物聯網（IoT） - 資安趨勢部落格

【 IoT 物聯網新趨勢】 GasPot整合入Conpot，貢獻給開放原始碼的工業控制系統研究

2015 年 11 月 12 日2016 年 01 月 25 日趨勢科技 TrendMicro

在今年8月，趨勢科技在Blackhat分享了我們的報告 – GasPot實驗：油槽監控系統有未經控管的危險。GasPot是設計來模擬Guardian AST油槽監控系統的蜜罐系統。它的設計和現有的蜜罐系統大不相同，每一套都很獨特，讓攻擊者無法使用特徵碼辨識。這些系統被佈署到不同國家的網路，讓我們可以完整地瞭解油槽監控系統所面臨的攻擊。

這讓我們得以發現跟伊朗和敘利亞電子軍相關的攻擊者去刺探自動化油槽系統的安全性。但是GasPot是個研究工具，並非完全成熟的蜜罐系統。我們最近知道有名的工業控制系統（ICS）蜜罐系統Conpot（屬於非營利研究組織Honeynet Project的一個專案）加入GasPot的程式碼讓Conpot也可以模擬成加油站蜜罐系統。這實際上是將GasPot納入了Conpot。

這是一件好事。因為Conpot專案有較大的開發群來維持和改善此專案。我們之前希望提高人們對此問題的重視；我們已經成功地達到此一目標。雖然我們還是對部分Conpot實作有點意見（例如：GasPot會使用隨機加油站名稱，而Conpot不是），但總地來說，這有助於各地的研究者對ICS威脅有更好的了解。Conpot是個比較成熟的專案，整合GasPot功能會讓它變得更好。例如，已經為Conpot建立一個接口這些監控系統的管理模組– 這並不存在於我們原本的GasPot。

我們對於其他自動化系統漏洞的研究仍然在繼續，但關於自動化油槽的研究已經結束。我們會在適當的時間提供關於我們研究的最新狀態。我們希望其他的研究結果在之後也會用自己的方式進入Conpot。

＠原文出處：GasPot Integrated Into Conpot, Contributing to Open Source ICS Research作者：Stephen Hilt（資深威脅研究員）

30 年後看電影「回到未來」的兩個科技預言

2015 年 10 月 21 日2016 年 01 月 26 日趨勢科技 TrendMicro

2015年10月21日被稱作「回到未來日」（Back to the Future Day），因為這天是1989年首映的經典科幻電影《回到未來續集》（Back to the Future Part II）裡，劇中人物穿越時空從1985年乘著時光車抵達「未來」的日子。

當這虛構的未來日子終於來臨時，不免想問：「片中的未來科技,那些已經成真？」今天從安全和隱私的角度來看這又代表什麼?

電影中有兩件事預測的相當準確：「智慧型住家」和使用生物識別技術

當馬帝發現自己身在2015年以後，他看到未來的自己和家人住在具備聲控功能和智慧型家電的房子裡。因為這房子位在破舊的社區中，意味著這樣的房子在2015年屬於「智慧型住家」的「低階」。

在現實中，電影中所出現的「智慧型住家」技術正開始要變得普及和可以使用。但我們也看到和了解到電影中所沒有表現的另一件事，就是將住家網路化可能會帶來多大的潛在危險。我們已經看到針對智慧型家電（像是冰箱）的攻擊，用它們來發送垃圾郵件(SPAM)，成為網路上受感染系統與設備這嚴重問題的一部分。

在1980年代，我們根本不知道「智慧型住家」可能會面臨什麼樣的風險；而在2015年我們開始看到這些風險的些許端倪，因為它才剛要開始成為現實。

【延伸閱讀】《IoT物聯網安全趨勢》高科技家庭越來越有智慧
 《IoT 物聯網安全趨勢》採購智慧型裝置該注意些什麼?

使用生物識別技術在今日也變得更加可行

當警方找到1985年的珍妮佛（馬帝的女朋友）昏迷在一條小巷裡，他們能夠用她的指紋識別她。因為2015年的珍妮佛仍然活著，所以大概有指紋建檔在警方資料中。繼續閱讀

未來學（FuTuRology）：醫療科技可能致殘?!

