標籤: 物聯網（IoT）

雖然穿戴式技術可能是物聯網（IoT ,Internet of Things）最為人所知的項目，但最被廣泛使用的可能是智慧型電表（包括水表、瓦斯表等）。

智慧型電表到底是什麼？它是公用事業（電力、煤氣或水）的記錄器，記錄這些公用事業的消費量，並將其透過某種形式來雙向跟供應商溝通。（包括使用無線網路、電力網或用戶自己的網路服務連線。）不只是簡單的住家監控，智慧型電表可以收集資料作為遠端公用事業報表之用。

單單一個智慧型電表的用途有限。但如果大多數電表都是「智慧型」，就會對公用事業產生較大的效益。有了大規模智慧型電表所提供的額外資訊，公用事業可以根據需要來調整服務，以提升服務的效率、可靠性、成本效益和持續性。

部署和使用方法 

有些人可能會認為智慧型電表只是種理論。然而，它們已經在某些國家廣泛使用，可以想見在未來幾年內會變得更加普遍。

讓我談談我所知道的世界 –歐洲。比方說之前義大利的電力獨佔企業 – 義大利國家電力公司（Enel）已經推出智慧型電表給它幾乎所有的3600萬個客戶。此外，義大利國家電力公司已經部署稱為Telegestore的遠端管理系統，讓公用事業公司能夠透過智慧型電表來採取動作，不然就需要進行實地訪問。3.3億次電表讀取和超過一百萬次的其他遠端操作，讓一切對客戶和義大利國家電力公司來說都更加容易。義大利國家電力公司還擁有西班牙公用事業公司Endesa公司的92％股份，並且推出同類產品到市場中。

義大利和西班牙並不是唯一帶頭採用智慧型電表的歐洲國家。其他被歐盟認定為智慧型電表「動態推動者」的國家包括愛沙尼亞、芬蘭、法國、愛爾蘭、馬爾他、荷蘭、挪威、葡萄牙、瑞典和英國。這些國家裡的監管機構和公用事業都會做出必要動作來對推動採用智慧型電表。

技術標準與風險 

有多個產業團體和協定正在推動智慧型電表技術。這也相當程度地反映出智慧型電表有多種部署和使用方式：不同的應用可能需要不同的技術。然而這也代表智慧型電表使用種類廣泛的技術標準。

其他類似的利基設備 – 如住家自動化設備和連網路由器 – 都已被證明有嚴重的安全問題。電燈開關有漏洞是一回事。但公用事業電表和控制有漏洞就是另外一回事了。智慧型電表和智慧型電網還沒有對潛在性安全隱患做過完整的測試和審查；我們必須要考慮到當這些設備出現漏洞時會產生什麼可能的狀況 – 因為這是必然會發生的。

下面的影片介紹了些可能的情景。在未來的部落格文章裡，我們會探討其中一些場景的細節和討論可能導致這些問題的情況。

繼續閱讀

在本文的上篇當中，我們詳述了物聯網（IoT ,Internet of Things）所牽涉到的裝置、技術與流程，並提到這些裝置如何可能遭到攻擊。廣泛來說，IoE 涵蓋了各種以 IP 連網的端點裝置，將網際網路的觸角延伸至傳統 PC、智慧型手機與平板的範圍之外。

物聯網受到科技大廠的再度青睞
表面上，IoT看起來只是一種把戲，最常讓人聯想到就是生化機器人的抬頭顯示器、連網牙刷以及可追蹤使用者步伐和睡眠習慣的手環。然而這樣的刻板印象卻掩蓋了IoT在改善內容及服務供應方式的潛力。Salesforce.com 的 JP Rangaswami 指出 IoE 將是一套減少浪費並消除效率瓶頸的系統，涵蓋商業供應鏈到日常大眾運輸流程。

點小圖看大圖

以下是幾個登上媒體頭條版面的最新IoT 消息，並且點出了連網基礎架構的普及能帶來什麼樣的應用：

• Apple 在其即將來臨的 Worldwide Developers Conference 全球開發者大會上有可能展示一套可讓使用者操控居家物品的最新平台。基本上就是將 iOS 裝置變成一個萬用遙控器，遙控保全系統、照明以及其他家電。
• 而今年稍早才併購恆溫控制與煙霧感應器製造商 Nest 的 Google，現在可能又打算併購 Dropcam 這家居家監控攝影服務廠商。
• Samsung 早已在測試 IoT水溫，推出 Galaxy Gear 智慧型手錶與 Galaxy Fit 健康手環，兩者都搭上了穿戴式科技與健身監測的最新潮流。

有了全球最大科技廠商在背後支持，IoT  應該將安全與隱私權列為第一要務。IoT  提供了改造與提升網際網路的全新契機，然而 Dropcam 之類的技術卻帶來了令人不安的可能發展，例如居家監視攝影系統可能遭到挾持。

事實上，正在崛起的 IoT  已經發生多起遭到攻擊的案例，包括一起名為「Moon Worm」(月蟲) 的 路由器漏洞攻擊。所有相關人員都應在基礎架構變得更先進、相關攻擊變得更複雜之前，從這些事件當中記取教訓。

《Wired》引述 REX 智庫創辦人 Jerry Michalski 的話表示：「大多數暴露在網際網路上的裝置都有可能被駭。而且還可能出現非預期的結果：它們可能被用於一些原設計之外的用途，而且大多不是好事。」

從 Moon Worm 和其他攻擊記取 IoE 安全的教訓
網路安全產業只要看看 Moon Worm 和幾個類似的惡意攻擊行動，就能知道 IoT  安全已經是現在式，而非未來的情景。以下是近年來最知名的一些 IoT  安全相關事件：

• 2014 年 2 月，Moon Worm 現身，專門攻擊特定型號的 Linksys 路由器，橫行全球。該攻擊會利用一個可跳過驗證機制的漏洞，甚至還具備自我複製能力。廠商建議使用者最好更新到最新的韌體版本，並且停用遠端管理功能以策安全。
• 今年四月，一群駭客利用惡意程式取得了保全系統監視錄影機 (DVR) 的控制權。除此之外，他們也會將受感染的端點裝置用於開採比特幣 (Bitcoin)。開採比特幣是一項非常耗費 CPU 資源的作業，也就是說，受感染的裝置將變得非常緩慢。能夠掌控 IoT 對歹徒來說是一項強大的誘因，所以才會不辭辛苦地運用監視攝影機內低功耗的 ARM 處理器來執行開採比特幣這類吃重的運算工作。
• 國際電動車大廠 Tesla 生產了許多搭載觸控螢幕介面與整合式行動電話網路的尖端電動車。可預期的，由於這項功能需仰賴網路與軟體，網路安全將成為該公司未來必須解決的一項問題。跟據《Ars Technica》報導，直到最近，Tesla 的車主都只需設定一個六個字元的密碼，其中至少必須包含一個字母和一個數字，這使得這些帳號很容易遭到暴力破解攻擊。此外，針對 Tesla 設計的第三方 App 程式也可能導致車主的帳號密碼外洩。

在 2014 年 5 月的一項研討會上，Moon Worm 與IoT  安全成為討論的焦點，身為研究學者的 In-Q-Tel 資訊安全長 Dan Geer 指出，IoT  的最基本的一項弱點就是有太多裝置的軟體都已過時。駭客可輕易地攻擊未修補的韌體與作業系統漏洞，就能取得 IoT 裝置的掌控權，從監視攝影機到網路通訊設備等等。 繼續閱讀