直到最近,物聯網(IoT ,Internet of Things)的安全性大多只是紙上談兵,因為 IoT才剛萌芽,普及率仍低。正如趨勢科技趨勢科技威脅研究員 Robert McArdle 今年稍早所言,儘管有 Google 等各家廠商的努力,IoT 仍缺乏可讓它普及的「殺手級應用」。
然而,企業與資安廠商卻仍擔憂將網際網路拓展至各種內嵌式感應器與家電之後可能帶來的潛在風險。不過截至目前為止,網路安全仍大多以 PC、行動裝置、伺服器與網路為主,IoE 只是一個龐大的潛在市場,而非快速崛起的勢力。Cisco 認為 IoT 未來將是一個 19 兆美元的商機,但是網路安全能否有效跟進以應付這全新的運算情勢?
美國北卡羅來納州交通部 (Department of Transportation) 道路交通號誌遭駭客入侵事件突顯 IoT 的全新風險
IoT 最獨特的一點就是它涵蓋了傳統認知上並非「電腦」的端點裝置。高速公路交通號誌即是一例。縱然這些號誌也配備了電子式顯示器 (雖然跟今日的智慧型手機和平板比起來顯得很陽春) 但很少人會與它們互動或特別留意到這些號誌,這些號誌看起來更像告示牌而非可駭入的裝置。
美國北卡羅來納州交通部的負責管理的一些交通號誌日前遭到一名駭客入侵,駭客將標誌上的內容改成「Hacked by Sun Hacker Twitt Wth Me」(駭客 Sun Hacker 在此,上 Twitter 來找我),目的是要駕駛人上 Twitter 找他。這訊息一點也不像在開玩笑,而且這樣的行為儼然形成一股令人擔心的潮流:
- 早在 2009 年,Jalopnik 之類的網站即顯示出道路交通號誌多麼容易遭到入侵。有觀察者指出,這些設備缺乏實體安全措施可防止篡改行為,同時又普遍採用預設密碼 (如「DOTS」)。該事件後來的演變是交通號誌內容被改成「Warning, Zombies Ahead」(小心,前有殭屍)。
- 高速公路交通號誌屬於公共安全資產。若是遭到駭客入侵,可能會讓用路人收到錯誤訊息,導致交通打結或交通意外。該事件中的訊息還好只是自我推銷,並無實質誤導的情形,但真實傷害的可能性確實存在。
- 北卡羅來納州這起事件以及後續的倣效案例,或許是受到日前推出的家用電玩主機熱門遊戲《看門狗》(Watch Dogs) 之影響。《看門狗》遊戲場景設定在未來世界的芝加哥,遊戲中強調駭入基礎建設 (如交通號誌) 的情節。McArdle 在他的貼文當中也提到,玩家所處的空間 (幾乎被 Oculus Rift 之類的電子裝置所淹沒) 正如同 IoT 科技普及的前兆。
此攻擊事件的技術細節目前外界仍不清楚。Sun Hacker 在 Twitter 上宣稱,要更改交通號誌顯示內容必須駭入一個 NCDOT VPN,不過,美國境內一些類似事件的調查人員表示,該攻擊應該是利用了簡易網路管理通訊協定 (Simple Network Management Protocol,簡稱 SNMP) 訊息的漏洞。此外,駭客也可能趁機修改已遭入侵的數據機密碼,讓修復工作更加困難。NCDOT 宣稱已知道自己的系統如何遭到入侵,並且正在修補相關漏洞。
NCDOT 資訊長 David Ulmer 表示:「我們非常嚴正看待此次的網路事件。我們不僅正在與執法機關共同追查此一嚴重事件,更針對我們的設備和 IT 基礎架構進行重複掃瞄以確保任何其他漏洞皆已修補完畢。」 繼續閱讀