【 IoT 物聯網新趨勢】穿戴式裝置的潛在安全問題:下篇  

趨勢科技 TrendMicro

在這系列的第二篇當中,我們討論了穿戴式裝置可能遭到的前兩類攻擊。本文將繼續探討第三類攻擊,也就是三者之中最危險的攻擊。

高使用者風險、低可行性的攻擊

這類攻擊是最危險的,但也最不可能發生。若駭客成功入侵了穿戴式裝置的硬體或網路通訊協定,那麼他們就能取得「輸入型」裝置的原始資料,並且能夠在「輸出型」裝置上顯示任何內容。


這種情況包括個人資料遭到竊取,以及篡改視訊攝影機所拍到的畫面。這樣的攻擊將嚴重影響裝置使用者,甚至可能妨礙使用者的日常生活。此外,若裝置是用於工作場所,這類攻擊還可能造成嚴重影響:一個簡單的阻斷服務 (DoS) 攻擊就能可讓醫師無法幫病患開刀,或者讓執法人員無法取得捉拿歹徒的資料。

有鑒於藍牙 (Bluetooth) 是目前這類裝置使用最廣氾的單一通訊協定,我們有必要在此補充說明一下。藍牙是一種類似 Wi-Fi 的近距離無線通訊協定,但兩者卻有一項很大的不同。Wi-Fi 基本上是透過一個「基地台」來彼此通訊,但藍牙的設計卻是採用點對點的方式。您必須將兩個裝置配對之後,雙方才能透過藍牙協定進行通訊。在配對的過程中,裝置會互相交換加密金鑰以建立通訊。另一項有別於 Wi-Fi 的地方是,藍牙會依照一定的程序來跳頻 (切換頻道) 以減輕外界無線電干擾。

Wi Fi

這樣的設計讓駭客在破解藍牙裝置時將面臨兩道障礙。第一,駭客必須在兩台裝置一開始配對時就透過竊聽來取得加密金鑰。否則,若錯過了這個時間點,往後的任何通訊對於竊聽者來說都只是無意義的雜訊。第二,駭客若要進行阻斷服務攻擊,必須發送一個足以涵蓋此通訊協定廣大頻率範圍的雜訊,才能對它造成影響。這並非全無可能,但這樣的攻擊所需花費的力氣比任何其他無線電通訊協定都來得大。

雖然攻擊的可能性依然存在,但機率比其他攻擊類型小得多。而且駭客必須在離裝置不遠的地方發動攻擊,因此這類攻擊的用途非常有限。這類攻擊或許有高度的針對性,要不是所要攔截的資料對駭客價值非凡,就是干擾受害者接收訊息非常重要。這類潛在攻擊的目的極為獨特:可能非關錢財,且極具針對性。

在極端的情況下,若駭客能操控其中任何一方的裝置,就可能對另一方的裝置發動攻擊。駭客若完全掌控了裝置,至少可以利用它來連上網站。這或許能讓駭客點閱廣告來進行點閱詐騙,或是連上其他網站,或是對其他系統發動阻斷服務攻擊。要發動這類攻擊,駭客需了解如何在特定裝置上執行程式碼,而這通常不太可能或者不太可行,因此這應屬於不可能的情況。


圖 1:駭客控制了穿戴式裝置。

App 層次的攻擊

穿戴式裝置另一個可能的攻擊管道是 App 層次的攻擊以及攔截上傳到雲端的資料。這類攻擊可讓歹徒達到下列目的:

  • 監聽本地端 App 程式所發送的資料。
  • 竊取行動裝置上儲存的資料。

繼續閱讀

【 IoT 物聯網新趨勢】穿戴式裝置攻擊:從資訊安全人員角度思考

趨勢科技 TrendMicro

就在蘋果 (Apple) 發表了 Apple Watch 之後,「穿戴式裝置」又再度成為新聞話題。

最新的 Apple Watch 在便利性和連線能力上帶來了諸多創新。有別於其他智慧型手錶,這些手錶有些甚至看來非常有型。

IOE 智慧型手錶 applewatch

然而,Apple Watch 也引發了各種隱私權和資訊安全的問題。尤其是 Apple Watch 新的健康追蹤功能讓人們對這類敏感資訊安全性感到質疑。

對於資訊安全人員來說,安全不僅關乎行為,還關乎思維。趨勢科技研究人員David Sancho 最近剛發表了三篇有關穿戴式裝置的一系列文章,這些文章可協助您從資訊安全人員的角度來看待這些裝置。

