Mirai可怕之處,在于只要任何物聯(lián)網(wǎng)設(shè)備疏于變更帳密,就可能成為黑客囊中物,或成為DDoS攻擊幫兇,或讓采用該裝置的企業(yè),直接遭到入侵導(dǎo)致機(jī)密外泄。來(lái)源:Cyber Investigative Services
毋庸置疑,說(shuō)到物聯(lián)網(wǎng)(IoT)或萬(wàn)物聯(lián)網(wǎng)(IoE),都是近年來(lái)炙手可熱的議題,也成為廠商亟欲搶攻的商機(jī)灘頭堡;但人們?cè)谙碛梦锫?lián)網(wǎng)IoT高度連結(jié)效益,繼而讓工作與生活變得更具智慧便利之余,似乎也承受較以往更大的隱私與安全威脅。
在去年底(2016),一支名為Mirai的僵尸病毒,釀成多起兇猛的分布式阻斷服務(wù)攻擊(DDoS),無(wú)疑像是震撼教育,使大家幡然醒悟,總算明白當(dāng)今被喊得震天價(jià)響的物聯(lián)網(wǎng),原來(lái)如此弱不禁風(fēng)。
回顧Mirai歷史,最早是在去年8月遭人發(fā)現(xiàn),它意在攻擊諸如網(wǎng)絡(luò)路由器、打印機(jī)、攝影機(jī)或數(shù)字監(jiān)視錄像機(jī)(DVR)等植基于Linux固件的物聯(lián)網(wǎng)設(shè)備,至于具體入侵手法,病毒會(huì)先選擇一個(gè)隨機(jī)IP地址,接著試圖運(yùn)用一些預(yù)設(shè)的管理用帳密,看看能否登入裝置;只可惜不少物聯(lián)網(wǎng)設(shè)備供貨商、用戶都太過(guò)輕忽大意,沿用預(yù)設(shè)帳號(hào)與密碼的情況比比皆是,以致Mirai攻擊者如入無(wú)人之境,接連攻陷各大網(wǎng)站,包括Twitter、Paypal、Spotify等網(wǎng)站都淪為苦主。
時(shí)至2017年,Mirai更優(yōu)化了它的體質(zhì),不再只懂得利用殭尸程序與暴力破解來(lái)發(fā)掘潛在受害者,而進(jìn)一步擅用新的Windows木馬程序,幫忙搜尋潛在攻擊對(duì)象,期以擴(kuò)大Mirai殭尸病毒的感染范圍。
這支Windows木馬程序會(huì)根據(jù)C&C服務(wù)器的指示,負(fù)責(zé)掃瞄被指定的IP地址,假使成功入侵目標(biāo)裝置,會(huì)立即檢視裝置所用的作業(yè)平臺(tái)為何,如果是Linux,便二話不說(shuō)直接植入Mirai病毒,如果是Windows,就會(huì)將木馬程序復(fù)制一份到裝置上,接手搜尋其他Linux目標(biāo)裝置。
可怕的是,Windows木馬程序比起原先的Linux版本,可掃瞄的端口數(shù)量更多、型態(tài)更廣,簡(jiǎn)直把所有可能感染裝置的途徑,全都納入其中,得以有效擴(kuò)大Mirai活動(dòng)范圍。不禁讓人憂心,用戶在歷經(jīng)2016年底的Mirai震撼教育后,是否亡羊補(bǔ)牢,趕緊改正了采用預(yù)設(shè)帳密的壞習(xí)慣?如果不能,縱使2016年僥幸未淪為受害者,如今仍可能在搭配Windows木馬程序的強(qiáng)大攻勢(shì)下難逃劫數(shù)。
民眾也許有所不知,有一個(gè)堪稱是智能物聯(lián)網(wǎng)IoT裝置超大型目錄的搜索引擎-Shodan,只要全球的任何用戶未對(duì)裝置更改默認(rèn)密碼,就會(huì)被Shodan網(wǎng)站納入統(tǒng)計(jì),迄至目前,臺(tái)灣符合Default Password的物聯(lián)網(wǎng)裝置,恒常維持在逼近1萬(wàn)臺(tái)的高水平,名列世界第一位,占全球總數(shù)的10余百分點(diǎn),更始終比美國(guó)高出約3,000臺(tái)。
