当前位置: > >无所不在的物联网设备,你我都需要正视所带来的资安问题

无所不在的物联网设备,你我都需要正视所带来的资安问题

03-24,IT资讯无所不在的物联网设备,你我都需要正视所带来的资安问题最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

周峻佑

HITCON Girls共同创办人赖婕芳与沈祈恩在2017年资安大会的议程中疾呼,物联网(IoT)装置所衍生的资安问题必须受到正视,因为比起电脑,这些装置可能会接触到更多个人隐私,或是影响人身安全与国家安全,一旦遭受骇客攻击,后果便不堪设想。物联网装置的安全与我们息息相关,无论是製造者还是使用者,你我都必须暸解如何降低其资安风险。

物联网装置带来不少便利性与创新应用,因此受到人们的欢迎。物联网这个名词,最早出现于1999年,但直到2013年之后,成为开始热门讨论的话题,然而,根据2015年AT&T所做的调查报告中指出,在受访的5,000家企业中,有高达85%想要发展物联网应用,却只有10%的企业有信心能够应付骇客的攻击,显示物联网的资安问题,连企业普遍都没有把握。

另一个面向,则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等资安大厂2017年的预测报告中,可看出端倪。这些报告不约而同指出,物联网装置会带来严重的资安风险与网路攻击。赖婕芳以2016年10月时,DNS供应商Dyn遭受大规模DDoS攻击的事件为例,其中一部分是由Mirai控制的物联网装置僵尸网路所发动。这个事件造成採用的Dyn服务的知名网站,包含BBC与GitHub等受到波及。然而,骇客取得这些物联网装置控制权的方法,仅仅只是透过了测试60组常见的预设帐号与密码就得手。

应用层面广泛,无论是小朋友的玩具,还是学校的路灯,全都是物联网装置

其实物联网涉及的领域相当广泛,无论是金融、公共服务、製造业、零售业,乃至于与人身安全有关的医疗、国家安全有关的能源设施,都有相关的应用。还有,近年来常见的智慧家庭,也使用了大量的物联网装置。

赖婕芳举出许多案例,像是互动式芭比娃娃,透过了像是Siri的机制,就能和小朋友对话,然而却被发现,其网路通讯可能会被有心人士拦截,让芭比说出指定的内容,如果这个骇客是个恋童癖,很可能会让小孩与家长饱受惊吓。

此外,美国有间大学受到DDoS攻击,经调查却来是自校内的路灯、贩卖机等物联网设备,但学校并未想到这些校内设施,都是属于这类设备的一部分。

物联网设备甚至会造成人身威胁,例如骇客可控制汽车的自动驾驶系统,透过枪枝的管控系统,骇客可执行射击。

物联网安全是一整个生态圈的事情

基本上,许多人想到物联网的资安问题,可能会以为主要是对于装置加密,消除漏洞等防护措施。但事实上,我们手上的物联网设备,只是传感器(Sensors),背后拥有一个生态圈,还包含网路与应用程式等。但从骇客攻击的面向来看,则略有不同:大致上可分成硬体设备、连接性(Connectivity),以及应用程式3块。

硬体指的不只是物联网设备本身,还包含整个生态圈设施,像是闸道设备,或是执行应用程式的手机等,骇客可透过这些装置发动攻击。

连接性指的是任何连接的阶段、过程,包含网路流量、生态圈通讯,以及设备之间的连接,或是应用程式之间的API等。

应用程式则包含物联网装置本身的软体、云端网页介面或管理者介面等。

在物联网硬体出现的问题中,赖婕芳举了RFID卡Mifare Classic为例,这种卡片遭到逆向工程解析后,被发现金钥只有48 bits,极容易破解,她说,以现在的角度来看,只要在淘宝花5美元,就能取得相关的修改工具。

而对于连接性的问题,像低功耗蓝芽通讯(BLE)来说,在需要沟通的两个设备之间,由于像手环一类的设备没有萤幕,只能使用配对机制中的Just Work验证方法(无密钥),在这种情况下就很容易遭受中间人攻击。

但其实另外一层隐忧,则是更多装置的BLE通讯过程完全没有加密,以赖婕芳他们测试过的小米手环与体重计来说,他们发现只是对手机程式进行配对,没有对资料做保护,因此可将手环或是体重计的通讯内容,传送到非绑定的行动装置。换言之,有心人士可将小米体重计得到某个人的重量资讯,同时传送到多台装置中呈现。

相较于上述两者,应用程式是骇客最常使用的攻击标的,像Hitcon在2015年举办的大会中,就展示骇入Gogoro App并取得凭证,然后将电动机车成功发动。然而这是应用程式在设计上的问题,将凭证存放在手机不够安全的区域导致。

迎向2017年,物联网安全是全民都要面对的问题

面临物联网装置层出不穷的资安事件,我们必须有所体认。针对不同的角色,赖婕芳提出以下建议措施:

製造商:开始设计必须将资安纳入考量,并且开发者需要有安全开发经验、训练,最好产品在上市前渗透测试。

企业用户:需将物联网设备盘点并列管,若是无法修补的设备,应考虑隔绝于主要网路之外。此外,防护措施需将整个网路架构纳入资安考量。并在採购时,要求厂商确保设备安全性。

终端使用者:了解使用装置的风险,如果不确定设备的功能,最好就不要使用。使用时,要将预设密码更换成高度複杂的密码。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >