物聯網(IoT ,Internet of Things) 是目前正逐漸興起的無線連網裝置生態體系的一個統稱,如恆溫系統、汽車、擴增實境眼鏡都涵蓋在內。對科技業者來說這是一個龐大的商機,對網路犯罪集團來說也是一大攻擊目標。在 2014 年美國消費電子展 (Consumer Electronic Show) 上,Cisco 執行長 John Chambers 大膽預估 IoT在未來五年之內將發展成一個 19 兆美元的市場,這樣的說法一點也不誇張。市場研究機構 McKinsey 預測,到了 2025 年,IoT 的應用將創造高達 33 兆美元的經濟活動,而 Gartner 也認為至 2020 年其預期效應將高達 2 兆美元左右。然而,隨著廠商和大眾對 IoT 逐漸熟悉,人們是否已準備面對這更智慧的連網基礎架構所帶來的風險?
正當 IoT科技攻城略地的同時,安全的考量已退居第二
物聯網(IoT)的時代已經來臨,只是消費者可能還無感覺,因為一些最典型應用目前仍訴求在特定的利基市場。例如,今年 CES 的攤位上四處可見各種內建感應器的健康/健身手環與記錄器,仿佛就是 Nike+ Fuelband 與 Jawbone Up 的翻版。這些裝置獲得了大量的媒體關注,但卻未能像智慧型手機和平板一樣引起大眾普遍認同。根據 ABC News 的報導,市場研究網站 NerdWallet 估計健身記錄器的市場大約在 8,500萬美元 (2013 年) 之譜,僅占今日數十億美元手機市場的微小部分。
然而,科技大廠卻認為物聯網(IoT)裝置很快就會引起消費者的興趣並投下大筆賭注,Google 就是一例。該公司最近併購了 Nest 這家專門生產連網恆溫系統的公司,進一步鞏固自己在物聯網(IoT) 硬體的地位。此外,雖然 Google Glass 抬頭顯示器目前不論在商業上或文化上都還是個不成氣候的產品,但其無所不在的媒體與連網體驗很可能刺激 Facebook 併購專門開發遊戲虛擬實境頭盔的 Oculus 公司。正當廠商忙著爭奪 IoE 版圖並尋找下一個主要運算平台的同時,安全的考量卻因商業利益而退居第二。
趨勢科技研究人員 Robert McArdle 指出,擴增實境 (AR) 很可能在 2014 年開始邁入主流市場,部分原因是其適用的情境不適合使用手機,其次就是 Oculus Rift 虛擬實境頭窺的創新技術,以及網路犯罪者過去一向喜歡鎖定遊戲玩家的趨勢。最近,針對《英雄聯盟》遊戲伺服器的分散式阻斷服務攻擊以及 2011 年發生的 Sony PlayStation Network 資料外洩事件,都證明了這類風險的存在,而 AR 和 IoE 的時代來臨將開啟全新的漏洞。
McArdle 表示:「擴增實境最適用的領域就是身歷其境式體驗,而這正是 Google Glass 和 SpaceGlasses 這類穿戴式科技派上用場的地方。這類裝置在技術上或心理上都可能遭到一些獨特的攻擊。舉例來說,這些裝置的使用者基本上就像是頭上戴了一台相機四處走動一般。專門開發網路銀行惡意程式的歹徒不難發現這是一個偷取銀行帳號密碼的絕佳工具。」
這類將桌上型電腦與行動裝置惡意程式技術移植到 IoT 裝置的威脅,已經迫在眼前。若消費者對物聯網(IoT)裝置興趣缺缺,將使得惡意程式的攻擊目標有限,因而不值得網路犯罪集團投入太多資源來破解 AR 頭窺或智慧型手錶。不過,物聯網(IoT) 還有一些較不鮮光亮麗的領域已經開始遭到攻擊,並且出現一些未來可能招致更多問題的漏洞。
VoIP 網路電話與路由器漏洞
網路基礎架構是 IoT 的骨幹,隨著越來越多裝置開始連上 IP 網路,除了端點裝置本身之外,路由器和交換器的安全性將變得更加重要。
儘管 Cisco 大力股吹 IoT 的未來潛力,但這家網路大廠也不得不針對其多款熱門無線區域網路控制器釋出安全性更新。在更新之前,這些裝置很可能遭歹徒入侵,進而利用其網路發動 DDoS 攻擊或取得管理權限。另外,最近出現的 Moon Worm 威脅,上個月也讓許多舊款 Linksys 路由器使用者頭痛不已。這項威脅利用了一個可略過認證機制的漏洞來取得路由器控制權,並且會自我複製。
這些案例突顯了未來 IoT 安全的挑戰,因為這種情境下的網路安全必須做到所有網路、裝置、應用程式或結合多個層面的威脅監控與因應。換句話說,資訊安全專家必須採取一種全方位的作法,並且應該尋求設備廠商的協助,他們必須留意日常生活當中的每一個裝置,甚至是一些可能不在 IoT範疇之內的裝置,例如 VoIP 網路電話。
Slate 部落客 Lily Hay Newman 也直指 IoT 裝置缺乏安全性的問題,此外,傳統的 PC 和智慧型手機修補程序或許也無法順利移植到新的聯網裝置。VoIP 網路電話之類的端點裝置為駭客提供了輕鬆的入侵管道,是 IoT 基礎架構當中容易被忽略的地方。
Newman 質疑:「廠商可以在自家產品發現漏洞時釋出更新或修補程式,但誰要負責更新冰箱的軟體?這一點,對於路由器到處充斥且每個人桌上都有一台 VoIP 網路電話的產業,尤其困擾。就算您的電腦安裝了防毒軟體讓駭客無法入侵,但駭客還是可以入侵 VoIP 網路電話或監視攝影機,進而在您的企業內安插眼線。」
要保障 IoT 的安全,不僅路由器和電話,還有一些其他看似不重要的硬體設備也都需要留意,不是光注意尖端的 AR 頭盔或健身記錄器就行。優先關注這些較老舊的基礎架構,可以讓廠商和企業了解保護 IoT 資產所牽涉的工作範圍有多廣。當然,採用防護軟體並且遵循最佳實務原則 (例如更換裝置預設密碼) 依然重要,但資安團隊還必須了解 IoT 所獨有而分散的漏洞。
◎原文出處:https://blog.trendmicro.com/internet-everything-requires-attention-old-new-cybersecurity-risks-2