IoT攻擊花樣百出 科技業攜手找對策

物聯網應用蓬勃發展,但針對物聯網而來的網路攻擊也越來越多,使得物聯網安全成為使用者在評估是否導入時,最主要的評估指標之一。安全防護是一個非常具挑戰性的題目,從晶片/硬體設計到韌體/軟體開發,乃至通訊等各環節,只要有一個地方出現漏洞,就可能使整個系統被攻破。也因為如此,守護物聯網安全,成為科技產業鏈必須攜手合作的大題目。

物聯網應用浩瀚如煙海,從消費性的智慧型個人與家用物聯網,到面向工商等垂直產業應用的產業物聯網,與其所衍生出的智慧製造、智慧城市、智慧交通,都是物聯網的應用範疇。因此,物聯網是一個十分破碎的市場,除了消費性物聯網是少樣多量(相對而言)的市場外,產業物聯網與其所衍生出的各類智慧應用,都需要使用高度客製化軟硬體系統。

這兩種物聯網都能創造龐大的經濟價值,因此,若遭到惡意攻擊,也會讓使用者甚至整個社會蒙受龐大損失。但安全防護是一個非常困難的題目,只要系統中任何一個環節存在漏洞,就有可能使整個系統被攻破。因此,要提升物聯網應用的安全性,必然得靠科技產業鏈上下游通力合作,方有機會達成。

消費性IoT安全廣受矚目政府強制法規介入

一般說來,針對消費性物聯網與車聯網的攻擊,因為產品安裝基數龐大,又與使用者個人的切身利益甚至生命財產密切相關,因此只要一有攻擊事件發生,很快就會成為媒體輿論關注的焦點。然而,也因為這個緣故,許多白帽駭客都將火力聚焦在消費性物聯網,例如先前針對Tesla電動車的遠端攻擊,以及對智慧音箱的語音控制介面發動的攻擊,都是白帽駭客所為。

白帽駭客並非惡意攻擊者,大多是鑽研安全議題與相關技術的學術界人士或企業內部研究團隊,因此其所發動的攻擊更像是「演習」,可幫助應用產品開發者找到未發現的漏洞,或是原本沒設想到的攻擊手法。

這對提升消費性物聯網的安全是有幫助的。例如智慧音箱所搭載的語音辨識跟控制功能,是一種全新的人機介面。也因為如此,開發者往往把心力集中在提高語音辨識的準確率,或是不斷強化智慧音箱的控制功能,使其能扮演智慧家庭控制中樞的角色。

然而,誰能控制智慧音箱這個最基本卻很關鍵的安全問題,往往被開發團隊疏忽了。加州大學柏克萊分校的研究團隊就發展出在正常音訊裡夾帶語音指令,藉此控制智慧音箱的技術;浙江大學則是找到利用超音波夾帶語音指令的攻擊手法。這兩種方法都可以在使用者無法察覺的情況下控制智慧音箱,對消費性IoT應用的安全性造成極大威脅。


▲智慧音箱引入全新的人機介面型態,但同時也帶來前所未有的安全問題。

另外一種典型的消費性物聯網攻擊,則是透過家用IP攝影機的設計漏洞,加上使用者偷懶或缺乏設定能力,沒有更改出廠預設密碼,攻擊者便能取得其所拍攝到的影像,侵犯用戶隱私。

也因為消費性IoT裝置的用戶族群是一般社會大眾而非專業人士,因此,政府從保護消費者的立場出發,已經開始從法規面要求產品製造商必須承擔更多責任,在IoT產品上實作安全防護機制。加州政府就在2018年8月通過SB-327法案,要求從2020年1月1日起,任何在該州境內販售,具有直接或間接聯網功能的裝置,都必須具備合理的安全功能,防範未經授權的裝置存取、韌體修改或資訊外洩。

