您知道您身邊有多少裝置會連上網際網路嗎?或許,您也有一台電視可以上網串流電視節目和電影,或是一台語音啟動的桌面喇叭可撥打電話,甚至有一台內建虛擬實境技術的家用電玩主機,這些都是物聯網(IoT ,Internet of Thing)的一環。事實上,除了其他產業之外,IoT 也為媒體和娛樂產業帶來了革命性改變,尤其是家庭娛樂的改變。
現在,藉由 IoT 的威力,家庭娛樂不僅個人化,而且比以往更加便利。其精密的感測器能強化裝置聆聽、偵測、接收語音指令並感應環境的能力,使用者即使身在客廳,也能享受更身歷其境、更互動的媒體內容。這是一項令人樂見的發展,尤其當大多數人都只能待在家中無法外出,媒體娛樂更是最佳、也是唯一能做的事。
正因這些家庭娛樂 IoT 裝置已成為我們生活的一部分,因此使用者更不應該被這些裝置可能帶來的風險所干擾。例如,萬一讓駭客入侵了這些裝置,駭客就能竊取各種機敏資訊、感染網路上的其他裝置,或是使用裝置上的感測器來監控家庭活動。所以,使用者務必要好好保護他們的 IoT 環境,才能安心享受這些裝置所帶來的效益。
隨著連網汽車變得更加普及,其背後的技術將不斷進步並帶來各種效益。但就像任何技術一樣,這項全新技術也並非全無風險。在這份報告中,我們新增了大量來自去年的研究資料,進一步探討各種可能危害連網汽車的威脅。以下簡單介紹連網汽車各項相關的技術及概念 (5G、雲端、車隊管理及傳統 IT 領域) 將為連網汽車帶來什麼樣的好處以及潛在的威脅。
談到連網汽車與 5G 技術,就不能不談 5G 如何讓車輛經由「蜂巢式車聯網」(Cellular Vehicle to Everything,簡稱 C-V2X) 與周遭環境互動。儘管 C-V2X 原本在 4G 連網汽車上就能運作,但邁入 5G 之後,C-V2X 才真正開始成熟。而 C-V2X 的設計就是要讓 5G 連網汽車融入周遭環境當中,對周遭事件做出反應。
以下是車輛經由 C-V2X 與周遭環境通訊的幾種情況:
繼續閱讀
物聯網(IoT ,Internet of Thing)改變了許多產業的運作方式,也改變了人們執行日常工作的方式。今日的智慧型裝置讓使用者能夠更方便地處理各種工作和差事。連結使用者、智慧型裝置和網路的應用程式透過觸摸或命令,改變使用者掌控工作、娛樂、教育和個人必需等不同系統和功能的方式。
在家工作(Work-From-Home,WFH)的轉變也讓使用者更加依賴物聯網技術所帶來的便利,進而讓物聯網應用程式的開發、部署及用於「非接觸式」目的的使用大幅增加。當人們在家工作時,筆記型電腦和智慧型手機等商務裝置與物聯網裝置連接在相同的空間和網路中。跟辦公室比起來,家庭網路和裝置不太可能擁有同等級的多層次安全防護,更多的進入點可能會侵害使用者和企業的安全性,讓他們的資料遭受威脅。不斷尋找可利用威脅載體的網路犯罪分子正在尋找新漏洞,如裝置或應用程式漏洞、儲存裝置不當設定、網路流量交換及程式開發漏洞等安全間隙。
[延伸閱讀:日常生活中所暗藏的 IoT 威脅風險]
本文討論我們對 Mirai 和 Bashlite 等殭屍網路幕後操縱 (C&C) 伺服器長期監控所蒐集來的資料,也說明這樣的資料如何用來提升 IoT 裝置防護。
趨勢科技在 2020 上半年資安總評報告中指出,2020 上半年,針對裝置與路由器的對內攻擊較 2019 下半年成長了 70%。這項資料也包含針對物聯網(IoT ,Internet of Thing)裝置的攻擊,這類攻擊目前已普遍到相當令人憂心。
