在物聯網環境中,哪些設備會成為主要安全漏洞呢?舊款智慧型手機絕對是駭客下手的首要目標,堪稱入侵物聯網環境的最佳管道。其次,具備上網能力的智慧家電,在製造商提供的保固期結束之後,漏洞無法被修補,也是惡意程式攻擊的好對象。
在2011年,我和朋友開始著手發掘一些方法,可以讓手機變得更「聰明」,意外發現一個非常有趣的手法,即是利用現在大家熟知的QR Code二維條碼。我們將QR Code貼在許多地方,並且把每個QR Code被安置的地點詳細紀錄下來。
這些QR Code中包含一條訊息,讓消費者相信程式是由廣告商所提供,而當消費者掃描條碼進而開啟手機中的瀏覽器後,程式碼就會自動收集消費者使用的瀏覽器種類與版本,再接著將瀏覽器導引到最受歡迎的搜尋引擎。
從這個方式收集而來的資料,得以統計出一般消費者的行動瀏覽器屬於哪些版本,並且從而得知是否仍在使用未經更新修補的過時瀏覽器軟體。令人驚訝的是,在這段測試過程中發現,有超過30%行動設備使用的瀏覽器版本,其安全漏洞已經存在超過一年以上,另外近50%設備所使用的瀏覽器版本,漏洞存在時間也接近一年。
由物聯網入侵企業網
|
▲ 今日製造商早已不再對2011年生產的手機提供技術支援及軟體安全更新,但在手機能夠正常運作的狀況下,有可能被轉售成為二手商品而繼續使用,這代表著,老舊安全威脅仍然困擾著後續的使用者。 |
物聯網(IoT)運用輕巧的裝置、倚賴共享且龐大的函式庫(Libraries),而其軟體架構與限制就如同電池壽命和物理空間一樣,侷限了IoT裝置的安全性,僅能透過韌體更新、客製化或其他風險控管方式來減輕其安全威脅。並且,IoT裝置也將會成為企業遭受攻擊的切入點所在,這是由於跨平台的漏洞可以輕易運用在IoT、智慧型手機或是其他終端設備上,漏洞可由私人裝置當作跳板,侵入企業網路。
隨著物聯網的流行,人們又該怎麼去保護這些曝露在其上的個人或商業敏感資料?這是一個非常複雜的問題,尤其當攻擊手法的複雜度也在不斷與日俱增。
時至今日,製造商早已不再對2011年生產的手機提供技術支援,也不會發佈軟體安全更新通知,但是並非意味著手機壽命已屆。在手機能夠正常運作的狀況下,有可能被轉售給其他用戶繼續使用,這代表著,老舊安全威脅仍然困擾著後續的使用者。此種再現實也不過的安全議題,現在才正要開始擴散開來,因為當行動設備使用壽命,遠遠超過製造商提供的技術支援年限時,對需要制訂BYOD安全規範的資安團隊來說,已經成為一項不可忽視的重要議題。
過保固裝置將成危機
在物聯網環境中,有哪些設備會成為主要安全漏洞呢?舊款智慧型手機絕對會是駭客尋找下手的首要目標,因為該設備正是入侵物聯網環境的最佳管道。其次,具備上網能力的智慧家電,在製造商提供的保固期結束之後,受限於漏洞無法被修補,也很容易受到惡意程式的攻擊。或許上述事情不會立即發生,但應該已足以讓更多人重視物聯網所存在的資安問題。
要了解現今和未來的發展趨勢,最好辦法就是用過去和現在的數字進行比較。舉例而言,一個名為Linux.BackDoor.Fgt.1的惡意軟體,已經被廣泛被用於2014年的多起DDoS攻擊事件中,該軟體主要是感染家用和商用路由器,使其成為散播惡意程式或發動DDoS攻擊的一部份。
或許是駭客們太過懶惰,多數受感染設備只需要重開或者按下重置按鈕,即可回復到正常運作的狀態,但足以證明路由器因可直接連接連網的關係,成為駭客攻擊主要目標之一。所以不妨想像一下,當IPv6時代正式來臨時,網路環境將會出現許多沒有廠商可提供支援的設備時,後續衍生資安問題將會相當驚人。
低成本雲端攻擊服務
現今攻擊型態的改變也是新的挑戰。任何線上服務以及企業網站都存在著風險,在過去,DDoS攻擊較無具體動機且只針對大型線上業務。在2015年的RSA資安大會裡,我也曾提到,在過去的幾個月中,業界開始出現「商業化的網路攻擊服務」,例如駭客組織Lizard Squad(蜥蜴部隊),在節日期間,他們已經使用工具取下Xbox Live和SONY PlayStation。他們的「壓力測試」工具可以允許任何人開啟帳戶並且發動自己的DDoS攻擊,由於這些服務變得越來越流行,大規模的DDoS攻擊會很容易被任何擁有PayPal帳戶啟動。
當務之急,企業必須了解和警惕這種網路威脅。尤其是在即將到來的IoT時代,意謂著將會指數性地放大殭屍網路作用,並且創造出一個驚人的頻率與攻擊規模。這些都可能變成駭客染指物聯網設備的誘因,並把它們作為一個軍隊級的殭屍網路。未來是危險的,一個成本極低的攻擊工具(一小時幾塊美元)已經被商品化,而有數百萬的脆弱設備可以被用來啟動DDoS攻擊。除了採取DDoS攻擊,甚至還涵蓋了資料外洩、市場操縱以及黑函勒索等。
有待原廠鬆綁更新權
唯有專業的安全團隊與豐沛的網路防禦資源,才能有效抵禦來自四面八方的分散式攻擊。至今Nexusguard已經看到不少的DDoS攻擊根源,便是來自這些受到控制的終端裝置。越來越多的IoT裝置,便代表著越來越多的風險,這都是安全團隊所必須監控的一環。
這並非對物聯網時代來臨的悲觀與失望,如果設備製造商願意公開原始碼,並且提供企業自行更新設備安全性的能力,那在不久的將來,即可開始對抗部分惡意威脅。
如此做法,應能避免物聯網成為駭客肆虐的場所,不過這仍然需要長時間的努力才行,在此之前,當然企業安全團隊必須仔細審核員工使用的設備,盡可能確定沒有任何安全隱憂,才能做到真正的有備無患。
(本文作者現任Nexusguard首席科學官)