今年台湾校园遭遇印表机入侵的事件,会自动印出比特币勒索内容的文件,比起其他IoT攻击方式,让人直接感受到设备遭入侵,这其实就已经在警惕我们,IoT攻击的威胁就在眼前。
图片来源:iThome
物联网(IoT)所带来的相关安全问题持续被讨论着,因为已经在我们生活周遭带来更多影响。
过去常见的网路攻击行为,通常就是电脑中毒、资料窃取、网站被入侵等,在物联发展浪潮之下,现在攻击重心开始扩散至各式连网系统与装置,受到攻击与滥用的比例已有增加的现象。以往在电脑、智慧型手机上才有的隐私保护、资讯安全问题,也成为更多连网设备与系统同样需要面对的事。
而且,这些连网设备带来的危害,已经发生在你我周遭,像是今年2月,台湾校园出现连网印表机遭滥用的情形,会自动印出勒索比特币的恐吓文件,有心人士不再只是打打骚扰电话,寄寄钓鱼电子邮件,或是将恶意程式植入你的电脑,还可以利用更多连网设备来入侵你的生活。
生活周遭常见的监视器,恐遭攻击而不自知
我们可以看到每个路口、商家,几乎都有设置监控摄影机,一般用来防範犯罪,但这类设备在近年常成为IoT攻击事件的主角,不论是隐私安全或DDoS共犯的问题都有,但我们也很难从外表看出设备是否被入侵利用。
IoT攻击不是理论,而是真实世界发生的事件
过去你可能已经看到一些物联设备的资安新闻事件,像是在2014年时,就有骇客将全球上万台网路摄影机的影像,放上一个网站,公开给任何人免费即时浏览,不论是店家监视画面,路边监视器的场景,甚至是让居家私生活变成实镜秀。由于监视摄影机的运用範围之广,从传统防盗、监视,到居家幼儿、老人照护等都有,明显为民众带来隐私安全的问题。
像是在2014年就有国外网站,直播全球数万未重新设置密码的摄影机影像,至今这些问题依然存在,能看到不少的台湾监视器即时画面。(图片来源/www.insecam.org) 连结:台湾受害IP camera
与民生息息相关的关键基础设施更是一大焦点,像是2015年底造成乌克兰3家电力公司有关的恶意程式BlackEnergy,导致数十万户大停电的危机。此事也提醒各国对于关键基础设施安全性的重视,不可轻忽工业控制系统的防护,这类攻击通常带有特定政治目的,且影响层面极为广大。
当然,还有不少非典型的基础系统遭骇入事件,像是去年2016年越南机场发生广播系统,突然广播出以英语辱骂越南及菲律宾的言词,并强调南海是中国的固有领土。这类系统遭入侵而滥用的事件,带来的危害虽然并不直接,但很容易在生活周遭带来一些影响。
而连网设备中,就连我们每天工作必用的印表机,也有类似的情形发生,像是今年2月台湾校园遭遇到的比特币勒索事件,就是透过印表机擅自印出带有威胁内容的文字。
更让人关注的是,事件中要求支付比特币为赎金,与近年加密勒索软体的目的相同,以匿蹤性高的金流机制作为给付方式,让执法单位难以追查,当骇客受到利益驱动,将勒索行为锁定不同目标下手时,这也促使攻击可能性的增加,连带也让过去未引爆的许多问题渐渐浮上檯面。
不仅如此,各式连网装置受到入侵后,除了他人能藉此获取隐私、利用或滥用,甚至成为勒索标的,也还有成为跳板、DDoS共犯的可能性。
像是去年称之为Mirai的恶意软体,感染10多万台的路由器、监视器与IP摄影机,组成殭尸网路大军,进而发动大规模网路DDoS攻击。其中一起攻击事件,还造成美国DNS服务商Dyn服务停摆,导致包含CNN、Twitter、Wikia等知名网站全部无法连线使用的情况。
过往殭尸网路(Botnet)需要感染很多的电脑,也就是俗称的「肉鸡」,在连网运算装置更趋多元的发展下,殭尸网路需要的肉鸡也已经不限于传统电脑型态。
另外,今年4月底Kaspersky公布另一殭尸病毒Hajime,感染30万台监视器、视讯摄影机与路由器等连网设备,虽然目的还不明,但IoT装置成新殭尸网路的局面已经快速扩散。
许多连网应用就在你身边,IoT设备安全威胁才刚刚开始
物联网的议题谈论许久,上述诸多常见连网装置与系统所遭遇的安全威胁,已经突显出一些过往被忽略的问题,而让人应接不暇的是,接下来还有更多新兴连网装置与应用,虽然带来科技及生活创新,但同样令人忧心的部分也在于,是否会被利用及带来威胁。
像是无人机与连网汽车,就是近年常被广泛讨论的例子,在今年3月的2017台湾资安大会上,有不少资安业者提及这些这种大型可移动性的设备若被用来发动各种攻击的威胁性。不论小至用来拍照,或是大至用来载货的无人机,或是连网汽车被他人接管,若被劫持到处游走,都有可能被利用来收集资讯、侵犯隐私,或是对生命造成危害、当成攻击武器等。
