網路安全措施的零散突顯了基礎架構的安全風險
關鍵基礎建設持續數位化的潮流,再加上 IoT 的崛起,加重了企業網路安全的負擔。雖然很少企業會直接遭遇交通號誌的問題,但他們需要保護的端點裝置仍比以往更多。
有效率地處理基礎架構的威脅,從零時差軟體漏洞到鬆散的實體安全措施,顯然需要跨機構的合作。光是安裝一個修補程式然後假設一切都會沒事是不夠的:
- 若要確實根除網路上的異常活動,主動監控是必要的。
- 資料中心與網路基礎架構 (如交通號誌) 必須具備架設實體屏障與存取控管來確保安全。
- 人員必須具備適當的技能以正確發掘並通報風險。
UBS AG 網路威脅情報總監 Sean Tierney 在 2012 年曾對 TechTarget 表示,儘管各種裝置和服務越來越仰賴網際網路連線,企業的網路安全措施仍舊各自為政,完全忽略了基本功與整體協調性。
Tierney 說:「過去五、六年來,企業在很多方面並未正確做好基本功。在 1990 年代後期與 2000 年代早期,資訊安全是一個全新的領域,因此,您必須全面提升創新。然而隨著經濟規模發展到今日的程度,我們開始傾向個人化。現在,我們最底層的人員並不具備涵蓋所有關鍵基礎建設的適當技能以真正[判斷]並回應威脅。」
北卡羅來納州交通號誌事件給我們的教訓是,我們需要重新評估自身的安全情勢。企業不僅必須考慮技術上的解決方案,更要檢視自己的企業文化,確保大家都願為網路安全盡一份心力。
◎原文來源: https://blog.trendmicro.com/road-signs-hacked-ioe-security-takes-center-stage/