原标题:无所不在的物联网设备,你我都需要正视所带来的资安问题
图片来源:周峻佑
Hitcon Girls共同创办人赖婕芳与沈祈恩在2017年资安大会的议程中疾呼,物联网(IoT)装置所衍生的资安问题必须受到正视,因为比起电脑,这些装置可能会接触到更多个人隐私,或是影响人身安全与国家安全,一旦遭受骇客攻击,后果便不堪设想。物联网装置的安全与我们息息相关,无论是製造者还是使用者,你我都必须暸解如何降低其资安风险。
物联网装置带来不少便利性与创新应用,因此受到人们的欢迎。物联网这个名词,最早出现于1999年,但直到2013年之后,成为开始热门讨论的话题,然而,根据2015年AT T所做的调查报告中指出,在受访的5,000家企业中,有高达85%想要发展物联网应用,却只有10%的企业有信心能够应付骇客的攻击,显示物联网的资安问题,连企业普遍都没有把握。
另一个面向,则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等资安大厂2017年的预测报告中,可看出端倪。这些报告不约而同指出,物联网装置会带来严重的资安风险与网路攻击。赖婕芳以2016年10月时,DNS供应商Dyn遭受大规模DDoS攻击的事件为例,其中一部分是由Mirai控制的物联网装置僵尸网路所发动。这个事件造成採用的Dyn服务的知名网站,包含BBC与GitHub等受到波及。然而,骇客取得这些物联网装置控制权的方法,仅仅只是透过了测试60组常见的预设帐号与密码就得手。
应用层面广泛,无论是小朋友的玩具,还是学校的路灯,全都是物联网装置
其实物联网涉及的领域相当广泛,无论是金融、公共服务、製造业、零售业,乃至于与人身安全有关的医疗、国家安全有关的能源设施,都有相关的应用。还有,近年来常见的智慧家庭,也使用了大量的物联网装置。
赖婕芳举出许多案例,像是互动式芭比娃娃,透过了像是Siri的机制,就能和小朋友对话,然而却被发现,其网路通讯可能会被有心人士拦截,让芭比说出指定的内容,如果这个骇客是个恋童癖,很可能会让小孩与家长饱受惊吓。
此外,美国有间大学受到DDoS攻击,经调查却来是自校内的路灯、贩卖机等物联网设备,但学校并未想到这些校内设施,都是属于这类设备的一部分。
物联网设备甚至会造成人身威胁,例如骇客可控制汽车的自动驾驶系统,透过枪枝的管控系统,骇客可执行射击。
物联网安全是一整个生态圈的事情
基本上,许多人想到物联网的资安问题,可能会以为主要是对于装置加密,消除漏洞等防护措施。但事实上,我们手上的物联网设备,只是传感器(Sensors),背后拥有一个生态圈,还包含网路与应用程式等。但从骇客攻击的面向来看,则略有不同:大致上可分成硬体设备、连接性(Connectivity),以及应用程式3块。
硬体指的不只是物联网设备本身,还包含整个生态圈设施,像是闸道设备,或是执行应用程式的手机等,骇客可透过这些装置发动攻击。
连接性指的是任何连接的阶段、过程,包含网路流量、生态圈通讯,以及设备之间的连接,或是应用程式之间的API等。
应用程式则包含物联网装置本身的软体、云端网页介面或管理者介面等。
在物联网硬体出现的问题中,赖婕芳举了RFID卡Mifare Classic为例,这种卡片遭到逆向工程解析后,被发现金钥只有48 bits,极容易破解,她说,以现在的角度来看,只要在淘宝花5美元,就能取得相关的修改工具。
而对于连接性的问题,像低功耗蓝芽通讯(BLE)来说,在需要沟通的两个设备之间,由于像手环一类的设备没有萤幕,只能使用配对机制中的Just Work验证方法(无密钥),在这种情况下就很容易遭受中间人攻击。
但其实另外一层隐忧,则是更多装置的BLE通讯过程完全没有加密,以赖婕芳他们测试过的小米手环与体重计来说,他们发现只是对手机程式进行配对,没有对资料做保护,因此可将手环或是体重计的通讯内容,传送到非绑定的行动装置。换言之,有心人士可将小米体重计得到某个人的重量资讯,同时传送到多台装置中呈现。
相较于上述两者,应用程式是骇客最常使用的攻击标的,像Hitcon在2015年举办的大会中,就展示骇入Gogoro App并取得凭证,然后将电动机车成功发动。然而这是应用程式在设计上的问题,将凭证存放在手机不够安全的区域导致。
迎向2017年,物联网安全是全民都要面对的问题
面临物联网装置层出不穷的资安事件,我们必须有所体认。针对不同的角色,赖婕芳提出以下建议措施:
製造商:开始设计必须将资安纳入考量,并且开发者需要有安全开发经验、训练,最好产品在上市前渗透测试。
企业用户:需将物联网设备盘点并列管,若是无法修补的设备,应考虑隔绝于主要网路之外。此外,防护措施需将整个网路架构纳入资安考量。并在採购时,要求厂商确保设备安全性。
终端使用者:了解使用装置的风险,如果不确定设备的功能,最好就不要使用。使用时,要将预设密码更换成高度複杂的密码。
iThome Security
相关:
3月17日,腾讯应用宝发布了“星APP”2月榜单,与以往不同,本次榜单分成新锐应用和流行应用,更清晰地为用户发现当月好玩和经典的应用。同时,从上榜的腾讯视频、星座城、狼人杀、镇魔曲、QQ等10款应用中可以看出,在
超低功耗MCU使系统级功耗节省10倍并支援物联网应用中的浮点运算
台北2017年3月16日电 /美通社/ --?Analog Devices, Inc. (ADI) 宣布推出一款超低功耗微控制器单元(MCU),用于满足迅速增长的嵌入高级演算法需求,并且当其用在物联网(IoT)边缘节点时,消耗的系统功耗极低。ADuCM405
中新网宜昌3月16日电题:三峡夷陵做活“山水文章”乡村游带来百亿财富作者郭晓莹邱天星3月16日,湖北省宜昌市夷陵区2017年“缤纷四季乡约夷陵”乡村游活动在上洋村启动,当日的上洋村桃花红、梨花白,十里樱花长廊犹
瞬间矫正视力仿生镜片将上市对于有近视眼的朋友来说,戴眼镜确实是一件非常麻烦的事情。框镜在日常健身锻炼中会显得非常不方便,而隐形眼镜在各种处理步骤中也显得相当麻烦。做近视眼激光矫正手术又很担心20年之后会
异地恋对对爱情的一大考验,因为远距离会产生很多问题,所以很多人在问异地恋怎么维持。想要维持异地恋,就一定要正视异地恋会出现的问题,如果能解决哪些问题,异地恋情侣也能有一个美满的结局。1、短信听不到语气,