看到這份數(shù)據(jù),理應(yīng)讓不少安全專家冷汗直流,直呼人民對(duì)于物聯(lián)網(wǎng)安全的認(rèn)知程度,竟然如此之薄弱,這般“低級(jí)失誤”,恐讓我們蒙受極高安全風(fēng)險(xiǎn)。
值得一提的,一個(gè)聲稱已匯集數(shù)萬(wàn)支網(wǎng)絡(luò)攝影機(jī)畫面的網(wǎng)站-Insecam,里頭也有超過(guò)340個(gè)來(lái)自臺(tái)灣的監(jiān)視器畫面;其中最讓安全專家津津樂(lè)道的,是某家藝品店,黑客已成功換置該店的系統(tǒng),而且還在監(jiān)視器畫面上貼上一行紅色,表明店家的網(wǎng)絡(luò)攝影機(jī)已經(jīng)被入侵,但幾個(gè)月過(guò)去了,這行紅字始終呈現(xiàn)于畫面上,意謂店家對(duì)于自己的攝影機(jī)遭到入侵一事,依舊渾然不覺(jué),更不論采取任何應(yīng)對(duì)措施,物聯(lián)網(wǎng)安全問(wèn)題之嚴(yán)重,借助此例即可充分表露無(wú)遺。
有人說(shuō),展望未來(lái),人們現(xiàn)在所倚靠的一切開(kāi)關(guān)按鍵都會(huì)消失,不再需要借助遙控器來(lái)轉(zhuǎn)臺(tái),也不必透過(guò)開(kāi)關(guān)來(lái)關(guān)閉照明設(shè)備,這些裝置都將依預(yù)先設(shè)計(jì)的情境模板來(lái)自動(dòng)運(yùn)作,譬如說(shuō),當(dāng)家庭的所有成員都確定外出之際,假使廚房的瓦斯仍在繼續(xù)運(yùn)作,便會(huì)立即由系統(tǒng)自動(dòng)關(guān)閉瓦斯。
試想如果有一天,智能借助系統(tǒng)遭到黑客入侵,從而攪亂了情境控制功能,本該自動(dòng)關(guān)閉的瓦斯卻未關(guān)閉,甚至原已關(guān)閉妥當(dāng)?shù)耐咚褂直缓诳蛷倪h(yuǎn)程喚醒,那么信息安全不只帶來(lái)數(shù)字威脅,更危及實(shí)體安全,確實(shí)后患無(wú)窮。
那么終究該怎么做,才能遏止物聯(lián)網(wǎng)安全危機(jī)?去年底由美國(guó)國(guó)土安全部所發(fā)表的《物聯(lián)網(wǎng)安全策略準(zhǔn)則》(Strategic Principles for Securing the Internet of Things),無(wú)疑相當(dāng)值得政府與產(chǎn)業(yè)界參考,該準(zhǔn)則的制定初衷,在于喚起物聯(lián)網(wǎng)生態(tài)體系中所有成員的安全意識(shí),不論位居產(chǎn)品設(shè)計(jì)、生產(chǎn)制造或使用等不同角色,都有義務(wù)維護(hù)物聯(lián)網(wǎng)安全。
物聯(lián)網(wǎng)生態(tài)系成員 皆須肩負(fù)安全責(zé)任
