今年臺灣校園遭遇印表機入侵的事件,會自動印出比特幣勒索內容的文件,比起其他IoT攻擊方式,讓人直接感受到設備遭入侵,這其實就已經在警惕我們,IoT攻擊的威脅就在眼前。

圖片來源: 

iThome

物聯網(IoT)所帶來的相關安全問題持續被討論著,因為已經在我們生活周遭帶來更多影響。

過去常見的網路攻擊行為,通常就是電腦中毒、資料竊取、網站被入侵等,在物聯發展浪潮之下,現在攻擊重心開始擴散至各式連網系統與裝置,受到攻擊與濫用的比例已有增加的現象。以往在電腦、智慧型手機上才有的隱私保護、資訊安全問題,也成為更多連網設備與系統同樣需要面對的事。

而且,這些連網設備帶來的危害,已經發生在你我周遭,像是今年2月,臺灣校園出現連網印表機遭濫用的情形,會自動印出勒索比特幣的恐嚇文件,有心人士不再只是打打騷擾電話,寄寄釣魚電子郵件,或是將惡意程式植入你的電腦,還可以利用更多連網設備來入侵你的生活。

生活周遭常見的監視器,恐遭攻擊而不自知

我們可以看到每個路口、商家,幾乎都有設置監控攝影機,一般用來防範犯罪,但這類設備在近年常成為IoT攻擊事件的主角,不論是隱私安全或DDoS共犯的問題都有,但我們也很難從外表看出設備是否被入侵利用。

IoT攻擊不是理論,而是真實世界發生的事件

過去你可能已經看到一些物聯設備的資安新聞事件,像是在2014年時,就有駭客將全球上萬臺網路攝影機的影像,放上一個網站,公開給任何人免費即時瀏覽,不論是店家監視畫面,路邊監視器的場景,甚至是讓居家私生活變成實鏡秀。由於監視攝影機的運用範圍之廣,從傳統防盜、監視,到居家幼兒、老人照護等都有,明顯為民眾帶來隱私安全的問題。

像是在2014年就有國外網站,直播全球數萬未重新設置密碼的攝影機影像,至今這些問題依然存在,能看到不少的臺灣監視器即時畫面。(圖片來源/www.insecam.org) 連結:臺灣受害IP camera

與民生息息相關的關鍵基礎設施更是一大焦點,像是2015年底造成烏克蘭3家電力公司有關的惡意程式BlackEnergy,導致數十萬戶大停電的危機。此事也提醒各國對於關鍵基礎設施安全性的重視,不可輕忽工業控制系統的防護,這類攻擊通常帶有特定政治目的,且影響層面極為廣大。

當然,還有不少非典型的基礎系統遭駭入事件,像是去年2016年越南機場發生廣播系統,突然廣播出以英語辱罵越南及菲律賓的言詞,並強調南海是中國的固有領土。這類系統遭入侵而濫用的事件,帶來的危害雖然並不直接,但很容易在生活周遭帶來一些影響。

而連網設備中,就連我們每天工作必用的印表機,也有類似的情形發生,像是今年2月臺灣校園遭遇到的比特幣勒索事件,就是透過印表機擅自印出帶有威脅內容的文字。

更讓人關注的是,事件中要求支付比特幣為贖金,與近年加密勒索軟體的目的相同,以匿蹤性高的金流機制作為給付方式,讓執法單位難以追查,當駭客受到利益驅動,將勒索行為鎖定不同目標下手時,這也促使攻擊可能性的增加,連帶也讓過去未引爆的許多問題漸漸浮上檯面。

不僅如此,各式連網裝置受到入侵後,除了他人能藉此獲取隱私、利用或濫用,甚至成為勒索標的,也還有成為跳板、DDoS共犯的可能性。

像是去年稱之為Mirai的惡意軟體,感染10多萬臺的路由器、監視器與IP攝影機,組成殭屍網路大軍,進而發動大規模網路DDoS攻擊。其中一起攻擊事件,還造成美國DNS服務商Dyn服務停擺,導致包含CNN、Twitter、Wikia等知名網站全部無法連線使用的情況。

過往殭屍網路(Botnet)需要感染很多的電腦,也就是俗稱的「肉雞」,在連網運算裝置更趨多元的發展下,殭屍網路需要的肉雞也已經不限於傳統電腦型態。

另外,今年4月底Kaspersky公布另一殭屍病毒Hajime,感染30萬臺監視器、視訊攝影機與路由器等連網設備,雖然目的還不明,但IoT裝置成新殭屍網路的局面已經快速擴散。

許多連網應用就在你身邊,IoT設備安全威脅才剛剛開始

物聯網的議題談論許久,上述諸多常見連網裝置與系統所遭遇的安全威脅,已經突顯出一些過往被忽略的問題,而讓人應接不暇的是,接下來還有更多新興連網裝置與應用,雖然帶來科技及生活創新,但同樣令人憂心的部分也在於,是否會被利用及帶來威脅。

