在2017年信息安全大會中,Hitcon Girls共同創辦人賴婕芳與沈祈恩認為,目前物聯網設備的應用會越來越普遍,但與其有關的安全事件頻傳,因此無論是制作的廠商,還是企業乃至于個人,都應該提高警覺,重視這些設備的安全性。
Hitcon Girls共同創辦人賴婕芳與沈祈恩在2017年安全大會的議程中疾呼,物聯網(IoT)設備所衍生的安全問題必須受到正視,因為比起計算機,這些設備可能會接觸到更多個人隱私,或是影響人身安全與國家安全,一旦遭受黑客攻擊,后果便不堪設想。物聯網設備的安全與我們息息相關,無論是制造者還是用戶,你我都必須暸解如何降低其安全風險。
物聯網設備帶來不少便利性與創新應用,因此受到人們的歡迎。物聯網這個名詞,最早出現于1999年,但直到2013年之后,成為開始熱門討論的話題,然而,根據2015年AT&T所做的調查報告中指出,在受訪的5,000家企業中,有高達85%想要發展物聯網應用,卻只有10%的企業有信心能夠應付黑客的攻擊,顯示物聯網的安全問題,連企業普遍都沒有把握。
另一個面向,則是從Symantec、FireEye、趨勢科技、Intel Security、Kaspersky等安全大廠2017年的預測報告中,可看出端倪。這些報告不約而同指出,物聯網設備會帶來嚴重的安全風險與網絡攻擊。賴婕芳以2016年10月時,DNS供貨商Dyn遭受大規模DDoS攻擊的事件為例,其中一部分是由Mirai控制的物聯網設備僵尸網絡所發動。這個事件造成采用的Dyn服務的知名網站,包含BBC與GitHub等受到波及。然而,黑客取得這些物聯網設備控制權的方法,僅僅只是透過了測試60組常見的預設帳號與密碼就得手。
應用層面廣泛,無論是小朋友的玩具,還是學校的路燈,全都是物聯網設備
其實物聯網涉及的領域相當廣泛,無論是金融、公共服務、制造業、零售業,乃至于與人身安全有關的醫療、國家安全有關的能源設施,都有相關的應用。還有,近年來常見的智能家庭,也使用了大量的物聯網設備。
賴婕芳舉出許多案例,像是交互式芭比娃娃,透過了像是Siri的機制,就能和小朋友對話,然而卻被發現,其網絡通訊可能會被有心人士攔截,讓芭比說出指定的內容,如果這個黑客是個戀童癖,很可能會讓小孩與家長飽受驚嚇。
此外,美國有間大學受到DDoS攻擊,經調查卻來是自校內的路燈、販賣機等物聯網設備,但學校并未想到這些校內設施,都是屬于這類設備的一部分。
物聯網設備甚至會造成人身威脅,例如黑客可控制汽車的自動駕駛系統,透過槍枝的管控系統,黑客可執行射擊。
物聯網安全是一整個生態圈的事情
基本上,許多人想到物聯網的安全問題,可能會以為主要是對于設備加密,消除漏洞等防護措施。但事實上,我們手上的物聯網設備,只是傳感器(Sensors),背后擁有一個生態圈,還包含網絡與應用程序等。但從黑客攻擊的面向來看,則略有不同:大致上可分成硬設備、連接性(Connectivity),以及應用程序3塊。
硬件指的不只是物聯網設備本身,還包含整個生態圈設施,像是網關設備,或是執行應用程序的手機等,黑客可透過這些設備發動攻擊。
連接性指的是任何連接的階段、過程,包含網絡流量、生態圈通訊,以及設備之間的連接,或是應用程序之間的API等。
應用程序則包含物聯網設備本身的軟件、云端網頁接口或管理者接口等。
在物聯網硬件出現的問題中,賴婕芳舉了RFID卡Mifare Classic為例,這種卡片遭到逆向工程解析后,被發現密鑰只有48 bits,極容易破解,她說,以現在的角度來看,只要在淘寶花5美元,就能取得相關的修改工具。
而對于連接性的問題,像低功耗藍牙通訊(BLE)來說,在需要溝通的兩個設備之間,由于像手環一類的設備沒有屏幕,只能使用配對機制中的Just Work驗證方法(無密鑰),在這種情況下就很容易遭受中間人攻擊。
但其實另外一層隱憂,則是更多設備的BLE通訊過程完全沒有加密,以賴婕芳他們測試過的小米手環與體重計來說,他們發現只是對手機程序進行配對,沒有對數據做保護,因此可將手環或是體重計的通訊內容,傳送到非綁定的行動設備。換言之,有心人士可將小米體重計得到某個人的重量信息,同時傳送到多臺設備中呈現。
相較于上述兩者,應用程序是黑客最常使用的攻擊標的,像Hitcon在2015年舉辦的大會中,就展示駭入Gogoro App并取得憑證,然后將電動機車成功發動。然而這是應用程序在設計上的問題,將憑證存放在手機不夠安全的區域導致。
迎向2017年,物聯網安全是全民都要面對的問題
面臨物聯網設備層出不窮的安全事件,我們必須有所體認。針對不同的角色,賴婕芳提出以下建議措施:
制造商:開始設計必須將安全納入考慮,并且開發者需要有安全開發經驗、訓練,最好產品在上市前滲透測試。
企業用戶:需將物聯網設備盤點并列管,若是無法修補的設備,應考慮隔絕于主要網絡之外。此外,防護措施需將整個網絡架構納入安全考慮。并在采購時,要求廠商確保設備安全性。
終端使用者:了解使用設備的風險,如果不確定設備的功能,最好就不要使用。使用時,要將默認密碼更換成高度復雜的密碼。
京公網安備 11010502049343號