深究美國(guó)之所以將物聯(lián)網(wǎng)IoT提升至國(guó)土安全等級(jí),實(shí)為一般大眾對(duì)于連網(wǎng)裝置的倚重程度急遽增高所致,例如油、水、電等民生關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)作,乃至于自動(dòng)駕駛車應(yīng)用,都與物聯(lián)網(wǎng)息息相關(guān),若不對(duì)此善加保護(hù),任由相關(guān)設(shè)備商罔顧安全設(shè)計(jì),繼續(xù)缺乏安全更新與漏洞管理機(jī)制,也放任使用者便宜行事采用預(yù)設(shè)帳密,因而向黑客敞開(kāi)大門,勢(shì)必會(huì)造成不可逆料的巨大危害,因此必須訴諸法令規(guī)范,從根本上盡量解除物聯(lián)網(wǎng)安全威脅。
專家指出,論及物聯(lián)網(wǎng)安全防護(hù),牽涉范圍頗廣,包括裝置的實(shí)體安全、網(wǎng)絡(luò)通訊、軟件設(shè)計(jì)、固件設(shè)計(jì)等不同構(gòu)面,皆需要面面俱到,此一特性,也導(dǎo)致物聯(lián)網(wǎng)安全防護(hù)的難度,明顯高于傳統(tǒng)計(jì)算機(jī)安全;姑且不論制造商或使用者對(duì)于物聯(lián)網(wǎng)風(fēng)險(xiǎn)的認(rèn)知是否足夠,也不管一味講求使用便利性的消費(fèi)者,是否有足夠耐心來(lái)接受必要的安全檢查程序,光是從物聯(lián)網(wǎng)、計(jì)算機(jī)兩類裝置在于運(yùn)算能力上的落差,也能顯而易見(jiàn)知道物聯(lián)網(wǎng)IoT設(shè)備難以支持太高階的加密技術(shù),能夠用來(lái)?yè)踝阂夥葑尤肭值奈淦鳎匀幌鄬?duì)疲弱。
但無(wú)論如何,物聯(lián)網(wǎng)的組成,可大致區(qū)分為終端裝置(End-device)、通訊媒介(Network Media)及后端系統(tǒng)(Backend System)等幾個(gè)關(guān)鍵環(huán)節(jié),其間經(jīng)由網(wǎng)絡(luò)來(lái)交換彼此信息,因此如何把散布于不同環(huán)節(jié)的漏洞關(guān)連起來(lái),肯定是物聯(lián)網(wǎng)安全防護(hù)的一大關(guān)鍵。
總括而論,借助上述重要環(huán)節(jié)所衍生的安全議題,至少分為六大項(xiàng),其中屬于應(yīng)用層者有三項(xiàng),依序是物聯(lián)網(wǎng)裝置本身的隱私數(shù)據(jù)保護(hù)、物聯(lián)網(wǎng)裝置身份認(rèn)證及訪問(wèn)權(quán)限控管,以及物聯(lián)網(wǎng)裝置本身的軟件漏洞更新與保護(hù)機(jī)制。
此外在網(wǎng)絡(luò)層部份,有兩項(xiàng)值得留意的安全議題,包含了物聯(lián)網(wǎng)裝置數(shù)據(jù)傳輸過(guò)程的加密及保護(hù),乃至于物聯(lián)網(wǎng)裝置之間更趨復(fù)雜的網(wǎng)絡(luò)安全管控。至于位在IoT應(yīng)用架構(gòu)最底端的感知層方面,則需要防范感知設(shè)備攻擊,至少需要確認(rèn)工業(yè)控制系統(tǒng)(ICS)或SCADA所接收到的信息,確實(shí)100%與原始數(shù)據(jù)相吻合。
專家建議,有鑒于物聯(lián)網(wǎng)裝置為數(shù)眾多,且偏布在不同環(huán)境,若要倚靠人工逐一管理,肯定力有未逮、緩不濟(jì)急,故企業(yè)不妨援引人工智能(AI)或機(jī)器學(xué)習(xí)(Machine Learning;ML)等技術(shù)分析安全威脅情資,自動(dòng)產(chǎn)生對(duì)應(yīng)防護(hù)決策。