在本文的上篇當中,我們詳述了物聯網(IoT ,Internet of Things)所牽涉到的裝置、技術與流程,並提到這些裝置如何可能遭到攻擊。廣泛來說,IoE 涵蓋了各種以 IP 連網的端點裝置,將網際網路的觸角延伸至傳統 PC、智慧型手機與平板的範圍之外。
物聯網受到科技大廠的再度青睞
表面上,IoT看起來只是一種把戲,最常讓人聯想到就是生化機器人的抬頭顯示器、連網牙刷以及可追蹤使用者步伐和睡眠習慣的手環。然而這樣的刻板印象卻掩蓋了IoT在改善內容及服務供應方式的潛力。Salesforce.com 的 JP Rangaswami 指出 IoE 將是一套減少浪費並消除效率瓶頸的系統,涵蓋商業供應鏈到日常大眾運輸流程。
點小圖看大圖
以下是幾個登上媒體頭條版面的最新IoT 消息,並且點出了連網基礎架構的普及能帶來什麼樣的應用:
- Apple 在其即將來臨的 Worldwide Developers Conference 全球開發者大會上有可能展示一套可讓使用者操控居家物品的最新平台。基本上就是將 iOS 裝置變成一個萬用遙控器,遙控保全系統、照明以及其他家電。
- 而今年稍早才併購恆溫控制與煙霧感應器製造商 Nest 的 Google,現在可能又打算併購 Dropcam 這家居家監控攝影服務廠商。
- Samsung 早已在測試 IoT水溫,推出 Galaxy Gear 智慧型手錶與 Galaxy Fit 健康手環,兩者都搭上了穿戴式科技與健身監測的最新潮流。
有了全球最大科技廠商在背後支持,IoT 應該將安全與隱私權列為第一要務。IoT 提供了改造與提升網際網路的全新契機,然而 Dropcam 之類的技術卻帶來了令人不安的可能發展,例如居家監視攝影系統可能遭到挾持。
事實上,正在崛起的 IoT 已經發生多起遭到攻擊的案例,包括一起名為「Moon Worm」(月蟲) 的 路由器漏洞攻擊。所有相關人員都應在基礎架構變得更先進、相關攻擊變得更複雜之前,從這些事件當中記取教訓。
《Wired》引述 REX 智庫創辦人 Jerry Michalski 的話表示:「大多數暴露在網際網路上的裝置都有可能被駭。而且還可能出現非預期的結果:它們可能被用於一些原設計之外的用途,而且大多不是好事。」
從 Moon Worm 和其他攻擊記取 IoE 安全的教訓
網路安全產業只要看看 Moon Worm 和幾個類似的惡意攻擊行動,就能知道 IoT 安全已經是現在式,而非未來的情景。以下是近年來最知名的一些 IoT 安全相關事件:
- 2014 年 2 月,Moon Worm 現身,專門攻擊特定型號的 Linksys 路由器,橫行全球。該攻擊會利用一個可跳過驗證機制的漏洞,甚至還具備自我複製能力。廠商建議使用者最好更新到最新的韌體版本,並且停用遠端管理功能以策安全。
- 今年四月,一群駭客利用惡意程式取得了保全系統監視錄影機 (DVR) 的控制權。除此之外,他們也會將受感染的端點裝置用於開採比特幣 (Bitcoin)。開採比特幣是一項非常耗費 CPU 資源的作業,也就是說,受感染的裝置將變得非常緩慢。能夠掌控 IoT 對歹徒來說是一項強大的誘因,所以才會不辭辛苦地運用監視攝影機內低功耗的 ARM 處理器來執行開採比特幣這類吃重的運算工作。
- 國際電動車大廠 Tesla 生產了許多搭載觸控螢幕介面與整合式行動電話網路的尖端電動車。可預期的,由於這項功能需仰賴網路與軟體,網路安全將成為該公司未來必須解決的一項問題。跟據《Ars Technica》報導,直到最近,Tesla 的車主都只需設定一個六個字元的密碼,其中至少必須包含一個字母和一個數字,這使得這些帳號很容易遭到暴力破解攻擊。此外,針對 Tesla 設計的第三方 App 程式也可能導致車主的帳號密碼外洩。
在 2014 年 5 月的一項研討會上,Moon Worm 與IoT 安全成為討論的焦點,身為研究學者的 In-Q-Tel 資訊安全長 Dan Geer 指出,IoT 的最基本的一項弱點就是有太多裝置的軟體都已過時。駭客可輕易地攻擊未修補的韌體與作業系統漏洞,就能取得 IoT 裝置的掌控權,從監視攝影機到網路通訊設備等等。 繼續閱讀
