一般認為家庭網(wǎng)絡沒有任何值得黑客攻擊的目標����,但2016年發(fā)生的Mirai僵尸病毒攻擊事件��,大大地改變了所有人對智慧居家的安全認知�����。
以Mirai為例�����,病毒通過不斷掃描家用物聯(lián)網(wǎng)設備��,例如無線路由器或攝像機等�����,第一代病毒只是利用連網(wǎng)設備默認的賬號密碼嘗試登錄��,就可順利地感染了數(shù)以百萬計的家用設備���,并且利用這些被感染的設備,成功對電信運營商發(fā)起大型分布式阻斷服務攻擊(DDoS攻擊)�����。過去的DDoS攻擊,通常黑客只能使用數(shù)千至數(shù)萬臺僵尸服務器來攻擊�,只要運營商逐一將IP隔離,便可順利阻擋;但Mirai卻可輕易地發(fā)動數(shù)百萬臺設備�����,發(fā)起超過1TB流量的攻擊�,以致許多運營商束手無策。
有鑒于此��,各國開始重視物聯(lián)網(wǎng)設備的安全�,從美國前總統(tǒng)奧巴馬提出的“國家網(wǎng)絡安全行動計劃(Cybersecurity National Action
Plan)”,所衍生出的UL2900安全標準�,到OWASP的IoT安全十大漏洞,而臺灣工業(yè)局跟資策會匯集產(chǎn)業(yè)界意見后推出的《視頻監(jiān)控系統(tǒng)網(wǎng)絡攝像機網(wǎng)絡安全標準》也在今年正式上路�����。另一方面����,網(wǎng)絡攝像機被植入后門以及家用路由器中毒等安全事件層出不窮,智慧居家安全逐漸上升為國土安全議題�����,如2017年初D-Link跟華碩的路由器便曾遭美國聯(lián)邦貿易委員會(FTC)控告�����,后來雖達成和解��,但美政府重視智慧居家安全的程度可見一斑�����。
IoT設備將成黑客主要攻擊目標
連網(wǎng)設備使威脅無所不在���,為何黑客開始以IoT設備作為目標呢?原因有以下幾點:
1. 同構型設備數(shù)量眾多���,且遍布全球,例如:一旦破解某品牌攝像機����,其他攝像機駭入方法大同小異,可快速擴散病毒�����。
2. IoT設備永遠連網(wǎng),所以易攻擊���,也是擔任跳板的絕佳目標�。
3. IoT設備運算資源少����,因此無法安裝傳統(tǒng)防毒或安全防護軟件。
4. IoT設備大多沒有自動更新軟件的功能�,舊款軟件上的漏洞容易被滲透。
5. 多數(shù)IoT設備支持云端及App聯(lián)機����,造成黑客更易從App去逆向破解或云端滲透。
讀者接下來可能要問����,為什么這么多網(wǎng)絡安全公司,卻無法提供適當?shù)陌踩雷o呢?事實上��,目前絕大多數(shù)的網(wǎng)絡安全防護技術����,仍建立在非常古老的特征碼掃瞄基礎下,原理是將已捕捉到的病毒樣本行為特征萃取出來成為病毒數(shù)據(jù)庫��,再比對進來的網(wǎng)絡流量及封包。舉例來說��,就像是進出機場海關時����,海關人員比對通緝犯照片��,如果長相跟通緝犯神似����,就會被攔下;但若尚未被登錄在通緝犯名單中,或是經(jīng)過整形易容���,便可以順利通關�����。
特征碼掃描也遇到相同的問題�����,以現(xiàn)今病毒攻擊手法變化及散播之快���,防毒公司往往來不及公布新的病毒特征,或者病毒特征不斷變形,還未拿到病毒樣本就已掃遍全球��,此即為零時差攻擊�。再加上物聯(lián)網(wǎng)裝置里面的CPU及內存為了節(jié)省成本,大多配備僅足夠應付設備使用的最低硬件規(guī)格����,難以再容納一個龐大的安全防護軟件嵌入,更遑論有儲存龐大病毒數(shù)據(jù)庫的空間��。雖然目前有安全廠商宣稱采用云端病毒數(shù)據(jù)庫�,掃描引擎只需送上云端比對即可,但這種做法一方面增加了流量的延遲時間�����,再來增加使用者對自身隱私是否也被上傳云端的疑慮��,且仍然無法解決零時差攻擊的問題����。
智慧居家的安全防護建議
究竟黑客是如何駭入這些成千上萬的設備?通常他們會采購一些目標設備來測試漏洞,這些設備大多為保護機制較弱且有開放外網(wǎng)連入�����,例如路由器或是網(wǎng)絡攝像機。一旦找到攻擊方法����,幾乎同類型又保護不全的設備皆會列入攻擊名單中,黑客即可開發(fā)出可自動掃描此類IoT裝置的爬蟲程序����,然后在網(wǎng)絡上四處掃描該裝置的外網(wǎng)漏洞;如果順利入侵家中路由器或攝像機�����,這些程序則會再透過內網(wǎng)掃描來入侵其他設備��,簡直防不勝防��。
針對智能居家使用者的自我防護�����,筆者建議如下:
1.
盡量使用歐美品牌或臺灣品牌有外銷美國實績�,有經(jīng)過認證更佳,通常這些廠商不會建置后門��,而且對于出現(xiàn)新的安全漏洞時���,也較快釋出更新的軟件或韌體���。
2. 更改家中所有設備的默認密碼成為強密碼����,如能定期更新密碼會更加安全��。
3. 定期更新軟件��。
4. 家中筆記本電腦及手機應盡量安裝封閉式的操作系統(tǒng)���,避免使用開放系統(tǒng)���。
5. 務必將不必要的云服務以及在外遠程透過App連回家中設備的服務關閉,因為這些服務極可能成為黑客程序滲透的漏洞���。
6.
勿隨便開啟及回復不明電子郵件����,尤其要確認寄件人的郵件地址�����,因寄件人名稱可以被偽冒,一定要在寄件人字段上按鼠標右鍵確認寄件人地址�,筆者就常收到偽裝成微軟或蘋果公司寄來,要求輸入密碼確認的釣魚郵件��。
除把握上述要點之外���,現(xiàn)在也有許多新創(chuàng)網(wǎng)絡公司在研究新的物聯(lián)網(wǎng)防護技術����。以美國新創(chuàng)公司Forceshield發(fā)明的“動態(tài)變形網(wǎng)頁(Dynamic
Transformation)”技術為例��,當使用者用瀏覽器瀏覽經(jīng)由Forceshield網(wǎng)關軟件保護的網(wǎng)頁��,所看到的網(wǎng)頁原始頁為亂碼�����,而且每次皆不同
(如圖一)��,因此將它利用在物聯(lián)網(wǎng)設備的管理頁面時�,黑客的病毒程序無法讀懂網(wǎng)頁原始碼內容(如圖二)���,只能放棄攻擊�。此種技術不但輕薄短小(
小于2MB),可輕松嵌入IoT設備��、不須更新特征碼����,相同技術可運用在App及云端運用上,能擋住大多數(shù)僵尸病毒的自動化攻擊���,已獲得許多大型網(wǎng)站及IoT設備使用�。
隨著IoT裝置持續(xù)增加�,強化智能裝置的連網(wǎng)安全已經(jīng)刻不容緩,期望未來有愈來愈多的新創(chuàng)公司投入IoT安全防護����,以滿足用戶安心使用智能居家設備的需求。