這些文章能讓您對穿戴式裝置所有潛在威脅有一番全面認識,而非僅限於 Apple Watch 而已。

隨著穿戴式裝置逐漸成為一股新興科技潮流,您不僅必須了解個別穿戴式裝置所牽涉的問題,還要具備自行判斷的能力。

此系列文章能幫助您從資訊安全的角度、而非單純的使用者觀點來看待穿戴式裝置。

請花一點時間來閱讀 David 的這三篇短文:

ioe4

◎原文出處:https://blog.trendmicro.com/attacking-wearables-thinking-like-security-person/

《APT 攻擊》最安全的地方也是最危險的地方

趨勢科技 TrendMicro

IT管理員需要牢牢記住,漏洞如果不加以解決,那麼不管它已經被發現多久,都還是會對網路造成威脅。

能夠適應變化是今日處理資安問題最重要的能力之一,因為APT攻擊(Advanced Persistent Threat, APT) /目標攻擊也都會如此做。當前威脅的複雜程度可以從它們針對目標環境弱點來加以調整的能力中看出。

《APT 攻擊》最安全的地方也是最危險的地方

在這篇文章中,我們會從攻擊者的角度來看網路 – 通過它們的弱點 – 並將其轉變成IT管理員該如何保護網路的指南。

人是最弱的環節

人們面對外界的刺激時總是脆弱的,尤其是那些可以引發強烈情緒的刺激。這也是為什麼社交工程(social engineering )總會是攻擊的一部分 – 有許多技巧可以用,而且非常的有效。正視人們總是會落入社交工程攻擊陷阱這假設對IT管理員來說很重要,因為它是真的。設計網路安全時需要將此考慮在內,不管員工會如何。IT管理員可以:

  1. 進行網路設定時不只是要阻止攻擊者進入網路,而且要防止從網路帶走資料。如果這樣做,即使攻擊者可以取得對網路中電腦的控制,要帶走任何竊取的資料都將會很困難。一個妥善管理的防火牆和網路存取控制將大大有助於實現這一目標。威脅情報在這裡也可以扮演重要的角色,如被攻擊用作C&C伺服器的IP位址。
  1. 根據系統所需的安全層級來切割網路。關鍵系統需要跟「一般」系統隔離開來,不管是實體或是它們所連接的網路區段。

然而,除此之外,員工教育仍然非常重要,需要定期進行。

 

最安全的地方也是最危險的地方

網路內哪怕是最小的安全漏洞都會導致嚴重的入侵問題。攻擊者也知道這一點,所以IT管理員也必須要牢記在心裡。網路應該進行定期的稽核,確保所有地方都正確地防護好。

例如,IT管理員可能沒有想到自己也會是潛在的目標,或網路內的某些設備也可能是感染點,像是網路印表機甚或是路由器

網站管理員也一樣。攻擊者可能不會直接攻破具備高度安全的網站,如銀行網站,而會轉去攻擊同一DMZ區中的其他網站,入侵之後再利用信任關係來對銀行網站進行跨頻道攻擊。

人們使用弱密碼

密碼管理對大多數使用者來說是項挑戰並不是個秘密,所以假設網路內的所有成員都有安全的密碼並不實際。在假設使用者會用不安全密碼的前提下防護網路就需要實施雙因子身份認證甚或生物特徵辨識技術等其他身份驗證措施。

網路內存在著幽靈機器

所有的網路都會有幽靈機器。這些機器不會出現在網路拓樸圖上,卻連接著網路。這可能包括了員工的個人設備、外包廠商的設備或應該退休卻還沒有的機器。攻擊者會去利用這些機器,因為它們可以同時提供對網路的存取和隱密性。 繼續閱讀

【CloudSec會後報導】新世代資安問題 資訊長的面對與處理

趨勢科技 TrendMicro

現代的資訊長(CIO)不再僅僅是企業背後的推手,現在更是要站到第一線,為企業未來的發展從IT的角度來進行規劃。因此,資訊長們所負責的工作,逐漸的已經由「桌子下的工作」轉變成「桌子上的工作」。因此,在當前商業競爭激烈的環境下,各產業的資訊長們如何架構整體資訊環境,並且妥善建立資訊安全的規範與執行內容,就成為當前企業發展中最為人所關注的重點。

