物聯網(IoT ,Internet of Things)的興起勢必加重裝置軟、硬體廠商以及許許多多仰賴連網智慧型裝置來營運及服務客戶的企業在安全方面的負擔。雖然消費及商用領域目前是平板與智慧型手機當道,但健康手環、連網恆溫系統以及連網汽車等等,卻也開拓出全新的科技疆土。
連網端點裝置大量普及,意味著網路犯罪者將有許多全新的攻擊目標。抬頭顯示器、監視攝影機或冰箱等裝置遭到駭客入侵的事情,目前似乎仍只是科幻情節,但其最終卻比入侵一台 PC 更能造成立竿見影的效果,因為這類新式連網裝置更深入使用者的生活,而且通常安裝在家庭內部。
儘管如此,物聯網(IoT ,Internet of Things) 裝置所蒐集、儲存的龐大個人資料反而潛藏著更大的風險,例如像 Jawbone Up 這類健康手環能追蹤您的睡眠、運動、飲食攝取等個人資訊,並同步到雲端。
隨著越來越多裝置循此模式發展,使用者 (以及資訊安全專家) 未來有必要清楚掌握網際網路涉入其生活的深度,並了解 IoE 將如何帶來一個截然不同卻更貼近使用者的運算體驗。那些原本只出現在大型主機、PC 及智慧型手機的威脅,未來將進一步演化並進入全新的連網世界,而資訊安全產業也必須準備協助使用者和企業思考如何面對這些威脅。
在 2020 年來臨之前,連網裝置數量將突破 500 億
IoE 的規模將有多大?截至 2012 年為止,連網裝置數量已經超越全球人口,但到了 2020 年,這數字將更加驚人。
Cisco 預估屆時連網裝置將突破 500 億,其中絕大部分都將是最後三年才新增的裝置。Morgan Stanley 對 IoE 的成長甚至還更樂觀,該機構預測 2020 年的連網裝置將達到 750 億台,等於屆時全球 80 億人口每個人平均擁有 9.4 台。
然而最迫切的問題是,IoT的興起將刺激網路與監視攝影設備以及許多專為垂直市場最佳化的感應器裝置成長,例如醫療、零售與交通運輸領域。醫院或許因此更能隨時掌握病患的狀況,而企業則更能掌握自己的庫存與車輛動向。
不過,IoT 已經開始出現在消費性產品,如Sony 發表的 SmartWig 智慧型假髮就鮮明地點出了 IoT的好處與潛在安全風險。這副具備連網功能的假髮內含 GPS 定位及觸覺感應器,能蒐集配戴者的敏感資訊,包括 GPS 定位及心跳、血壓等生理訊號。但它也可以引導使用者穿越一些黑暗區域、與智慧型手機連動、提供以身體動作進行無線遙控功能,例如透過眉毛的動作遙控電視或投影片播放。
雖然 SmartWig 還只是個原型,但卻讓我們意識到目前離那個全球數十億裝置隨時監視人們日常生活、既能創造實質效應卻又產生巨量敏感資料的世界已不再遙遠。不但如此,由於許多 IoE 裝置和人們的關係非常緊密,因此這些裝置所產生的資料將成為網路犯罪者的獲利來源。例如,目前已發生多起研究人員或駭客入侵無線 IP 網路攝影機並將視訊畫面公開在網際網路上的案例。
無線 IP 網路攝影機駭客入侵事件突顯 IoE 安全防護的必要
2012 年初,資安研究人員在荷蘭舉行的 Hack in a Box 研討會上展示許多無線 IP 網路攝影機都能從遠端駭入。同時,這些研究也顯示,數以億計連網裝置的相關資料是多麼輕易就能透過爭議性的 Shodan 搜尋引擎查到,該網站甚至能查到一些不太曝光的裝置,例如智慧型手機所遙控的智慧型門鎖。
研究機構 Qualys 的研究人員指出,他們能利用 Shodan 找到超過 100,000 個 IP 網路攝影機的視訊串流,而其內容與保全毫不相干。在所有他們發現的 IP 網路攝影機當中有 20% 都只需使用「admin」這個使用者名稱就能登入。甚至是有密碼保護的裝置,其韌體也很容利用暴力攻擊或路徑瀏覽的方式破解。由於這些攝影機可透過網站式管理介面來查看其網路資訊和登入資料,因而讓使用者的許多敏感資料攤在陽光下。
Qualys 的研究報告摘要指出:「網站式管理介面可說是不安全網站應用程式的標準範例,它們很容易暴露敏感的個人資訊 (如無線網路、FTP、甚至是電子郵件帳號密碼),並且讓人一窺您家中的內部狀況。除了網站介面的漏洞之外,這些攝影機在韌體保護的措施上也有待商榷,因而產生更多有趣的攻擊管道。」
在 2012 年初發生的另一個案例中,一名駭客入侵了 SecurView IP 網路攝影機的運作軟體。隨著連網裝置的數量和種類不斷攀升,再加上 Shodan 這類提供裝置及廠牌資訊的網站出現,資訊安全產業必須一肩扛起責任,確保資料隱私獲得重視,並且降低有形和無形資產的風險。
防範明日的 IoE 威脅
IoT 的規模如此龐大,要維護其安全似乎是件不可能的任務。然而,我們還是可以從許多方面改善一些基本的安全性,資訊安全人員應從強制網站應用程式使用更嚴格的加密、使用強度更高的密碼、隨時保持作業系統與惡意程式防護軟體更新等方面著手。例如,可從 Shodan 網站查到的 IP 網路攝影機有 99% 未採用最新可防範密碼攻擊的韌體。
在更高的層次上,IoT需要設計良好的網路基礎架構,既要保護使用者、又不能犧牲裝置的功能性。要達到這項目標,信用卡系統是一個可參考的藍圖,因為他們使用了多道本地端及遠端安全措施來把關,確保付款過程既安全又輕鬆。保護 IoT 的安全或許需要一些有創意的想法,尤其是考慮到 SmartWig 這類裝置的情況下,然而,全方位的安全基礎已經存在,我們只需再勤勞一點。
◎原文出處:https://blog.trendmicro.com/securing-internet-everything-surveillance-attacks/