还有智慧电视也有遭害被勒索的事件,也有资安业者打造相关攻击概念性验证程式,骇进智慧电视,藉由电视机的摄影机或麦克风监控使用者,甚至攻击家中其他的智慧装置。
你可不要以为智慧家电还很遥远,其实这一两年已有家电厂商,开始推出IoT智慧大小家电,像是搭载WiFi功能的洗衣机、冰箱、冷气,以及电子衣橱等更多小家电,甚至也有智慧感应器套组,可让既有家电升级连网功能。而更早走入家中的扫地机器人,也有新一代产品提供居家监看、手机远控打扫的功能。
由于这些许多新兴的智慧联网装置,将具备更丰富的感测能力,不仅是带来更多智慧应用,但也有机会成为被利用的媒介。
举例来说,像是语音控制越来越热门,可说是对使用者极具吸引力的人机介面操控方式,但这些含有麦克风的连网装置,可能遇到什么样的问题呢?近期速食业者汉堡王一则创意广告,就引起争议,当中利用了智慧家庭声控装置Google Home的使用特性,以广告内容触发家中放在电视旁的设备主动回应,藉由广告词「OK, Google , What’s the Whopper Burger」,以呼叫Google Home搜寻该产品讯息。
另外,这些附有麦克风的智慧连网装置,是否也能被用来窃听使用者对话呢?像是之前由玩具商推出的连网娃娃,就有资安漏洞恐遭窃听的疑虑,而且,如与摄影镜头相比,窃听似乎显得更为无形。
更要提醒大家的是,这些新兴物联应用已有实际被骇的案例,像是今年2月美国电信商Verizon在2017年资料安全报告中,就实际揭露了一起物联网装置导致的DDoS攻击事件,事件一开始是发现校园网路速度变慢,进而追蹤到不少DNS伺服器的域名查询都跟海鲜相关,应该不是校内学生突然对海鲜晚餐感兴趣吧?进一步调查才发现,这些DNS查询需求来自该校区内的连网路灯与饮料自动贩卖机。
在连网应用扩增的趋势之下,现在连路灯也不再只有单一照明功能,也开始加入故障自动回报、远端控制能力。但也令人忧心的是,若安全防护没有跟上,更多型态的连网设备,都将面临被攻击利用的可能性。
国家公共建设连网日益提升,潜在的危害程度也将更为严重
当IoT装置的数量越来越庞大,种类越来越多时,潜在威胁也成正比攀高,当国家内许多资讯设备都连上网路,潜在的公共安全危害也就更高,像是监视器遭入侵的事件,已经时有所闻。
面对物联网的资安挑战,使用者、厂商与政府都应积极採取行动
大家都期待着物联网,能带给我们新的美好网路世界,为个人生活提供更聪明,以及便利的智慧生活环境。但近年发生的IoT攻击事件,让我们不得不重视这些连网设备的资安问题,如果不去应对,可能导致失控的局面。
我们已经看到许多DDoS攻击事件,是入侵了IoT装置,像是藉由感染监视摄影机、路由器等设备,让这些装置作为攻击来源,进而直接影响目标系统的运作。但对于这些IoT装置的拥有者来说,被入侵时通常并没有发现或后知后觉。即使是监视摄影机被他人窥视,一般人也不一定能察觉被入侵。
而从最近台湾校园爆发的比特币勒索事件来看,由于是直接侵入印表机印出带有威胁内容的文字,让设备使用者很快就能意识到被入侵,这也让一般人更注意到,原来IoT攻击威胁就在眼前。
为何以前没有爆发这样的事件呢?资安专家李伦铨表示,以这次校园印表机入侵事件来看,其实问题一直都存在,现在因为勒索有利可图后,事件开始变得很外显,也就是要让事情都爆发出来,才会让大家都知道并重视。
从既有IoT装置设备的安全问题来看,可以简单分成两个面向,一个是使用者没有尽好管理的责任,像是这次校园印表机被入侵,其实攻击过程并没有高深的骇入手法,主要是设备并无设定防护机制,以及不安全的部署,所以容易成为被入侵目标。
当连网设备普及到一个程度,用户对于产品与使用上的资安问题,其实也必须要有一定程度的了解。像是要去修改设备管理介面的密码,密码设定也不能太过简单,还有就是用户为了要能远端控制,可能做出不安全的网路设定等等。
当然,要解决这样的问题,也能从大面向着手,像是对于这些既有的连网设备,今年1月美国美国联邦贸易委员会(FTC)其实就发起一项物联网家庭资安检查挑战赛,期望能有一套工具或方案,能替老旧的物联网装置,进行检查、安装更新与强化密码防护,以减少使用者做出不安全的设定。
家庭连网装置较缺乏有效管理,居家隐私安全令人忧心
近年家用无线路由器安全是关注焦点,连美国联邦贸易委员会(FTC)近年也已经控告设备厂商,没有积极处理漏洞修补与通知的问题,突显资安议题是各厂商是无法避免的挑战。