由資訊安全大廠趨勢科技所舉辦的CLOUDSEC 2014 「產業CIO面對面論壇」中,包括來自台達電子的資深顧問柯淑芬、信義房屋資訊長蔡祈岩、彰化銀行資訊處處長曾芳明,與趨勢科技台灣暨香港區總經理洪偉淦齊就資訊架構與資安的未來願景分享相關經驗與看法左起:台達電子的資深顧問柯淑芬、趨勢科技台灣暨香港區總經理洪偉 淦、信義房屋資訊長蔡祈岩、彰化銀行資訊處處長曾芳明。

【產業特性影響企業資訊架構】

在由資訊安全大廠趨勢科技所舉辦的CLOUDSEC 2014 「產業CIO面對面論壇」中,包括來自台達電子的資深顧問柯淑芬、信義房屋資訊長蔡祈岩、彰化銀行資訊處處長曾芳明,與趨勢科技台灣暨香港區總經理洪偉淦齊就資訊架構與資安的未來願景分享相關經驗與看法。主持人洪偉淦表示,在台灣各產業由於特性上的不同,對於相關資訊與資安架構的處理也有所不同。以電子製造業的台達電來說,研發流程中包含眾多專利技術,此階段中資訊架構部屬與資訊安全格外重要。

至於信義房屋是極端服務導向的企業,業務在外隨時要能夠透過資訊系統提供客戶貼心服務,因此個人行動裝置(BYOD)又是另一個關鍵。而金融業則是高度重視客戶隱私安全,並依循法規規定。就彰化銀行來說,整體資訊系統的發展主軸,就是「安全」兩個字。而且盡可能地降低風險,並兼顧服務客戶與資訊安全,是極大挑戰。

而在面對眾多的挑戰下,各產業的IT架構建置的現況為何?台達電子資深顧問柯淑芬指出,台達電考量研發與測試上的需求,已經完成企業內部的私有雲建置。在私有雲上,面臨Computer Power需求量日漸成長,亦著手建立虛擬機器環境。為使相關人員提出需求時,直接申請並大幅縮短時間。在信義房屋方面,蔡祈岩表示,現在內部觀念已經過渡”為何要”,進入”如何做”私有雲才是重點。至於如何做,蔡祈岩認為雲端應用是「端帶動雲」,因此所有的雲建設都要跟著端跑。目前,包括前端的客服網站與客戶管理系統等,均已上雲端。

信義房屋近期正發展建築事業,透過雲端應用來達到智能家庭的作法也是規劃的重點。蔡祈岩指出,智能家庭必須有與社區活動結合的必須性,透過雲端來建立智能家庭機制實為關鍵。最後,在注重各戶隱私的金融業方面,彰化銀行資訊處處長曾芳明指出,過去的「多一事,不如少一事」,不建雲端便無風險。但是金融業裡存在封閉的Mainframe架構為主,等同私有雲模式。不過近年來開始內部有私有雲建置,僅限於主管使用批核系統、電子郵件等應用為主。

 【資訊安全為資訊架構首要關鍵】

企業架設雲端運用後,如何防止資安問題,彰化銀行資訊處處長曾芳明表示,因為金融業高度法規遵循,因此未來資安架構規劃包括三方面 : 一是法令的遵守與研究,透過銀行公會的電子化委員會提供協助。其次是制度建立,包括彰銀今年要推行ISO27001 2013年改版,以及BS1001系統與全行認證等。最後就是在於執行層面的工程,包括透過顧問服務與資訊廠商的安全漏洞模擬攻擊等,可為增進資安防護。

至於BYOD使用狀況,以彰化銀行來說,總行內是完全限制員工攜帶行動化裝置上班。主管則由公司配發行動裝置進行公文批示、授信審核等作業,曾芳明是強調資料不落地的觀念。也就是資料只能閱讀,卻不能進行修改與下載的功能,層層保護以維護資料的正確性與安全性。相對於較為封閉的金融業,以服務為主的信義房屋對資安有不同的思維。

信義房屋蔡祈岩指出,目前全面正進行資安管理升級。三大重點,包括已完成的資料外洩風險控管,以及行動裝置資安管理等兩大項。蔡祈岩進一步表示,資料外洩雖然有個資法與營業秘密法的規範,仍待落實執行。行動裝置管理方面,因為行動裝置都是員工個人所有,如何取得資安管理與個人隱私處理間的平衡,是其中的重點。最後一項,社群網站上的個資問題,不論是截圖或傳送資料上網,通常會造成企業極大的傷害。未來一年內的管理方式,目前尚在設法中。

【如何包容與管理行動化裝置】

蔡祈岩再回過頭來談行動裝置,對於信義房屋內部所帶來的衝擊與影響時指出,過去員工對於電腦運算能力都是企業在內部賦予的,BYOD風潮當下,員工自給自足運算能力。所以,企業資訊長們現在該思考的不是如何去限制或管理員工使用自己的行動裝置,而是考量現行IT架構是否具備足夠包容性,廣泛地將其納入企業資訊架構中。思考IT治理過程,而非只是一昧地管制新科技在企業內使用。 繼續閱讀

《 IoT 物聯網安全趨勢 》採購智慧型裝置該注意些什麼?

趨勢科技 TrendMicro

消費者採購家用智慧型裝置時應注意的安全考量
家庭智慧化一文中,我們討論了未來可能影響全球家用智慧型裝置普及化的因素。隨著居家環境越來越智慧化,新的安全挑戰也逐漸形成。過去一年,我們看到針對家用智慧型裝置,如嬰兒監視攝影機、電視、無線交換器、電燈等等的攻擊不斷持續增加。

有鑑於我們對智慧型裝置的多年研究,我們覺得有必要為考慮採購家用智慧型裝置的消費者提供一些安全原則。

消費者應熟悉我們以下討論的幾項選購條件,此外,我們也認為智慧型裝置製造商應該更注重裝置的預設安全性。

延伸閱讀:看看萬物聯網 (Internet of Everything) 如何讓生活更便利

  1. 範圍
  2. 選購條件
  3. 使用者名稱和密碼的考量
  4. 更新方便性
  5. 加密
  6. 開放的連接埠
  7. 電力需求
  8. 漏洞
  9. 結論

本文將針對目前及未來短期之內消費者可能採購的家用智慧型裝置探討其安全原則與選購條件。此外,我們主要探討美國境內所能買到的智慧型裝置。

請注意,這些安全原則只是智慧型裝置採購時所應考慮的其中一環,除此之外,消費者還應該考量居家裝置管理員 (Administrator of Things,或簡稱 AoT) 每天或每週花在裝置安全及確保裝置正常運作所需的時間和精力,其中包括更新韌體、找出故障裝置、重新連線和連接裝置、更換電池、檢查連線、診斷技術問題、重新設定存取權限、更新裝置控制 App 程式等等,這些工作並非一般人所能勝任。

本文的「智慧型裝置」一詞涵蓋範圍如下:

  • 傳統資訊安全領域以外的消費型裝置,因此本文不會討論 PC、平板或智慧型手機。
  • 具備充分運算能力可獨立彈性運作、且運作時可直接或間接連上網際網路的裝置。
  • 主要用於居家環境,而非穿戴式裝置或智慧型汽車之類非以家用為主的裝置。家用智慧型裝置的範例包括:家電 (如智慧型洗碗機、智慧型冰箱)、視聽設備 (如智慧型電視、影音接收器、電玩遊戲主機、智慧型喇叭)、保全與管理裝置 (如智慧型集線器、感應器)、能源計量表等等。

以下是身為消費者的您在選購家用智慧型裝置時所應考量的安全條件。

選購條件

使用者名稱和密碼的考量

問:智慧型裝置是否具備安全認證功能?
例如,智慧型裝置是否需要輸入使用者名稱和密碼才能存取?許多智慧型裝置完全不具備安全認證功能。設計良好的智慧型裝置應具備某種認證功能來讓擁有者管制存取權限。

有些智慧型裝置製造商的產品不具備任何認證功能,而是靠其他方法來管制存取權限。某些廠商甚至假設您的家用 Wi-Fi 網路應提供這方面的功能。不幸的是,這讓智慧型裝置非常容易遭到攻擊,因為,任何能夠連上您家用 Wi-Fi 網路的人都能輕易攔截、監聽或攻擊這些裝置。

