2016新興科技風險：Docker威脅白熱化，IoT風險明年發威

許多新興科技的應用越來越成熟，連帶也造成許多人沒有意識到的新風險。趨勢科技全球核心技術部資深協理張裕敏表示，越受歡迎、越多人愛用的各種新興科技應用，就是駭客努力鑽研的新領域。

張裕敏也預測，現階段對臺灣企業用戶影響最大的資安威脅包括APT攻擊和勒索軟體，但是，越來越多雲端供應商推出商業化的容器（Container）服務或產品，就連Docker公司也推出企業用的Docker相關的雲端服務，因此，Docker的資安議題在今年會受到高度關注。至於物聯網則是明年會爆發的資安風險，包括無人機或者是智慧家庭，都會是熱門議題。

勒索軟體和APT攻擊，仍是臺灣如影隨形的資安風險

張裕敏先從過去一年來，眾所矚目的兩大資安威脅開始談起，包括勒索軟體和APT威脅。

勒索軟體出現，尤其是2013年的CryptoLocker的崛起，讓勒索軟體真正有辦法獲得贖金，甚至於，從2015年到2016年初，在各種平臺都陸續出現不同的勒索軟體，Android及iPhone手機無一倖免，即便是號稱安全的Mac OS X，都在日前出現專屬的勒索軟體而淪陷。

張裕敏表示，勒索軟體是一個歷史悠久的產物，其實是一種讓電腦無法正常使用的軟體，勒索軟體執行後，會把電腦中的所有檔案都加密，必須付錢給駭客後，才可以拿到解密的金鑰。

勒索軟體早期產物是Fake AV，只是把使用者的電腦桌面鎖起來，但還算容易處理，因此沒有造成流行；之後也有出現把檔案加密的勒索軟體，但是駭客要勒索錢還是有困難，也沒有造成流行。

金流是駭客想要解決的問題，直到非實名制的比特幣出現後，駭客可以順利匿蹤並取得勒索贖金，這個關鍵的勒索軟體就是在2013年開始流行的CryptoLocker，而且，在臺灣只需要在便利商店就可以買到比特幣，對駭客更是方便的金流管道。解決金流問題後，勒索軟體便如同雨後春筍般的蓬勃發展。

雖然大家都很看重勒索軟體對企業和使用者帶來的後遺症，因為，這是立即可見的威脅，但張裕敏說：「更難以察覺的APT攻擊，其實一直都沒有消退。」他進一步解釋，從2013年～2015年7月，光是趨勢科技團隊就已經處理376次事件處理，也調查1,997臺受駭主機，其中，伺服器就有1,216臺，使用者電腦則有781臺。

更有甚者，張裕敏表示，現在APT攻擊潛伏的時間，從攻擊被發現的時間，到可以追溯、最早駭客潛入的時間點，目前平均約為559天，大概駭客要入侵企業一年半後，企業才有機會發現出事了；其中，更有些極端的案例甚至要2,000天後才會被發現，大約駭客要潛入企業五年半的時間，企業才會察覺有不對勁之處。

若以產業來看，政府（791天）高科技製造業（762天）以及金融業（761天），是前三大駭客潛伏在企業內時間最長的產業，平均都超過2年以上，企業才會發現已經被駭客入侵。若以最長潛伏時間來看，前三名產業則是政府（2,486天）、高科技製造業（2,312天）以及資訊業（2,284天），平均都要超過6年以上，才可能發現不對勁之處。

也因為勒索軟體和APT攻擊是現階段普遍可以感受到的資安威脅，張裕敏建議，在解決勒索軟體的威脅時，可以從伺服器端和個人電腦端下手，前者只要裝對防毒軟體，還有做好妥善備份，問題不大；後者，除了常見的不要點擊來路不明的網址等提醒外，也建議可以使用虛擬機器上網，並且將資料備份在雲端，都可以降低風險。

面對APT攻擊的威脅，張裕敏認為，最難的地方在於傳統防禦邊界消失，縱深防禦已經防不了APT攻擊，第一線沒有可以打仗的兵，後方也沒有可以支援的部隊，這也使得多數企業面對APT攻擊時，往往束手無策。若要有效防禦APT攻擊，他表示，從閘道到端點的資訊流，結合產品、服務和情資，看重事前、事中和事後的處理流程，並引進新技術，就可以有效的因應APT攻擊。