像是無人機與連網汽車,就是近年常被廣泛討論的例子,在今年3月的2017臺灣資安大會上,有不少資安業者提及這些這種大型可移動性的設備若被用來發動各種攻擊的威脅性。不論小至用來拍照,或是大至用來載貨的無人機,或是連網汽車被他人接管,若被劫持到處遊走,都有可能被利用來收集資訊、侵犯隱私,或是對生命造成危害、當成攻擊武器等。

還有智慧電視也有遭害被勒索的事件,也有資安業者打造相關攻擊概念性驗證程式,駭進智慧電視,藉由電視機的攝影機或麥克風監控使用者,甚至攻擊家中其他的智慧裝置。

你可不要以為智慧家電還很遙遠,其實這一兩年已有家電廠商,開始推出IoT智慧大小家電,像是搭載WiFi功能的洗衣機、冰箱、冷氣,以及電子衣櫥等更多小家電,甚至也有智慧感應器套組,可讓既有家電升級連網功能。而更早走入家中的掃地機器人,也有新一代產品提供居家監看、手機遠控打掃的功能。

由於這些許多新興的智慧聯網裝置,將具備更豐富的感測能力,不僅是帶來更多智慧應用,但也有機會成為被利用的媒介。

舉例來說,像是語音控制越來越熱門,可說是對使用者極具吸引力的人機介面操控方式,但這些含有麥克風的連網裝置,可能遇到什麼樣的問題呢?近期速食業者漢堡王一則創意廣告,就引起爭議,當中利用了智慧家庭聲控裝置Google Home的使用特性,以廣告內容觸發家中放在電視旁的設備主動回應,藉由廣告詞「OK, Google , What’s the Whopper Burger」,以呼叫Google Home搜尋該產品訊息。

另外,這些附有麥克風的智慧連網裝置,是否也能被用來竊聽使用者對話呢?像是之前由玩具商推出的連網娃娃,就有資安漏洞恐遭竊聽的疑慮,而且,如與攝影鏡頭相比,竊聽似乎顯得更為無形。

更要提醒大家的是,這些新興物聯應用已有實際被駭的案例,像是今年2月美國電信商Verizon在2017年資料安全報告中,就實際揭露了一起物聯網裝置導致的DDoS攻擊事件,事件一開始是發現校園網路速度變慢,進而追蹤到不少DNS伺服器的域名查詢都跟海鮮相關,應該不是校內學生突然對海鮮晚餐感興趣吧?進一步調查才發現,這些DNS查詢需求來自該校區內的連網路燈與飲料自動販賣機。

在連網應用擴增的趨勢之下,現在連路燈也不再只有單一照明功能,也開始加入故障自動回報、遠端控制能力。但也令人憂心的是,若安全防護沒有跟上,更多型態的連網設備,都將面臨被攻擊利用的可能性。

國家公共建設連網日益提升,潛在的危害程度也將更為嚴重

當IoT裝置的數量越來越龐大,種類越來越多時,潛在威脅也成正比攀高,當國家內許多資訊設備都連上網路,潛在的公共安全危害也就更高,像是監視器遭入侵的事件,已經時有所聞。

面對物聯網的資安挑戰,使用者、廠商與政府都應積極採取行動

大家都期待著物聯網,能帶給我們新的美好網路世界,為個人生活提供更聰明,以及便利的智慧生活環境。但近年發生的IoT攻擊事件,讓我們不得不重視這些連網設備的資安問題,如果不去應對,可能導致失控的局面。

我們已經看到許多DDoS攻擊事件,是入侵了IoT裝置,像是藉由感染監視攝影機、路由器等設備,讓這些裝置作為攻擊來源,進而直接影響目標系統的運作。但對於這些IoT裝置的擁有者來說,被入侵時通常並沒有發現或後知後覺。即使是監視攝影機被他人窺視,一般人也不一定能察覺被入侵。

而從最近臺灣校園爆發的比特幣勒索事件來看,由於是直接侵入印表機印出帶有威脅內容的文字,讓設備使用者很快就能意識到被入侵,這也讓一般人更注意到,原來IoT攻擊威脅就在眼前。

為何以前沒有爆發這樣的事件呢?資安專家李倫銓表示,以這次校園印表機入侵事件來看,其實問題一直都存在,現在因為勒索有利可圖後,事件開始變得很外顯,也就是要讓事情都爆發出來,才會讓大家都知道並重視。

從既有IoT裝置設備的安全問題來看,可以簡單分成兩個面向,一個是使用者沒有盡好管理的責任,像是這次校園印表機被入侵,其實攻擊過程並沒有高深的駭入手法,主要是設備並無設定防護機制,以及不安全的部署,所以容易成為被入侵目標。