2015 年 10 月 06 日2016 年 01 月 26 日趨勢科技 TrendMicro

我們現在來看看未來科技水晶球內會出現什麼。這是「未來學（FuTuRology）」計畫的第三篇，來自趨勢科技前瞻性威脅研究（FTR）團隊預測熱門科技未來的部落格系列文章。

在前面的兩篇裡，我們介紹了我們對未來技術威脅環境的專案，並開始描繪醫療保健產業在未來幾年會變成什麼樣子。

第一部：一窺逼近熱門技術的威脅

第二部：穿戴式裝置和智慧型醫療設備，資料驅動醫療未來的零件

今天我們想要預測的是關於其他醫療科技在更遠的未來會帶給攻擊者什麼樣的機會或是對醫療使用者帶來什麼威脅。

3D掃描和列印

因為硬體一年比一年便宜也讓此項技術迅速地成為主流。到了某一天可能有辦法對四肢及身體剖面進行足夠精準的掃描，讓醫生可以3D列印個人化的義肢，從臨時用來打石膏到永久性治療的肢體更換。我們所談論的是大規模客製化仿生科技的誕生。我們在這一代看到了跟其他人在網路上分享私密照片所帶來的影響。如果3D掃描變得更加可行，掃描檔案會比今日的2D照片更被網路犯罪販子當作目標，用來進行敲詐勒索。

實驗室晶片（Lab-on-a-Chip）藥物

這令人興奮的領域在未來有出現更多酷東西嗎？被稱為「驚奇的縮小實驗室」或實驗室晶片（Lab-on-a-Chip）藥物如何？這些藥片或貼片可以自動提供所需的正確劑量。可能是利用來自外部感應器或雲端演算法診斷產生的身體參數。這病人看起來需要這個藥物10毫克？馬上就來！

我相信要判斷不同的藥物成分和劑量有其技術難度。一旦這些被克服，而這裝置上市了，攻擊者攔截那些藥物參數可能是會致命的。即使只是延遲給藥也可能夠糟糕的了。這可能成為未來的終極不付費就死的勒索軟體 Ransomware。阻斷醫療服務攻擊呢，是不是有可能？

智慧型服裝

我們不只是在說帶有健身感應器和各種噱頭的T恤（最近的確出現過類似的東西），而是可能會更廣泛地出現在未來的東西。外骨骼如何？不，我們不會很快就看到亞德曼金屬骨骼或是伸縮的爪子。我們所談論的是讓受損的身體可以活動的設備，因為有了伺服馬達（servo motor），可以幫助肌肉萎縮或癱瘓的人進行物理上的活動。有聽過嗎？這些已經被開發用在軍事用途上，有助於攜帶更多重量或在戰場上吸收更多衝擊力。隨著3D掃描和列印設備越來越進步也更加便宜，讓一般疾病也負擔得起的治療方式變得更加可能。運動愛好者，尤其是極限運動者，也可以用智慧型服裝作為護具。

機器人看護

說到機器人或安裝在身體上的外骨骼，我們可能很快就會看到更多的機器人看護。機器人當護理人員助理並非無法想像。醫療設備在本質上已經變得越來越自動化，因為所帶來的高效率可以讓投資充分回收。這將讓機器人手術應用在那些高度自動化的手術上變得更為可行，外科醫生可以給出確切指示而機器人可以準確的按照設定好的程式執行。這些已經被應用在某些領域上，隨著技術變得更加準確且更加便宜能夠讓它更為普及。理論上，駭客可以連上機器人導致實體上的傷害，但在現實中這不太可能發生，大多只是科幻小說中的內容。對於那些駭入網路、逆向工程韌體和控制機器人所能做到的事情，可以更輕易地利用現實中的傳統方法造成。但這可以很好地和物聯網（IoT ,Internet of Things）或聯網設備駭客攻擊的題目連結。這裡的想法是只要有連接網路的東西就可能被攻擊。再一次地，作為目標的可能性和設備種類有關係。我不會去討論細節，但無論是否可能遭受攻擊，有較高風險的設備顯然需要更多的防禦。一部聯網汽車需要比聯網烤麵包機有更多的保護。這同樣適用於任何會身體連結或直接影響人體的醫療裝置。

資料視覺化和分析

有了此一領域的最新進展，醫生可能可以透過擴增實境強化來視覺化核磁共振成像（MRI）或X光斷層成像（X-ray CT）產生的病患3D掃描成像資料。視覺化技術類似於Oculus Riff，可用來深入病患內臟，充分了解他們的狀態，給出更準確的診斷，仔細檢視資料並規劃重要手術。我不知道我該為醫生感到高興或為這遠景感到恐懼。

