应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

那些年我们一起追的安全影集与电影:Day 1

2019-09-19 09:13 ithome

导读:于2018年上映的第22部剧场版“名侦探柯南:零的执行人”,就以万物连网为主题,透过于物联网发生的攻击为起头,包括犯人骇入物联网电饭锅与引爆各式电器,到最后骇入卫星使之坠毁等,进而发展出一系列的拯救日本大作战。

图片来源:https://pixabay.com/images/id-4423092/

号称日本最强的小学生,名侦探柯南,除了会开飞机、拆炸弹及撩小兰姊姊外,近年也开始涉足大家愈来愈重视的安全议题。已于2018年上映的第22部剧场版“名侦探柯南:零的执行人”,就以万物连网为主题,透过于物联网发生的攻击为起头,包括犯人骇入物联网电饭锅与引爆各式电器,到最后骇入卫星使之坠毁等,进而发展出一系列的拯救日本大作战。

本篇电影我们将分成两个篇幅针对其中的安全议题进行探讨,Part I 我们将探讨造成一切事件发展的原因:物联网 (Internet of Things, IoT)的安全议题; Part II 则是进一步讨论黑客使用的洋葱路由(The Onion Routing, TOR),一种在计算机网络上匿名沟通与传输数据的技术。

物联网一般统称为IoT,也就是Internet of Things的缩写,那何为物联网呢?简单来说,比如大小家电、各种网络监视器与录像设备、智能电表、连网门锁甚至是智能手表等,只要具备连网功能,虽然不一定具备如计算机般强大的运算能力,但都可被称做物联网中的信息设备。当然,真实世界中不一定这么容易就能造成如电影内大范围的爆炸事件与攻击,但各式智能家电遭骇却早就时有所闻,至于地球轨道上的各式大小卫星,有的已经是古董级的信息设备,其所使用的加密技术和通信网路只要稍加不慎都有可能暴露在黑客的攻击之下。

片中从一开始的会场爆炸、检察官手机爆炸到后来东京市内多起手机、电器等爆炸事故,皆可归类为物联网攻击。随着物联网信息设备的普及,物联网攻击在近年来的网络攻击趋势中有逐渐上升的情形,同时针对物联网信息设备的各种恶意软件数量也跟着大幅成长。

一般来说物联网信息设备其架构可分为3个部分︰分别为装置端、通讯(端)网络及控制端。

1、控制端

使用者可透过控制端来管理物联网设备,而控制端所使用之平台及技术种类众多,像是透过手机/平版安装APP或云端平台等,若是登入时的身分认证或登入后的访问控制没有做好,就有可能导致攻击者登入系统,并在登入后使用较高的权限下达指令,或是存取该使用者与他人的机敏数据。另一风险则是当控制端所使用的操作系统未进行更新或是使用有漏洞的程序套件或软件,就可能让攻击者透过漏洞来入侵系统或植入恶意软件。

2、通讯(端)网络

在通讯(端)网络所会遇到的问题其实就是数据传输时的安全问题,这部分和一般网站、系统所面临到的问题大同小异,若是数据在传输时未经过加密或是所使用不安全的加密算法,就有可能在传输过程中遭受中间人攻击(Man-in-the-middle attack, MITM)或是机敏数据遭窃听。

3、装置端

实体设备暴露在公开环境中,容易遭有心人士利用,加上其储存空间或运算能力有限,这些设备往往无法执行自动安全更新的动作,所以容易造成系统存在漏洞,但系统又无法实时修复,攻击者就可以利用漏洞进行攻击。

目前物联网装置的入侵主要有几种途径,其中包含如下但不限于:

▲殭尸网络

使用默认密码扫描网络装置后尝试登入,或是透过暴力破解密码后登入。殭尸网络最可怕的地方在于:这些被入侵的物联网装置会再变成新的殭尸网络成员,并持续去攻击其他设备进行扩散。

▲手机APP

经由手机装置中设计不良的APP取得物联网装置的控制权限,其中包含破解APP中内嵌的固定密钥,或是传输过程中信息被劫持或窃取等。

▲WiFi网络

透过改变物联网装置的网络设定,使其联机到不安全的网络,或是造成其网络联机中断而使系统不稳定,像是居家智能锁或医疗装置等都曾有相关的破解手法。

水能载舟亦能覆舟,在享受高科技生活所带来便利性的同时,为了不让这些方便人们生活的物联网信息设备,变成攻击者的目标或是受害后担任恶意攻击的角色,一般民众可以做到的是:

▲修改默认密码

物联网信息设备通常具备连网功能,而这些设备的预设帐号密码可以轻易在网络上搜寻到,所以设备买来或是安装好之后,记得要先删除预设帐号或更新密码。

▲定期进行安全更新或程序升级

物联网信息设备应该要和其他信息设备一样定期执行安全性更新,以避免存在未修复的漏洞。

▲建立访问控制机制

限制物联网信息设备相关应用程序与组件之权限,只提供该设备之必须或最小权限。

若是公司行号或是政府机关则还可以再加码下列防护措施:

▲避免采购具安全疑虑之物联网信息设备

由于部分国家的物联网信息设备频传安全外泄危机,所以采购相关设备时,应以白名单或黑名单方式进行管制

▲盘点物联网信息设备

应定期盘点相关物联网设备,并视其需要进行更新或汰换

▲定期检测物联网信息设备

制定并发展物联网信息设备之检测规范及机制,并将路由器、网络摄影机、网络打印机以及门禁系统等相关办公室连网设备,纳入检测范围内