早在2014年的Black Hat黑客年會,即曾演示如何借助遠程操控方式,成功入侵真實的汽車。
無庸置疑,物聯網(Internet of Things;IoT)絕對稱得上是炙手可熱的科技議題,Gartner預估,待至2020年,全球物聯網硬件數量上看250億個,屆時不管消費市場或商業活動,都將被物聯網廣泛覆蓋,此對于黑客而言,簡直是肥滋滋的大餅,豈有坐壁上觀之理?
事實上,早在幾年前,即出現了物聯網硬件可能成為謀殺工具的論調,盡管聽來仍有些駭人聽聞,甚至給人天方夜譚之感;但隨著物聯網硬件數量急速攀升,與人類食、衣、住、行、育樂等生活需求,乃至生產制造、醫療保健乃至交通運輸等關鍵場域,全都產生了前所未見的緊密鏈結,屆時講究經濟利益的黑客,必然蜂涌而至,出現各式作惡行徑,其間稍有不慎,導致人命危殆并非不可能之事。
曾于2010年全美黑客年會大放異采的知名黑客Barnaby Jack,在2013年以35歲的年紀離奇猝逝,否則他是最有機會提早印證物聯網硬件可能成為謀殺工具論調的人。先說Jack如何在2010年大放異采,他歷時2年的研究,發現至少有兩種手法,可以侵入自動柜員機(ATM),并迫使ATM吐出鈔票;在黑客年會現場眾人屏息以待的場景中,Jack展現神乎其技,讓兩臺ATM吐盡內部所有鈔票,即便這個表演相當驚悚,但他強調此舉并非教人如何侵入ATM,而是對ATM制造商提出善意提醒。
物聯網硬件可能淪為謀殺工具
繼成功演繹侵入ATM之后,后續Jack試圖侵入的對象,與人命的關聯度越來越大,例如在2011年,他曾展示如何入侵糖尿病患者使用的胰島素注射硬件,改變其注射頻率與安全提醒功能,可能對患者造成難以逆料的危害;然而更驚悚的是,他曾預告將在2013黑客年會發表“植入式硬件:入侵人體”演說,示范如何利用信號傳送器,在遠程將惡意軟件植入心臟病患體內的去顫器、心律調節器等醫療硬件,甚至聲稱在10公尺遠的地方便可讓對方心跳停止。
雖然Jack在2013黑客年會揭幕之前,即在住處離奇死亡,沒能來得及向與會者做出如此驚懼的展示,但似乎也提前昭告世人,要想利用物聯網硬件謀害人命,其實不難。
無獨有偶,就在Jack死前,其實有一家名為Internet Identity的信息安全公司,已針對物聯網議題提出沉重警告,直指物聯網硬件可能被用以執行實際犯罪行動,其中也包括了謀殺;這家公司接著指出,其之所以做出這個大膽假設,絕非無的放矢,而是看到了諸如交通運輸、健康護理...等等越來越多硬件,皆可通過網絡傳送訊息與接受控制,這般特性看在歹徒眼里,就彷佛是從天上掉下的大禮,讓他們無需進入險要境地(指被害者所在地),便可遠程關閉靜脈注射硬件、調整心律調節器,抑或變更汽車操控系統,輕松取人性命。
令人擔憂的是,綜觀物聯網產品,多數醫療硬件采用較為老舊的軟件,個中潛藏的漏洞更多,也更容易讓黑客上下其手。
其實除了醫療硬件外,汽車所潛藏的危險因子更大!一個真實的例子,有兩個黑客,借助遠程入侵的方式,連手控制了一輛急駛在高速公路的吉普車,接著他們就從遠程徑自操控,先是開啟了雨刷開關,接著將空調溫度調至最低,同時還任意改變了收音機的播放頻道,最后再把離合器給關閉,讓這輛吉普車從原本的奔馳疾駛變成龜速爬行;黑客的舉動,無異彰顯了汽車可能面臨的物聯網安全威脅,連帶引發若干汽車廠高度正視此風險,大舉召回汽車進行計算機系統的升級,盼能借此降低汽車遭侵的可能性。