很顯然地，現在技術的狀態和發展會為所有的人類領域帶來新玩意。醫療領域也不例外。然而也為這產業增加更容易被攻擊的風險及可能帶來危及生命的後果。醫療科技需要想在前頭。開發者需要從一開始就建立一定程度的安全性，因為在這個領域中，即使是偶然或意外的出錯都可能會真的致殘。

＠原文出處：FuTuRology: Watch Out for Literally Crippling Healthcare Technologies |作者：David Sancho（資深威脅研究員）

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

【推薦】PC-cillin 雲端版榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《資安新聞週報》郵件訂單遭監控錢進了駭客帳戶/你戴智慧手錶嗎？小心駭客入侵

2015 年 09 月 21 日2016 年 01 月 26 日趨勢科技 TrendMicro

歡迎來到資安新聞週報，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

郵件訂單遭監控錢進了駭客帳戶(聯合新聞網)

彰化警方接獲一家腳踏車零件商報案指出, 其位於西班牙買家匯出近百萬貨款卻遲遲收不到貨,經發現為駭客攔截與國外買家的交易往來電子郵件，設局讓買家付款到駭客的帳號。彰化警方這一年來幾乎每個月都接獲民眾報案損失從百萬到千萬都有。

【延伸閱讀】駭客鎖定中小企業,先釣電郵密碼,後詐鉅款,非法損失金額已超過六千萬

ibon售票系統遭爆有漏洞，專家：曝露網站設計不嚴謹的老問題(IT HOME)

只要修改網頁上的幾個數值，就能用一塊錢買到統一超商ibon線上售票服務上任何想要的東西!! 在部落格上貼文的網路玩家表示，測試的30個網站有20個存在類似的問題。

你戴智慧手錶嗎？小心駭客入侵 (世界新聞網)

運動手環可能成了洩露個人行為的監視器。研究報告說，這項研究顯示智慧手錶的感應器資料，可能洩露用戶在(手提電腦或桌上型電腦)一般鍵盤的打字內容。研究人員製作應用程式，用以追蹤用戶按鍵的微小動作差異，並把這些資料輸入「按鍵偵測」軟體，分析每個動作的時間以及手錶位置的移動，藉著分析這些動作，還能夠判斷打字內容。

【延伸閱讀】《IoT 物聯網安全趨勢》穿戴式裝置來了，您準備好了嗎？

《物聯網（IoT）安全趨勢》在您套上那「穿戴式裝置」之前…

繼續閱讀

GasPot 實驗：駭客攻擊加油站儲油槽

2015 年 09 月 14 日2016 年 01 月 25 日趨勢科技 TrendMicro

加油站的儲油槽被人動手腳是件相當危險的事。由於汽油的揮發性很高，因此如果油量表因為遭到篡改而導致油氣外洩，那麼只要遇到一點點的火花，就足以引發一片火海。想像一下，如果駭客有能力從遠端竄改油量表，會是多麼危險的一件事。尤其，全球有些石油公司的油槽監控系統就與網際網路相通。

正如我們在 BlackHat 駭客大會上所分享的，我們設計了一個實驗來檢驗這類自動化油槽系統的安全性。我們架設了一個叫「GasPot」的特製誘捕環境，這個環境曾經多次遭到駭客攻擊。此外，我們也從實驗中看到駭客對攻擊目標的偏好，例如，駭客特別喜歡攻擊美國的 GasPot 環境。此結果與我們實驗一開始的預期吻合。從一些證據判斷駭客可能來自伊朗的 Dark Coders 團體，或是敘利亞的 Electronic Army 團體。

駭客能做些什麼？

駭客能做些什麼，要看油槽監控系統的精密度而定。遇到簡單的油槽系統，駭客只能觀看系統的狀態，但若遇到較精密的系統，駭客就有可能直接操控、甚至破壞油槽設施。

攻擊的型態及駭客的動機可能非常廣泛，有些只是非常輕微的破壞(例如常見的是篡改油槽的產品標示)，有些則是嚴重的攻擊 (例如改變油槽的運作方式，造成公共危險等等)。

修補這類系統會很困難嗎？

談到聯網裝置和聯網基礎架構的攻擊，系統修補向來是一項艱困的挑戰。大家總是在問這類裝置或系統到底要如何更新？不論是聯網汽車，或是數百萬美元的 SCADA (監控與資料擷取) 系統，或者是儲油槽系統，其軟體更新都有許多需要克服的困難。誰該負責套用這些修補程式？廠商或是使用者？需要什麼專業技能或工具？需要什麼成本？是否所有暗藏漏洞的裝置都有辦法獲得更新？繼續閱讀