当前位置:首页 > 物联网 > 智能应用
[导读]物联网(IoT)所带来的相关安全问题持续被讨论着,因为已经在我们生活周围带来更多影响。

物联网(IoT)所带来的相关安全问题持续被讨论着,因为已经在我们生活周围带来更多影响。

过去常见的网络攻击行为,通常就是计算机中毒、数据窃取、网站被入侵等,在物联发展浪潮之下,现在攻击重心开始扩散至各式连网系统与装置,受到攻击与滥用的比例已有增加的现象。以往在计算机、智能手机上才有的隐私保护、信息安全问题,也成为更多连网设备与系统同样需要面对的事。

而且,这些连网设备带来的危害,已经发生在你我周围,像是今年2月,台湾校园出现连网打印机遭滥用的情形,会自动印出勒索比特币的恐吓文件,有心人士不再只是打打骚扰电话,寄寄钓鱼电子邮件,或是将恶意软件植入你的计算机,还可以利用更多连网设备来入侵你的生活。

生活周围常见的监视器,恐遭攻击而不自知

我们可以看到每个路口、商家,几乎都有设置监控摄影机,一般用来防范犯罪,但这类设备在近年常成为物联网攻击事件的主角,不论是隐私安全或DDoS共犯的问题都有,但我们也很难从外表看出设备是否被入侵利用。

物联网攻击不是理论,而是真实世界发生的事件

过去你可能已经看到一些物联设备的安全新闻事件,像是在2014年时,就有黑客将全球上万台网络摄影机的影像,放上一个网站,公开给任何人免费实时浏览,不论是店家监视画面,路边监视器的场景,甚至是让居家私生活变成实镜秀。由于监视摄影机的运用范围之广,从传统防盗、监视,到居家幼儿、老人照护等都有,明显为民众带来隐私安全的问题。

像是在2014年就有国外网站,直播全球数万未重新设置密码的摄影机影像,至今这些问题依然存在,能看到不少的台湾监视器实时画面。

与民生息息相关的关键基础设施更是一大焦点,像是2015年底造成乌克兰3家电力公司有关的恶意软件BlackEnergy,导致数十万户大停电的危机。此事也提醒各国对于关键基础设施安全性的重视,不可轻忽工业控制系统的防护,这类攻击通常带有特定政治目的,且影响层面极为广大。

而连网设备中,就连我们每天工作必用的打印机,也有类似的情形发生,像是今年2月台湾校园遭遇到的比特币勒索事件,就是透过打印机擅自印出带有威胁内容的文字。

更让人关注的是,事件中要求支付比特币为赎金,与近年加密勒索软件的目的相同,以匿踪性高的金流机制作为给付方式,让执法单位难以追查,当黑客受到利益驱动,将勒索行为锁定不同目标下手时,这也促使攻击可能性的增加,连带也让过去未引爆的许多问题渐渐浮上台面。

不仅如此,各式连网装置受到入侵后,除了他人能借此获取隐私、利用或滥用,甚至成为勒索标的,也还有成为跳板、DDoS共犯的可能性。

像是去年称之为Mirai的恶意软件,感染10多万台的路由器、监视器与IP摄影机,组成殭尸网络大军,进而发动大规模网络DDoS攻击。其中一起攻击事件,还造成美国DNS服务商Dyn服务停摆,导致包含CNN、Twitter、Wikia等知名网站全部无法联机使用的情况。

过往殭尸网络(Botnet)需要感染很多的计算机,也就是俗称的“肉鸡”,在连网运算装置更趋多元的发展下,殭尸网络需要的肉鸡也已经不限于传统计算机型态。

另外,今年4月底Kaspersky公布另一殭尸病毒Hajime,感染30万台监视器、视讯摄影机与路由器等连网设备,虽然目的还不明,但物联网装置成新殭尸网络的局面已经快速扩散。

许多连网应用就在你身边,物联网设备安全威胁才刚刚开始

物联网的议题谈论许久,上述诸多常见连网装置与系统所遭遇的安全威胁,已经突显出一些过往被忽略的问题,而让人应接不暇的是,接下来还有更多新兴连网装置与应用,虽然带来科技及生活创新,但同样令人忧心的部分也在于,是否会被利用及带来威胁。

