防不勝防，從賭場資安事件案例看物聯網場域安全

近期4月12日，由華爾街日報舉辦的執行長高峰會倫敦會議中，Darktrace執行長Nicole Eagan分享一則資安事件[1]，說明網路犯罪分子如何利用賭場大廳魚缸的聯網溫度計的漏洞當中繼站，入侵賭場資料庫，竊取豪客(High-rollers)的名單。這起資安事件值得討論的是，除了過去一再強調的物聯網終端設備的安全性議題外，以安防嚴密著稱的賭場場域，為何對此攻擊毫無抵抗力；以及思考在物聯網場域情境中，該如何做有效的防禦佈署。

從Darktrace的2017年全球威脅報告白皮書中[2]，可以看到該事件調查報告。北美一家賭場為吸引顧客，在賭場大廳安裝一個高科技魚缸，其配置著先進物聯網感測器，可以自動調節魚缸水溫、鹽度、及餵食時間排程。在網路安全佈署上，為了跟賭場公用網路做隔離，該感測器透過虛擬私有網路(VPN)連接到賭場內部電腦設備，以確保通訊的獨立性。事件調查發現，攻擊者利用魚缸聯網感測器當中繼站，找到了賭場豪客資料庫，將其從內部網路中匯出到魚缸聯網感測器，並轉移到外部。該感測器日常運作的表現，在與內部電腦設備的通訊網路流量上，偶有零星的網路流量產生，符合其感測器類型的特性。但在其對外通訊上，竟發現有高達10GB的多媒體影音網路流量產生，資料被傳送到遠端位於芬蘭的一台設備。雖然該報告並未提及詳細的攻擊手法，但我們可以進一步分析其滲透攻擊方式，從攻擊面向討論，探討可能之攻擊途徑：

魚缸聯網感測器應存在漏洞讓攻擊者得以入侵

可能是裝置軟體或韌體實作的漏洞、使用未修改的預設密碼，或是組態設定上未正確調整等原因，讓攻擊者可以完全取得該聯網感測器之控制權，並將其作為攻擊中繼點掃描賭場內部網路配置。

魚缸聯網感測器及賭場內部電腦設備使用到有缺陷的VPN協議實作版本

例如設備軟體或韌體直接或間接使用第三方套件，其中含有HeartBleed漏洞的OpenSSL、OpenVPN版本，讓攻擊者可以獲得VPN金鑰，進一步竊取到認證帳號與密碼，滲透到賭場內部網路。

而從防禦面向討論，從事件調查報告顯示該魚缸感測器僅呈現零星的網路流量的現象來看，賭場內部資訊安全控管機制可能也存在相當大的問題：

1.     賭場機房防火牆未對Outbound流量做控管，導致於大量偽裝成影音流量的資料可以輕易傳送出去。

2.     賭場豪客資料庫未做良好的存取控制權限設定，導致攻擊者透過VPN進入到賭場內部網路時，便可輕易的訪問到豪客資料庫，無觸發IPS及IDS警報。

從整體安防面向來看，賭場傳統的安防機制，架構在嚴格的實體控管，如門禁系統與監視器系統等，確保特定區域範圍僅有特定許可人員可進出，同時網路配置上，內部網路域外部商業網路做區分。但從此案例來看，可得知傳統安防佈署在導入新興物聯網設備及服務時，無論在網路佈署上、或是實體區域人員控管上，都面臨極大的挑戰。

1.     從該魚缸感測器可以透過VPN訪問內網及連接外網的現象，合理推斷上，是透過無線網路，連接到可訪問外網的Wi-Fi路由器，形成此案例中連接內網與外網的關鍵資安防禦弱點，讓攻擊者無需進入機房便可竊取資料，賭場門禁系統在本案例中無法發揮作用。

2.     攻擊者先入侵並控制了魚缸感測器，途徑可能經由Internet遠端入侵控制，或是近端透過無線網路(ex. Wi-Fi, Bluetooth, etc.)發起攻擊，無論是哪種情況，賭場傳統的監視器系統，都難以發現有可疑人士在試圖做網路攻擊行為，賭場監視器系統在本案例中亦無法發揮作用。

反思本攻擊案例，在物聯網應用場域中，該如何確保資訊安全呢？以下提供互聯安睿資通的建議方案：

1.     確保採用物聯網裝置的安全性，除了基本裝置軟體、韌體的原始碼掃描外，採購時亦可要求廠商提供第三方的測試報告，如OWASP IoT Testing Guide，作為設備採購安全需求，避免採用安全性不足的物聯網裝置。

2.     確保場域內的各網路設備軟體、韌體持續獲得更新，定期檢查並調整組態設定，維持場域內網路配置的正確性與安全性。

3.     除此之外，系統應將場域內的無線訊號同時納入監控，以本案例來說，假設魚缸感測器以無線網路(ex. Wi-Fi, Bluetooth, etc.)佈署到賭場，第一，若攻擊者試圖在無線訊號範圍內攻擊魚缸感測器，那麼必然會產生大量的異常無線訊號活動，有助於系統即時偵測到攻擊行為發生；第二，假設魚缸感測器仍被入侵並控制了，當攻擊者試圖拿它當跳板，將竊取到的資料往外部傳送時，同樣也會產生大量的異常無線訊號活動，系統亦能即時偵測到攻擊行為發生，並迅速採取應變措施，避免資料外洩。

4.     系統納入網路封包流量AI分析監控，有別於傳統IPS、IDS的作法，採用AI演算法分析網路封包流量，透過機器學習方式，學習場域網路設備的日常運作特徵，並在判斷到異常網路流量發生時，發送異常通報。

以本賭場案例來看，Darktrace即是在賭場佈署其AI流量分析監控方案後，才發現到這起巧妙的資安攻擊事件，賭場既有的資安防禦佈署完全無法有效偵測到攻擊存在。可惜的是，AI流量分析監控方案並沒有在事發當下就有效發出警告，因此僅能作事後取證分析，錯過第一時間的應變處置，若賭場能將場域內的無線訊號資產同時納入監控，應該可以進一步避免攻擊發生。

互聯安睿資通股份有限公司是以互聯網安全、安全產品為核心的新創公司，堅持產品的資訊安全，依據我們經驗測試每項規範，讓物聯網中每個節點都是受到保障的，絕不讓您的產品結局那麼後悔。

Reference:

[1] https://www.businessinsider.de/hackers-stole-a-casinos-database-through-...

[2] https://www.darktrace.com/resources/wp-global-threat-report-2017.pdf