在2017年信息安全大会中,Hitcon Girls共同创办人赖婕芳与沈祈恩认为,目前物联网设备的应用会越来越普遍,但与其有关的安全事件频传,因此无论是制作的厂商,还是企业乃至于个人,都应该提高警觉,重视这些设备的安全性。
Hitcon Girls共同创办人赖婕芳与沈祈恩在2017年安全大会的议程中疾呼,物联网(IoT)设备所衍生的安全问题必须受到正视,因为比起计算机,这些设备可能会接触到更多个人隐私,或是影响人身安全与国家安全,一旦遭受黑客攻击,后果便不堪设想。物联网设备的安全与我们息息相关,无论是制造者还是用户,你我都必须暸解如何降低其安全风险。
物联网设备带来不少便利性与创新应用,因此受到人们的欢迎。物联网这个名词,最早出现于1999年,但直到2013年之后,成为开始热门讨论的话题,然而,根据2015年AT&T所做的调查报告中指出,在受访的5,000家企业中,有高达85%想要发展物联网应用,却只有10%的企业有信心能够应付黑客的攻击,显示物联网的安全问题,连企业普遍都没有把握。
另一个面向,则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等安全大厂2017年的预测报告中,可看出端倪。这些报告不约而同指出,物联网设备会带来严重的安全风险与网络攻击。赖婕芳以2016年10月时,DNS供货商Dyn遭受大规模DDoS攻击的事件为例,其中一部分是由Mirai控制的物联网设备僵尸网络所发动。这个事件造成采用的Dyn服务的知名网站,包含BBC与GitHub等受到波及。然而,黑客取得这些物联网设备控制权的方法,仅仅只是透过了测试60组常见的预设帐号与密码就得手。
应用层面广泛,无论是小朋友的玩具,还是学校的路灯,全都是物联网设备
其实物联网涉及的领域相当广泛,无论是金融、公共服务、制造业、零售业,乃至于与人身安全有关的医疗、国家安全有关的能源设施,都有相关的应用。还有,近年来常见的智能家庭,也使用了大量的物联网设备。
赖婕芳举出许多案例,像是交互式芭比娃娃,透过了像是Siri的机制,就能和小朋友对话,然而却被发现,其网络通讯可能会被有心人士拦截,让芭比说出指定的内容,如果这个黑客是个恋童癖,很可能会让小孩与家长饱受惊吓。
此外,美国有间大学受到DDoS攻击,经调查却来是自校内的路灯、贩卖机等物联网设备,但学校并未想到这些校内设施,都是属于这类设备的一部分。
物联网设备甚至会造成人身威胁,例如黑客可控制汽车的自动驾驶系统,透过枪枝的管控系统,黑客可执行射击。
物联网安全是一整个生态圈的事情
基本上,许多人想到物联网的安全问题,可能会以为主要是对于设备加密,消除漏洞等防护措施。但事实上,我们手上的物联网设备,只是传感器(Sensors),背后拥有一个生态圈,还包含网络与应用程序等。但从黑客攻击的面向来看,则略有不同:大致上可分成硬设备、连接性(Connectivity),以及应用程序3块。
硬件指的不只是物联网设备本身,还包含整个生态圈设施,像是网关设备,或是执行应用程序的手机等,黑客可透过这些设备发动攻击。
连接性指的是任何连接的阶段、过程,包含网络流量、生态圈通讯,以及设备之间的连接,或是应用程序之间的API等。
应用程序则包含物联网设备本身的软件、云端网页接口或管理者接口等。
在物联网硬件出现的问题中,赖婕芳举了RFID卡Mifare Classic为例,这种卡片遭到逆向工程解析后,被发现密钥只有48 bits,极容易破解,她说,以现在的角度来看,只要在淘宝花5美元,就能取得相关的修改工具。
而对于连接性的问题,像低功耗蓝牙通讯(BLE)来说,在需要沟通的两个设备之间,由于像手环一类的设备没有屏幕,只能使用配对机制中的Just Work验证方法(无密钥),在这种情况下就很容易遭受中间人攻击。
但其实另外一层隐忧,则是更多设备的BLE通讯过程完全没有加密,以赖婕芳他们测试过的小米手环与体重计来说,他们发现只是对手机程序进行配对,没有对数据做保护,因此可将手环或是体重计的通讯内容,传送到非绑定的行动设备。换言之,有心人士可将小米体重计得到某个人的重量信息,同时传送到多台设备中呈现。
相较于上述两者,应用程序是黑客最常使用的攻击标的,像Hitcon在2015年举办的大会中,就展示骇入Gogoro App并取得凭证,然后将电动机车成功发动。然而这是应用程序在设计上的问题,将凭证存放在手机不够安全的区域导致。
迎向2017年,物联网安全是全民都要面对的问题
面临物联网设备层出不穷的安全事件,我们必须有所体认。针对不同的角色,赖婕芳提出以下建议措施:
制造商:开始设计必须将安全纳入考虑,并且开发者需要有安全开发经验、训练,最好产品在上市前渗透测试。
企业用户:需将物联网设备盘点并列管,若是无法修补的设备,应考虑隔绝于主要网络之外。此外,防护措施需将整个网络架构纳入安全考虑。并在采购时,要求厂商确保设备安全性。
终端使用者:了解使用设备的风险,如果不确定设备的功能,最好就不要使用。使用时,要将默认密码更换成高度复杂的密码。
本文转自d1net(转载)