當連網設備普及到一個程度,用戶對於產品與使用上的資安問題,其實也必須要有一定程度的瞭解。像是要去修改設備管理介面的密碼,密碼設定也不能太過簡單,還有就是用戶為了要能遠端控制,可能做出不安全的網路設定等等。

當然,要解決這樣的問題,也能從大面向著手,像是對於這些既有的連網設備,今年1月美國美國聯邦貿易委員會(FTC)其實就發起一項物聯網家庭資安檢查挑戰賽,期望能有一套工具或方案,能替老舊的物聯網裝置,進行檢查、安裝更新與強化密碼防護,以減少使用者做出不安全的設定。

家庭連網裝置較缺乏有效管理,居家隱私安全令人憂心

近年家用無線路由器安全是關注焦點,連美國聯邦貿易委員會(FTC)近年也已經控告設備廠商,沒有積極處理漏洞修補與通知的問題,突顯資安議題是各廠商是無法避免的挑戰。

另一個面向則是,廠商沒有做好設備的資安維護,像是電腦常遇到安全性更新,由於存在未知漏洞,可能成為系統安全性的死角,系統廠商會不斷釋出更新來修補漏洞,而各IoT裝置也會面臨同樣的問題,需要設備廠商來維護。

像是之前國內廠商的無線路由器與攝影機被美國FTC控訴,就有漏洞大到一直沒有處理的問題,而使用者沒有其他解法,只能等待廠商升級韌體來修補。

由於早期這些裝置在更新機制上沒有謹慎考量,過往普遍作法是,使用者要自行下載韌體更新,甚至是送回原廠才能更新。面對這樣的問題,李倫銓表示,設備廠商要面對的挑戰就是要管好韌體自動更新(Firmware Over The Air,FOTA),這必須要投入強大的團隊管理與韌體管理機制,其實並不容易。

像是能否保證可以順利更新,會不會影響到消費者的使用,且物聯裝置生命週期很長,到底要如何規畫也是議題。

國立臺灣科技大學資訊管理系副教授查士朝也表示,以目前國內環境而言,像是消保官可以對設備廠商做一些要求,他更進一步指出,其實各國政府都會慢慢開始要求,廠商若要將產品輸出到當地上市,就必須要滿足一定程度的安全規範,也建議設備廠商要做好類似隱私衝擊分析(PIA)的工作,讓潛在隱私風險可以被管控。

當然,未來IoT裝置的資安防護環節也將隨應用擴增而放大,不論是裝置本身,還有網路、應用程式、雲端服務方面,也可能還將跨越數種通訊協定,其安全上的威脅議題,若沒有通盤檢討,將花更多心力去改善與應對。

企業網路與電腦設備仍是攻擊主要對象,更要強化安全管理

在新興的物聯裝置發展之下,資安問題將比過去要複雜許多,但企業內部的個人電腦、伺服器與網路仍是駭客攻擊重心,企業不僅更要強化安全管理,也該時時注意物聯潮流下的威脅與演變。

 IoT裝置越來越多,資安風險將更嚴重 

在物聯化的發展浪潮之下,每個實體物品都可能化身成為資訊科技設備,能夠連上網路,並分到一個IP位置。

若根據Gartner預估,2020年全球IoT裝置數量將達208億,比2017年要多2.5倍,顯然,未來我們將要面對的是數量龐大、產品多樣且感測更豐富的物聯設備,管理問題將更顯複雜,再不好好重視,將為我們生活帶來極大影響。

當連網設備遭到入侵,一來會有隱私問題、濫用與勒索的可能性,另一種則是被當作借刀殺人的工具,成為幫兇共犯。儘管攻擊者是罪魁禍首,但企業與使用者也該有責任,一旦調查結果源頭指向自己,未來是否可能遭受罰金、企業名譽受損等風險呢?這樣的風險責任,也是物聯時代該意識到的問題。

從網路犯罪角度來看,當所有裝置都能夠連網,使用各種通訊協定,也表示進入了萬物皆可被攻擊與利用的局面,若再加上勒索行為的橫行,將使得資安威脅更難以防堵。

想像一下,我們已經看到校園印表機可以被人濫用,發生自動列印威脅文字內容的狀況,如果還有更多自己家中的智慧裝置也被人控制,燈光忽明忽暗、警示叫聲不斷,或是有心人士駭入汽車控制駕駛和煞車系統,後果也將於人身安全息息相關。

而且,物聯網的發展面向會更廣,尤其是當裝置感測器更多元,系統彼此間更開放互連,並能與各式應用服務相結合,攻擊面向也將更廣,譬如感測收集到的資料被入侵修改,也將牽動後端的資訊反饋出問題,進而導致其他間接攻擊等行為發生。

 相關報導 聯網安全管理瀕臨失控,威脅事件頻傳


Advertisement

更多 iThome相關內容