另一个面向则是,厂商没有做好设备的资安维护,像是电脑常遇到安全性更新,由于存在未知漏洞,可能成为系统安全性的死角,系统厂商会不断释出更新来修补漏洞,而各IoT装置也会面临同样的问题,需要设备厂商来维护。
像是之前国内厂商的无线路由器与摄影机被美国FTC控诉,就有漏洞大到一直没有处理的问题,而使用者没有其他解法,只能等待厂商升级韧体来修补。
由于早期这些装置在更新机制上没有谨慎考量,过往普遍作法是,使用者要自行下载韧体更新,甚至是送回原厂才能更新。面对这样的问题,李伦铨表示,设备厂商要面对的挑战就是要管好韧体自动更新(Firmware Over The Air,FOTA),这必须要投入强大的团队管理与韧体管理机制,其实并不容易。
像是能否保证可以顺利更新,会不会影响到消费者的使用,且物联装置生命週期很长,到底要如何规画也是议题。
国立台湾科技大学资讯管理系副教授查士朝也表示,以目前国内环境而言,像是消保官可以对设备厂商做一些要求,他更进一步指出,其实各国政府都会慢慢开始要求,厂商若要将产品输出到当地上市,就必须要满足一定程度的安全规範,也建议设备厂商要做好类似隐私冲击分析(PIA)的工作,让潜在隐私风险可以被管控。
当然,未来IoT装置的资安防护环节也将随应用扩增而放大,不论是装置本身,还有网路、应用程式、云端服务方面,也可能还将跨越数种通讯协定,其安全上的威胁议题,若没有通盘检讨,将花更多心力去改善与应对。
企业网路与电脑设备仍是攻击主要对象,更要强化安全管理
在新兴的物联装置发展之下,资安问题将比过去要複杂许多,但企业内部的个人电脑、伺服器与网路仍是骇客攻击重心,企业不仅更要强化安全管理,也该时时注意物联潮流下的威胁与演变。
?IoT装置越来越多,资安风险将更严重?
在物联化的发展浪潮之下,每个实体物品都可能化身成为资讯科技设备,能够连上网路,并分到一个IP位置。
若根据Gartner预估,2020年全球IoT装置数量将达208亿,比2017年要多2.5倍,显然,未来我们将要面对的是数量庞大、产品多样且感测更丰富的物联设备,管理问题将更显複杂,再不好好重视,将为我们生活带来极大影响。
当连网设备遭到入侵,一来会有隐私问题、滥用与勒索的可能性,另一种则是被当作借刀杀人的工具,成为帮兇共犯。儘管攻击者是罪魁祸首,但企业与使用者也该有责任,一旦调查结果源头指向自己,未来是否可能遭受罚金、企业名誉受损等风险呢?这样的风险责任,也是物联时代该意识到的问题。
从网路犯罪角度来看,当所有装置都能够连网,使用各种通讯协定,也表示进入了万物皆可被攻击与利用的局面,若再加上勒索行为的横行,将使得资安威胁更难以防堵。
想像一下,我们已经看到校园印表机可以被人滥用,发生自动列印威胁文字内容的状况,如果还有更多自己家中的智慧装置也被人控制,灯光忽明忽暗、警示叫声不断,或是有心人士骇入汽车控制驾驶和煞车系统,后果也将于人身安全息息相关。
而且,物联网的发展面向会更广,尤其是当装置感测器更多元,系统彼此间更开放互连,并能与各式应用服务相结合,攻击面向也将更广,譬如感测收集到的资料被入侵修改,也将牵动后端的资讯反馈出问题,进而导致其他间接攻击等行为发生。
?相关报导 「联网安全管理濒临失控,威胁事件频传」
I 相关 / Other
处于工作环境一角的列印设备,是容易被我们忽视的连网设备,而近期的台湾校园印表机入侵事件,也突显了IoT攻击的严重性,当资讯设备的基本安全管理出问题,将造成更多资安危害。 图片来源: iThome 近年IoT装置被入
3D玻璃大受青睐的同时,也带动了整个产业链的快速发展。华泰证券研究员指出,由于3D玻璃与传统2D玻璃盖板加工工艺不同,其生产需要经历曲面成型、曲面抛光、曲面印刷、曲面贴合四大工艺难点。3D玻璃迎爆发式增长四大
据媒体报道,国家发改委起草的非居民用气销售价格改革方案将于近期发布。新政鼓励具备条件的地区放开气价,鼓励大型用户自主选择气源,藉此解决天然气市场化改革“最后一公里”的难题。非居民气改方案将出台当前国内
OLED生产设备空间上升,3D玻璃随之崛起在即。自三星率先推出搭载AMOLED的智能手机后,OLED的轻薄高亮度、低能耗等优势迅速获得消费者青睐。受益于生产效率提升以及有机发光材料层的改进,OLED电视显示屏2016年出货量
原题:中考残疾考生可享助残设备请于20日前提出申请来源:新华网-福州晚报记者昨日从福州市中招办获悉,今年中考,省教育考试院要求各考点、考场要根据残疾考生的残疾情况和需要以及各地实际,提供合理便利。这些便利