具體來說,該法案規定,聯網硬體產品製造商的產品出廠時,不能再使用統一的預設密碼,每個硬體裝置都必須使用獨特的出廠預設密碼;或是採取另一種作法--當硬體第一次連線時,系統必須強制使用者更改密碼,才能繼續使用。

許多技術專家都對這個法案提出批評,認為從技術角度來看,光靠強制使用獨特密碼很難做到萬無一失。但比起使用統一的出廠預設密碼,強制使用獨特密碼至少是提升消費性物聯網安全的第一步。

產業物聯網安全失守後果嚴重

相較於消費性物聯網,產業物聯網遭遇駭客攻擊的案例雖然相對少,但倘若產業物聯網安全失守,帶來的直接經濟損失卻是非常驚人的。2018年8月,台積電爆出機台感染電腦病毒,造成產線機台停擺,在製晶圓大量報廢,直接經濟損失超過新台幣50億元;第一銀行自動提款機系統則因為被植入惡意程式,在2016年7月爆發盜領案,損失也超過新台幣8,300萬,所幸後來大部分贓款成功追回。

產業物聯網所使用的系統,因為牽涉到企業的日常營運,為滿足應用需求,系統設計上多半經過一定程度的客製化,加上企業通常有一定的安全政策跟標準作業程序(SOP),因此要從外部攻入系統的難度,比消費性物聯網來得困難許多。但這並不表示產業用物聯網就能高枕無憂,否則台積電跟第一銀行的安全事故也不會發生。


▲台積電的半導體機台遭電腦病毒感染,災情迅速擴大,導致全產線一度停擺。

追根究柢,人還是物聯網安全最大的變數,因為安全政策跟標準作業流程的執行,還是得靠人。根據台積電總裁魏哲家的說法,該公司機台遭到電腦病毒感染,純粹是內部操作失誤,讓含有病毒的新機台在未掃毒的狀態下聯網,進而讓病毒蔓延到台積電的其他廠區跟產線。因此,為防範類似事件再度發生,第一步是要建立防呆機制,接著在廠區跟廠區之間建立防火牆,讓日後萬一再有類似情況發生時,能在第一時間把災情控制住。

一銀的ATM盜領案其實也是以人作為突破口。根據刑事局偵九隊的調查,駭客集團事先鎖定該銀行內部員工,藉由魚叉式釣魚(Spear Phishing)讓內部職員點開帶有惡意程式的電子郵件,才能駭入一銀的內部網路,並建立具有管理者權限的帳號。擁有管理者帳號之後,駭客集團才能遠端遙控ATM進一步下載其他惡意程式,並配合車手在受害ATM機台上成功盜領現金。

對產業物聯網應用來說,資安政策跟標準作業流程固然是守護物聯網安全的重要關卡,但企業資安事件頻傳,也顯示光靠企業內部的資安政策跟SOP是不夠的。科技產業必須設法用科技來解決人因問題。

軟硬體業者攜手找解方

為了提升物聯網應用的安全性,從最根本的晶片元件設計開始,到後續的硬體系統設計、韌體開發、應用軟體開發、通訊介面乃至系統上線後的日常維運,都必須做到滴水不漏。上述各環節之中,只要有一個環節存在漏洞,就會給駭客單點突破的機會。

也因為如此,物聯網資安是一個科技產業鏈層級的問題,沒有任何一家廠商能獨力提供整套解決方案。有意發展物聯網應用的業者,或是正在評估導入產業物聯網的企業,如果對物聯網安全問題的全貌沒有清楚了解,很可能會陷入「自以為安全」的陷阱而不自知。

有鑑於此,新電子、新通訊與網管人雜誌首度跨界合作,將在12月13日舉辦「眺望2019物聯網安全高峰論壇」,邀集半導體、嵌入式硬體、網路通訊與資安相關領域代表性大廠,以一整天的議程來探討物聯網各個環節的安全技術發展現況與未來趨勢。對有意開發物聯網應用或正在評估導入的企業來說,這是一次吸收跨領域安全知識,並與相關領域專家面對面交流的好機會。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!