問:智慧型裝置在首次安裝時是否會要求您變更使用者名稱和密碼?
設計良好的智慧型裝置在第一次安裝時會要求您修改預設的登入帳號和密碼。修改預設的帳號和密碼可防止駭客利用公開的預設使用者名稱和密碼來登入您的裝置。

當家用智慧型裝置首次安裝時,您通常需要將它連上網際網路來確認它是否正常運作,包括檢查其主要功能和管理功能,例如更新韌體。不幸的是,當裝置第一次安裝時 (或者是裝置重設時),裝置預設的密碼通常都很簡單。智慧型裝置常見的預設使用者名稱是「admin」,而預設密碼通常為空白,有時密碼會和使用者名稱相同。

延伸閱讀:密碼安全性:如何強化密碼來提升安全性

Shodan 搜尋引擎是一個今日連網智慧型裝置的超大型目錄,從它就能看出預設密碼的威脅有多大。透過這個搜尋引擎來搜尋您連線的裝置,就能迅速了解此普遍存在問題。就在去年,一家名為 Foscam 的 IP 攝影機製造商發現其裝置的預設帳號密碼讓客戶暴露在潛在的網路監聽威脅當中,從那時起,至今已發生多起利用該漏洞的知名監聽事件。雖然 Foscam 宣稱已修復此問題,但其最大挑戰在於讓所有客戶都套用修補程式。目前仍有許多其他裝置製造商仍在使用預設的帳號密碼。

一旦裝置完成首次部署並上線運作之後,除非發生技術性問題,否則裝置可能很長一段時間之內都不會再重新設定。因此,預設的帳號密碼,加上首次設定時未強迫使用者變更密碼,您可想像這些裝置的安全性有多麼堪慮,這正是為何在首次部署時即修改帳號密碼非常重要。

若要了解您考慮購買的裝置是否存在這方面的問題,您可試試下列步驟:

  1. 留意一下您打算購買的裝置預設帳號密碼,查詢一些專門提供智慧型裝置預設使用者名稱和密碼的網站,例如:IPVM就是一個專門提供 IP 攝影機預設帳號和密碼的網站。
  2. 前往裝置製造商的官方網站,查看其裝置使用說明書即可知道裝置的預設使用者名稱和密碼。
  3. 在 Google 上搜尋「default password for 裝置 品牌 型號」或者「password reset 裝置 品牌 型號」。

 

問:我的密碼強度如何?
確定您的密碼無法輕易猜出。好的密碼應該使用複雜的字母、數字、標點及符號的組合。其長度至少要 8 個字元,而且應同時包含大寫和小寫字母。此外,也要避免重複使用同一密碼,或者在不同裝置上使用相同的密碼。

更新方便性

問:智慧型裝置更新方便性如何?
裝置會自動更新嗎?您的裝置會通知您應該更新嗎?更新裝置會很複雜嗎?裝置更新可以讓智慧型裝置運作起來順暢又安全,但接收更新的方式可能是一項挑戰。在今日,裝置更新既是廠商的責任、也是消費者的責任。您必須考量更新的程序對您的影響,包括更新的複雜性以及所需的時間。

當廠商在生產智慧型裝置時,他們通常會在裝置中內建韌體更新功能,所謂的「韌體」就是讓裝置運作的作業系統和資料。

傳統上,大多數智慧型裝置的設計都是靠消費者手動更新或修補裝置。然而,對一般人來說,光是要記住如何在網路上找到某個智慧型裝置、如何使用瀏覽器和主機位址,或者如何使用更新功能本身,都可能是一項極大挑戰。所以一般的情況是,智慧型裝置在初次安裝之後,其韌體好長一段時間都不會更新。因為,真的是太不方便了。

不但如此,就算裝置在初次安裝時便已更新到最新狀態,廠商還是可能會再釋出裝置更新,但卻不會通知消費者。導致使用者的裝置過期而未更新。

想像一下,未來家用智慧型裝置很快將成為一種常態,到時候隨時保持裝置的更新將更加重要。身為消費者,您該想想是否要每天自行手動更新家中的每一台裝置。這是個難題,甚至可能成為未來影響居家安全最大的網路安全風險。

智慧型裝置廠商可透過下列方法來減輕裝置管理的問題: 繼續閱讀