越多人用Docker，風險也越高

這兩年，開始有越來越多IT人開始使用便於部署應用程式環境的新技術Container，預計今年Docker公司也開始推出企業的Docker相關的雲端服務。張裕敏表示，Docker對IT部門而言，解決了繁瑣的應用程式部署環境的問題；但是對駭客而言，卻成為一個可以從企業虛擬環境，轉進到企業真實環境的新的攻擊路徑。

張裕敏表示，這個現今IT業界最受歡迎的明星技術，也開始醞釀新一波IT典範轉移，可以預測，在未來十年IT架構、應用程式開發與部署的方式等，都會受到由Docker引爆的Container（容器）技術的影響。因此，他也預言，在2016年，隨著Docker推出新的商業服務，對企業帶來的資安風險也越高。

物聯網明年帶來嚴重的資安威脅

當萬物連網時，每一個連上網路的裝置，勢必面臨安全的議題。張裕敏也觀察到，不論是無人機安全以及連網的智慧家電等，都可能是接下來無法忽略的物聯網風險要角。

他進一步解釋，包括各種零售物流業者，例如亞馬遜（Amazon），或者是軍方等單位，都積極發掘各種無人機的應用，除了用無人機來載貨之外，也可能用來投放各種危險物品。此時，有能力的駭客就可以用遙控器操控無人機，讓無人機飛行、降落到駭客指定的地點。

當然，駭客也可以操控一臺改裝過的無人機，對於同樣在天空中的無人機群，發出「Following Me」的指令，滿天的無人機就可以跟著發出指令的無人機，飛行降落到駭客指定的地點。也因此，對於各國政府而言，有一臺不受控、可以飛在天空中的飛行裝置，也使得各國政府開始思考，應該如何管制這類的飛行裝置。

張裕敏認為，無人機的風險在於，因為使用不安全和老舊的技術，每一個操控的方式，都可以是駭客入侵的管道。舉例而言，目前的GPS技術已經是10年前的老技術，駭客不僅有能力蓋臺，也可以發動中間人攻擊，更可以偽造假的GPS訊號，來劫持無人機；再者，現在有許多無人機都可以透過App操控，但這些App幾乎都不安全，都有許多弱點可供駭客入侵；更可怕的是，每一臺無人機都可以匯入各國禁航區的資訊，一旦駭客竄改相關禁航區的資訊，將對於無人機的飛航安全帶來很高的風險。

除了無人機外，許多連網的智慧家電，也有潛在風險。張裕敏便說，家用路由器是許多智慧家電的核心，但這也成為駭客鎖定攻擊的標的。更讓人擔心的事情是，這些連網的智慧家電，多數是採用安全性不高的通訊協定，包括：藍牙、Wi-Fi、NFC、SMS或是Zigbee等，駭客就可以利用這些不安全的通訊協定，做到蓋臺、劫持、重播攻擊，或者是讓智慧家電等裝置成為惡意基地臺等，而且，這些智慧家電本身，多是採用2.4GHz頻道連結，不僅干擾度高，有些時候，裝置之間也無法有效連結。

此外，當每個人都拿著各種行動裝置，充電這件事情，就成為很重要的事。張裕敏表示，現在很多人看到插座就會直接充電，但是，現在駭客也已經有能力，假造一個充電的插座並植入惡意程式，使用者只要用這個惡意插座充電時，就可以被植入惡意程式，這也已經在2013年美國舉辦的駭客年會上，就有在iPhone手機充電的實作案例。

他說，今年2月有一個新研究發現，有一個網路相關的路由廣告（Advertisements）RFC4861漏洞，會讓手機快速消耗電力，這就成為駭客入侵的機會，當然，目前已經可以透過RFC7772的研究，改善這個耗電的漏洞。

張裕敏表示，對於駭客而言，越多人使用的產品或服務，就可以對駭客帶來更大的價值及利益，駭客也越願意花心力找出這些產品和服務可以利用的漏洞。而不論是勒索軟體或是APT攻擊，因為現在是熱門議題，駭客持續在這方面鑽研；而Docker的應用漏洞，預料會成為今年度，可以經常聽到的新的攻擊形式；談了好一陣子的物聯網，則會因為應用範圍大，從智慧家電到無人機都是駭客可以用來發動各種攻擊的案例，相關的防禦難度也越高，對於相關的安全性，也必須開始留意。

【相關報導請參考「2016 全臺最大規模資安盛會直擊」】