像是无人机与连网汽车,就是近年常被广泛讨论的例子,在今年3月的2017台湾安全大会上,有不少安全业者提及这些这种大型可移动性的设备若被用来发动各种攻击的威胁性。不论小至用来拍照,或是大至用来载货的无人机,或是连网汽车被他人接管,若被劫持到处游走,都有可能被利用来收集信息、侵犯隐私,或是对生命造成危害、当成攻击武器等。

还有智能电视也有遭害被勒索的事件,也有安全业者打造相关攻击概念性验证程序,骇进智能电视,借由电视机的摄影机或麦克风监控用户,甚至攻击家中其他的智能装置。

你可不要以为智能家电还很遥远,其实这一两年已有家电厂商,开始推出物联网智能大小家电,像是搭载WiFi功能的洗衣机、冰箱、冷气,以及电子衣橱等更多小家电,甚至也有智能传感器套组,可让既有家电升级连网功能。而更早走入家中的扫地机器人,也有新一代产品提供居家监看、手机远控打扫的功能。

由于这些许多新兴的智能联网装置,将具备更丰富的感测能力,不仅是带来更多智能应用,但也有机会成为被利用的媒介。

举例来说,像是语音控制越来越热门,可说是对使用者极具吸引力的人机接口操控方式,但这些含有麦克风的连网装置,可能遇到什么样的问题呢?近期快餐业者汉堡王一则创意广告,就引起争议,当中利用了智能家居声控装置Google Home的使用特性,以广告内容触发家中放在电视旁的设备主动响应,借由广告词“OK, Google , What’s the Whopper Burger”,以呼叫Google Home搜寻该产品讯息。

另外,这些附有麦克风的智能连网装置,是否也能被用来窃听使用者对话呢?像是之前由玩具商推出的连网娃娃,就有安全漏洞恐遭窃听的疑虑,而且,如与摄影镜头相比,窃听似乎显得更为无形。

更要提醒大家的是,这些新兴物联应用已有实际被骇的案例,像是今年2月美国电信商Verizon在2017年资料安全报告中,就实际揭露了一起物联网装置导致的DDoS攻击事件,事件一开始是发现校园网络速度变慢,进而追踪到不少DNS服务器的域名查询都跟海鲜相关,应该不是校内学生突然对海鲜晚餐感兴趣吧?进一步调查才发现,这些DNS查询需求来自该校区内的连网路灯与饮料自动贩卖机。

在连网应用扩增的趋势之下,现在连路灯也不再只有单一照明功能,也开始加入故障自动回报、远程控制能力。但也令人忧心的是,若安全防护没有跟上,更多型态的连网设备,都将面临被攻击利用的可能性。

国家公共建设连网日益提升,潜在的危害程度也将更为严重

当物联网装置的数量越来越庞大,种类越来越多时,潜在威胁也成正比攀高,当国家内许多信息设备都连上网络,潜在的公共安全 危害也就更高,像是监视器遭入侵的事件,已经时有所闻。

面对物联网的安全挑战,使用者、厂商与政府都应积极采取行动

大家都期待着物联网,能带给我们新的美好网络世界,为个人生活提供更聪明,以及便利的智能生活环境。但近年发生的物联网攻击事件,让我们不得不重视这些连网设备的安全问题,如果不去应对,可能导致失控的局面。

我们已经看到许多DDoS攻击事件,是入侵了物联网装置,像是借由感染监视摄影机、路由器等设备,让这些装置作为攻击来源,进而直接影响目标系统的运作。但对于这些物联网装置的拥有者来说,被入侵时通常并没有发现或后知后觉。即使是监视摄影机被他人窥视,一般人也不一定能察觉被入侵。

而从最近台湾校园爆发的比特币勒索事件来看,由于是直接侵入打印机印出带有威胁内容的文字,让设备用户很快就能意识到被入侵,这也让一般人更注意到,原来物联网攻击威胁就在眼前。

为何以前没有爆发这样的事件呢?安全专家李伦铨表示,以这次校园打印机入侵事件来看,其实问题一直都存在,现在因为勒索有利可图后,事件开始变得很外显,也就是要让事情都爆发出来,才会让大家都知道并重视。

从既有物联网装置设备的安全问题来看,可以简单分成两个面向,一个是使用者没有尽好管理的责任,像是这次校园打印机被入侵,其实攻击过程并没有高深的骇入手法,主要是设备并无设定防护机制,以及不安全的部署,所以容易成为被入侵目标。