物聯網創新產品 保護機制相對脆弱
有鑒于此,已經有信息安全業者大聲疾呼,為了避免黑客利用物聯網開啟全新經濟模式,借此攻擊物聯網硬件取人性命、或者從事敲詐行為,物聯網制造商理應想方設法,采取必要的安全措施,以期提高惡意人士入侵的門坎,達到保護這些硬件之目的,畢竟數量急速增加的物聯網硬件,活脫脫就是黑客賴以滋養高殺傷力新型威脅的溫床。
信息安全業者認為,今時今日,已是一個唯創新是問的年代,任何小型的新創企業、工作室甚或創客,皆有可能憑借驚世駭俗的創意,撼動已經存在百年的傳統市場游戲規則,進而席卷大量使用者,徹底顛覆人類的生活與工作模式,而物聯網正是觸發創意的重大題材之一。
因此有朝一日,員工穿戴著智能運動鞋、智能服飾、智能手表上班,而企業辦公室環境內部,也充斥著諸如智能溫度調節器、智能衛生紙架...等新穎硬件,絕對不是夢;但問題來了,綜觀孕育這些創新硬件的推手,固然不乏名聲響亮的大型供貨商,但也有為數不少的新創企業,這些積極搶市的新創企業,并無強大的動機、也無足夠的能力,將硬件的安全防護列為第一優先順位,頂多只能通過賬號密碼等簡單機制,施以較為低度的保護,如此一來,這些看似富含智慧的物聯網設備,都可能淪為黑客痛下毒手的管道。
歸納物聯網時代的潛在信息安全威脅,若與前端設備較具關聯者,大致可分為幾種類型:首先是鎖定物聯網硬件本身的弱點,直接對此發動攻擊;其次是先行潛入后端云端數據中心,掌握某些控制機能,再回頭操控前端物聯網硬件;再者則是入侵前端物聯網硬件,然后循著前后端鏈接路徑,逐步攻進后端云端數據中心,借以滿足竊取機敏數據之目的。
找出難以防守的硬件 從企業網絡中移除
持平而論,對于企業而言,單就云端數據中心的安全防護,縱使仍舊存在莫大挑戰,但至少依然算是IT部門相對熟悉與擅長的戰場,在這個戰場之中,不管黑客鎖定的目標是計算機、服務器、儲存設備或網絡設備,IT人員都有很大的機會提出反擊;然而面對一些連上網絡的非IT硬件,也就是前段所提到的種種前端物聯網硬件,顯然不在IT人員的專長范疇內,一些前所未見的信息安全弊端,也就因此應運而生。
比方說,曾有國外專業機構通過研究發現,有數以萬計的抽風機、加熱器及空調系統鏈接互聯網,在大多數的情況下,這些設備都蘊含一些基本的安全漏洞,只要黑客善加運用,確實很有機會借此潛入企業內部網絡。具體來說,當企業落腳在一棟全新的建筑物,與這棟建筑物的其他住戶,共同享用相同的監視攝影機、空調系統乃至電梯,而這些設施與自己的內部網絡之間,也有某些連結性,如此一來,無異是平白增添了一些逾越IT部門掌控范圍的節點,因而埋下莫大信息安全隱患。
不過可惜的是,企業IT部門通常很懂得運用一些信息安全解決方案,據以捍衛云端數據中心內部的虛擬服務器與應用程序安全,但對于亟需納入整體安全構面之一環的前端防護部份,著力空間卻相對有限,此乃由于,前端物聯網硬件的安全系數高低,有很大一部份取決于產品制造商自身的設計能力,比較難以借由附加(Add-on)方案,做事后補強,因此企業能夠使得上力的,一是盡可能慎選相對安全的聯網硬件,二是著眼于不想與難以防守的敵人對壘,設法找出存在于自己網絡上的所有設備、尤其是非IT硬件,接著加以移除。
京公網安備 11010502049343號