跳到主要內容區塊

ntuccepaper2019

專題報導

物聯網重新定義資安風暴!
  • 卷期:v0044
  • 出版日期:2018-03-20

作者:陳淑萍 / 臺灣大學計算機及資訊網路中心程式設計組資訊工程師


物聯網(Internet of Things, IoT)可以說是近年來科技界最火紅的名詞了!不管是軟體還是硬體產品,只要與它攀上關係,都可以大賣特賣。IoT簡單來說,指的就是每樣東西彼此之間都能透過網際網路互相傳輸資料,不必再仰賴其他溝通媒介,充分達到機器間的緊密互動,完成許多過去不可能的任務及夢想,最常見的莫過於人工智慧家電、車用電子及行動生理裝置等;但是在人們不斷歌頌著物聯網帶來美好未來的同時,專屬於IoT安全威脅之門恐怕悄悄在打開當中…。

 

IoT裝置發展越來越夯

好萊塢有不少科幻電影都描述機器人或人工智慧產物絕地反撲的劇情,不要以為那些都是天方夜譚,未來絕對百分之百有可能發生,科技真的將會是人類文明最大威脅,甚至有可能引發戰爭。伴隨著網際網路的蓬勃發展,改變人們溝通模式,也扭轉了過去傳統的商業獲利模式,近幾年來雲端運算(Cloud Computing)與物聯網(Internet of Things, IoT)成為資訊界積極發展的熱門新興科技寵兒,例如人工智慧家電、車用電子及行動生理裝置等應用,不斷地瘋狂推陳出新,也因為遠比電腦、伺服器這些傳統數位商品,與更多個人隱私資料親密接觸,除了涉及人身、家庭安全,甚至是國家機密也難保不受到威脅,所以其實迎接「萬物聯網」時代來臨的同時,也等於宣告擁抱越來越多樣化的駭客竊盜入侵行為,IoT資訊安全議題成為目前最棘手的威脅之一。
反觀製造商多半仍舊是以鑽研新技術突破為重心,畢竟功能酷炫新穎,還是吸引消費者的最大誘因,在普遍欠缺資安威脅防範的產品群裡,駭客把智慧家電變成如同針孔功能的竊聽器,或者是在各種IoT裝置上建立代理轉跳節點(俗稱跳板機、殭屍電腦),透過隱藏網路位置和上傳下載資料流量等資訊,來輕易蒙騙數位執法單位的追查,這些伎倆絕對都是A Piece of Cake!全球病毒軟體領導廠商趨勢科技也曾報導最新醫療穿戴裝置的心律調整器裡頭,竟然存在許多駭客入侵的真實案例,不但生理數據遭駭客攔截,也被有心人士竄改、甚至回寫錯誤資訊等瘋狂行徑。
此外,比特幣(Bitcoin)的價格雖然在近期頻頻下挫,不過虛擬貨幣熱潮依然有增無減,也大大吸引網路犯罪集團透過可控制的IoT裝置進行挖礦非法行為,甚至結合勒索病毒獲利的模式進行非法行為,未來這些情況將會變得更加頻繁及猖獗,物聯網雖然提升人們生活的便利與品質,但對有心人士來說,卻是降低犯罪違法的門檻,也提升了他們出手的機會與慾望。

 

DDoS的完美溫床

過去駭客要預謀一個DDoS(Distributed Denial-of-Service)攻擊並不容易,養兵千日用在一時,平時要入侵累積培養足夠數量的殭屍個人電腦、伺服器才有辦法發動,但是隨著業者的推波助瀾下,促使IoT裝置大幅度增長,這些設備通常是不斷電的狀態,既便處於閒置狀態也是7x24小時連接網際網路不中斷,然而這些都是最好的DDoS犯罪溫床。
越來越多的IoT裝置為了提升服務品質,都配置了不錯的系統規格加強運算能力,且開始具備人工智慧能力,可以執行較複雜的人工智慧應用,裝置都變得相當聰明,也因為這些裝置的獨特性、多樣化與複雜性,所以幾乎沒有適合於IoT型態的資安軟體,也避免影響產品效能被省略,加上IoT裝置多半使用開放原始碼嵌入式系統,方便降低成本、大量生產或改造,當然公開弱點的曝露,也將會造成通盤崩壞的局面,所以駭客只要將目標轉向控制大量的IoT裝置,每個人家裡的人工智慧家電,都很有可能成為某次世界級DDoS攻擊的幫兇。