為了保護客戶,趨勢科技一直都在監控 IoT 攻擊的發展趨勢,我們也在這份報告當中分析了 Mirai 和 Bashlite (也就是 Qbot) 這兩個最惡名昭彰的 IoT 殭屍網路。本文摘要說明這兩個殭屍網路 C&C 伺服器、IP 位址與 C&C 指令的一些相關數據。然後再針對 Mirai 探討它最常使用的攻擊手法與其變種的分布情況。
我們一直在對 Mirai 與 Bashlite 的 C&C 伺服器進行長期監控,其中,IP 位址與連接埠的資料是取自於相關惡意程式樣本的分析,這些樣本一方面來自於我們內部的資料庫,另一方面來自公開來源,例如 Twitter 貼文。本文的資料蒐集時間為 2019 年 1 月 1 日至 2020 年 8 月 31 日。如同其他蒐集到的資料一樣,我們會運用這些監控資料來提升我們的防護產品與解決方案。
表 1 顯示我們在前述期間所發現的 C&C 伺服器,我們蒐集到 7,030 個 Mirai 的 C&C 伺服器位址以及 5,010 個 Bashlite 的位址。絕大多數伺服器目前都應該已經「死了」或者不在活躍狀態。換句話說,在我們發現的時候,它們已經不接受任何連線了。不過,剩下的伺服器 (Mirai 有 2,951 個,Bashlite 有 1,746 個) 仍在運作或活躍當中。我們也觀察到,至少有 2,107 個 Mirai 伺服器與 1,715 個 Bashlite 伺服器曾經發送分散式阻斷服務 (DDoS) 攻擊指令給被感染的用戶端。圖 1 顯示有多少 C&C 伺服器在被發現當時還接受連線。
繼續閱讀經過七個月整備與測試運行,「台北市信義路公車專用道自駕巴士創新實驗計畫」現進入第三階段測試。9 月 30 日起開放 5G 自駕巴士線上預約免費試乘,於信義路全線 6 路段體驗次世代 5G 交通運輸服務。
本文作者趨勢科技資深威脅研究員 Philippe 分享體驗心得,並提出安全性見解。
你是否覺得自動駕駛公車行駛在智慧城市中的場景只會出現在想像中的未來世界?或是覺得聯網汽車所面臨的惡意威脅仍是個遙遠的問題,只有特斯拉車主和研究人員才需要擔心?事實上,這個未來比你所想像的要近得多。
自動駕駛公車現在正在台北市的馬路上進行測試。台灣的自動駕駛公車在五月時首次上路,當時並沒有乘客。這輛公車從2020年十月至2021年二月正式進入下一階段的試運行,提供給民眾和外國遊客乘坐。我在前不久坐上了這輛公車,不過在分享乘客體驗之前,先讓我介紹一下這輛公車的設計。
這輛電動公車由Turing Drive設計和運作,搭配了高精度地圖、GNSS(全球導航衛星系統)接收器、光學雷達(光線偵測和測距)感應器、攝影機和雷達。為了提高行駛安全,InVignal會將即時交通號誌狀態資訊傳送到公車。還配備了兩套V2X(車聯網)路側裝置來提醒公車可能的碰撞。作為多一層的預防措施並確保公共安全,公車的最高時速限制為每小時20公里。雖然這些裝置可以讓公車自動駕駛,但車上還是有兩名服務人員:司機(公車是自動駕駛,不是無人駕駛)負責在出現任何錯誤時接手,另一名觀察員負責記錄每次行駛過程可能出現的特殊事件。
這輛公車每天半夜12:30至凌晨2:30(0:30至2:30)都會在公車專用道上行駛12.3公里的路程。儘管非尖峰時間,但我還是要等7天才能免費試乘,因為有很多人也想體驗這輛自動駕駛公車。