当连网设备普及到一个程度,用户对于产品与使用上的安全问题,其实也必须要有一定程度的了解。像是要去修改设备管理接口的密码,密码设定也不能太过简单,还有就是用户为了要能远程控制,可能做出不安全的网络设定等等。

当然,要解决这样的问题,也能从大面向着手,像是对于这些既有的连网设备,今年1月美国美国联邦贸易委员会(FTC)其实就发起一项物联网家庭安全检查挑战赛,期望能有一套工具或方案,能替老旧的物联网装置,进行检查、安装更新与强化密码防护,以减少用户做出不安全的设定。

家庭连网装置较缺乏有效管理,居家隐私安全令人忧心

近年家用无线路由器安全是关注焦点,连美国联邦贸易委员会(FTC)近年也已经控告设备厂商,没有积极处理漏洞修补与通知的问题,突显安全议题是各厂商是无法避免的挑战。

另一个面向则是,厂商没有做好设备的安全维护,像是计算机常遇到安全性更新,由于存在未知漏洞,可能成为系统安全性的死角,系统厂商会不断释出更新来修补漏洞,而各IoT装置也会面临同样的问题,需要设备厂商来维护。

像是之前国内厂商的无线路由器与摄影机被美国FTC控诉,就有漏洞大到一直没有处理的问题,而使用者没有其他解法,只能等待厂商升级韧体来修补。

由于早期这些装置在更新机制上没有谨慎考虑,过往普遍作法是,使用者要自行下载韧体更新,甚至是送回原厂才能更新。面对这样的问题,李伦铨表示,设备厂商要面对的挑战就是要管好韧体自动更新(Firmware Over The Air,FOTA),这必须要投入强大的团队管理与韧体管理机制,其实并不容易。

像是能否保证可以顺利更新,会不会影响到消费者的使用,且物联装置生命周期很长,到底要如何规划也是议题。

国立台湾科技大学信息管理系副教授查士朝也表示,以目前国内环境而言,像是消保官可以对设备厂商做一些要求,他更进一步指出,其实各国政府都会慢慢开始要求,厂商若要将产品输出到当地上市,就必须要满足一定程度的安全规范,也建议设备厂商要做好类似隐私冲击分析(PIA)的工作,让潜在隐私风险可以被管控。

当然,未来物联网装置的安全防护环节也将随应用扩增而放大,不论是装置本身,还有网络、应用程序、云端服务方面,也可能还将跨越数种通讯协议,其安全上的威胁议题,若没有通盘检讨,将花更多心力去改善与应对。

企业网络与计算机设备仍是攻击主要对象,更要强化安全管理

在新兴的物联装置发展之下,安全问题将比过去要复杂许多,但企业内部的个人计算机、服务器与网络仍是黑客攻击重心,企业不仅更要强化安全管理,也该时时注意物联潮流下的威胁与演变。

物联网装置越来越多,安全风险将更严重

在物联化的发展浪潮之下,每个实体物品都可能化身成为信息科技设备,能够连上网络,并分到一个IP位置。

若根据Gartner预估,2020年全球物联网装置数量将达208亿,比2017年要多2.5倍,显然,未来我们将要面对的是数量庞大、产品多样且感测更丰富的物联设备,管理问题将更显复杂,再不好好重视,将为我们生活带来极大影响。

当连网设备遭到入侵,一来会有隐私问题、滥用与勒索的可能性,另一种则是被当作借刀杀人的工具,成为帮凶共犯。尽管攻击者是罪魁祸首,但企业与使用者也该有责任,一旦调查结果源头指向自己,未来是否可能遭受罚金、企业名誉受损等风险呢?这样的风险责任,也是物联时代该意识到的问题。

从网络犯罪角度来看,当所有装置都能够连网,使用各种通讯协议,也表示进入了万物皆可被攻击与利用的局面,若再加上勒索行为的横行,将使得安全威胁更难以防堵。

想象一下,我们已经看到校园打印机可以被人滥用,发生自动打印威胁文字内容的状况,如果还有更多自己家中的智能装置也被人控制,灯光忽明忽暗、警示叫声不断,或是有心人士骇入汽车控制驾驶和煞车系统,后果也将于人身安全息息相关。

 

而且,物联网的发展面向会更广,尤其是当装置传感器更多元,系统彼此间更开放互连,并能与各式应用服务相结合,攻击面向也将更广,譬如感测收集到的资料被入侵修改,也将牵动后端的信息反馈出问题,进而导致其他间接攻击等行为发生。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