 

OWASP前十大IoT弱點

全球知名的OWASP(Open Web Application Security Project)資安組織早在多年前就針對IoT裝置安全,提出了「OWASP Internet of Things Project」,目的在協助提醒產品製造商、開發人員及使用者,應以如同面對網站應用系統威脅的態度,去正視IoT裝置相關的安全議題,其中列舉出了十大弱點項目:
1. 不安全的網頁介面(Insecure Web Interface)。
2. 驗證或授權不足(Insufficient Authentication/Authorization)。
3. 不安全的網路服務(Insecure Network Services)。
4. 欠缺傳輸加密或完整性驗證(Lack of Transport Encryption/Integrity Verification)。
5. 隱私考量(Privacy Concerns)。
6. 不安全的雲端服務介面(Insecure Cloud Interface)。
7. 不安全的行動應用介面(Insecure Mobile Interface)。
8. 安全組態的不足(Insufficient Security Configurability)。
9. 不安全的軟體或韌體(Insecure Software/Firmware)。
10. 貧乏的實體安全措施(Poor Physical Security)。
甲、 資料來源: https://www.owasp.org/index.php/Top_IoT_Vulnerabilities

 

回顧2017年間,勒索病毒風暴不斷在全球各大企業端及廣泛的用戶端間襲捲,屢屢看到駭客攻擊手法日益進步且往往讓人出乎意料,如果駭客像前面所述輕易掌握IoT裝置,並進一步鎖定可帶來高報酬的攻擊對象,那將會從中 發展出多樣且龐大報酬的詐騙手法,這也告訴我們一個事實,IoT裝置對於駭客而言,無疑是個取之不盡、用之不竭的世外桃源。

 

最後一哩的安全防護提升

儘管目前全球針對物聯網的各種實際攻擊案例頻傳,但企業對於IoT裝置的安全重視仍然不足,製造商只重視使用者介面、搶先上市時間,未有足夠意識詳加考慮資訊安全層面,也因為實務上防護並不容易,必須從雲端架構中採行融合圍堵策略,甚至需要到結合工業控制及實體電路安全。
國立臺灣大學電機系鄭振牟教授曾公開表示,IoT裝置的安全將會是全方面挑戰,也是關鍵的「最後一哩」,傳統只利用軟體方式來提供安全防護,已經被證明完全不足已防範層出不窮的資安威脅,除了基本的軟體外,輔以硬體和嵌入式系統的安全建構,也將越來越被重視。因此,阻止有心人士利用IoT裝置發動各種網路攻擊及違法行為,將是產品製造商未來要面臨的最大挑戰。

 

行政院訂標準防堵漏洞

近幾年全球所發生DDoS攻擊案例,發動來源漸漸以IoT裝置為主,台灣政府也逐漸正視這個議題,行政院長賴清德曾經要求相關部會在推動數位經濟產業的同時,也要擴大培育資安領域的數位科技人才以因應時代威脅。
行政院資通安全處簡宏偉處長也表示,IoT裝置常成為駭客攻擊的資安漏洞,政府將協調經濟部跟國家通訊傳播委員會,共同訂定相關資安標準,例如網路攝影機是目前被駭客攻擊最嚴重的產品,很多使用者都只用預設密碼造成被輕易入侵威脅隱私,未來將規定類似產品必須具備首次啟動強制密碼更新、提高密碼複雜度等必備功能。如果產官學界都有積極重視的共識,在這種氛圍下,方才能創造出更安全的科技環境,人們將更有信心把生活寄託給這些IoT裝置。

 

結語

全球領先的資訊技術研究和顧問公司Gartner提出的物聯網預測報告指出,2020年全球所使用的IoT裝置數量將會至少成長至250億個!這是個什麼樣子的概念呢?大概就是日常生活中所有東西都可以連上網路,甚至鋼筆、水杯及桌子也是逃不掉的,不過有趣的是,網際網路帶來的衝擊,全世界都還沒消化完畢,很快地又得面臨物聯網席捲世界後所帶來的下一波衝擊。IoT裝置是近年業者佈局的重要創新領域,當一切東西都能連上網時,資訊安全在其中的位置,就更顯得關鍵,我想大家都是希望適度保有隱私權,沒有人願意將自己一舉一動公諸於世吧?!