當我的乘車日終於到來時,我跟其他乘客一起等待公車停靠在指定站點。從影片裡可以看到司機不需要握住方向盤,公車就可以安全地到站。我觀察了一下公車如何慢慢進站。
公車行至站點時很慢。
上車前,觀察員掃描了我的QR碼。根據Turing Drive表示,當公車全面投入使用時,手動QR掃描系統會被另一套自動識別系統取代。觀察員也會取消,因為他們只用於監督試運行。
進入車內後,首先注意到的是大螢幕,該螢幕顯示著光學雷達、雷達和攝影機所收集的即時參數,以及用白線顯示的高精度地圖。
公車所搭載的是Linux系統,透過CAN(控制器區域網路)Bus進行控制。GPU(圖形處理器)計算並決定何時加速和煞車。這套系統在大部分情況下都能正常運作。但當我們接近紅綠燈時,司機必須手動控制,因為通訊系統在我們剩下的路線顯示都是紅燈。駛過紅綠燈後,司機會切回自動駕駛。他開玩笑地說,我們很幸運,因為系統在我們這趟前已經正常運行了很長時間。
整體而言,公車的加速很順暢,在大部分為直線的公車道上行駛也沒有問題。煞車系統也比較平穩,但我仍然可以聽到汽油泵(或某種洩壓閥)短而淺的煞車聲。由於已經是半夜,所以路上大部分時候都只有我們。沒有其他汽車、行人甚至流浪動物穿越車道來真正測試自動煞車系統。對乘客來說,最難受的是路面顛簸,因為車速慢,所以顛簸更為明顯。
儘管有速度限制,但公車只用了約15分鐘即安全地抵達下一個車站。所有乘客都獲得一張公車票作為紀念。除了紅綠燈的小插曲外,我自己的體驗很順利。當我進一步研究時發現並非總是如此,有幾回公車在感應到相鄰車道上的車輛後突然剎車。
測試期就是為了檢查此類問題,未來我們一定會看到改善。Turing Drive表示,他們在第二天就解決了紅綠燈通訊問題。
現在公車只在非高峰時段行駛。真正的挑戰是在平日交通繁忙,且有行人過馬路的時間來測試公車。我期待著下一次的乘坐,以及有一天可以白天在路上看到它。
以下是我在公車上拍的一些照片,可以看出它的一些設計和我的紀念車票。
其他地方也有自駕公車的運行。像是德國漢堡的自動駕駛公車正進入從2019年開始的第二階段試運行,這代表著它也將開始載客。在日本北九州,一輛中型自動駕駛公車將於10月至11月進行測試。而加拿大多倫多則將於2021年開始用交通車進行類似測試。無庸置疑,有更多國家有著類似的計畫,各自處在不同的發展階段。
對自動駕駛公車來說,能夠獨立在馬路上行駛並安全地將乘客帶到目的地是件了不起的展示。但試運行是為了找出需要改進的地方。也讓我們獲得對系統的安全性見解。
我們對聯網汽車防禦方案的研究發現,因為這是個相對較新的未知領域,因此危險也是未知,大多只屬於猜測。即使公車仍處於測試階段,但它已經上路的事實可能會將預期的威脅拉至現在。
聯網車輛所面臨的威脅涉及一些讓它們能夠自動駕駛並從周圍環境收集資料的機制。例如有許多研究集中在CAN Bus元件及其傳輸惡意訊息的可能性上。駭客還可以利用公車作業系統的潛在漏洞來入侵系統,濫用預設系統設定,干擾無線傳輸或進行中間人(MitM)無線資料傳輸。
值得慶幸的是,現在仍有時間讓聯網車輛做好上路準備,並能抵禦網路威脅。製造商和開發人員可以現在就將安全性內建到將來會被用在各類智慧汽車(如這些自動駕駛公車)的聯網技術中。現在,讓我們分享通用的安全建議:
⨀原文出處:A Ride on Taiwan’s Self-Driving Bus 作者:Philippe Z Lin
⨀延伸閱讀