物聯網崛起 資安威脅從謀財進階為害命

2016/06/13 - DIGITIMES企劃

無庸置疑，物聯網(Internet of Things；IoT)絕對稱得上是炙手可熱的科技議題，Gartner預估，待至2020年，全球物聯網裝置數量上看250億個，屆時不管消費市場或商業活動，都將被IoT廣泛覆蓋，此對於駭客而言，不啻是肥滋滋的大餅，豈有坐壁上觀之理？

事實上，早在幾年前，即出現了「物聯網裝置可能成為謀殺工具」的論調，儘管聽來仍有些駭人聽聞，甚至予人天方夜譚之感；但爾後隨著物聯網裝置數量急遽攀升，與人類食、衣、住、行、育樂等生活需求，乃至生產製造、醫療保健乃至交通運輸等關鍵場域，全都產生了前所未見的緊密鏈結，屆時講究經濟利益的駭客，必然蜂湧而至，出現各式作惡行徑，其間稍有不慎，導致人命危殆並非不可能之事。

曾於2010年全美駭客年會「大放異采」的知名駭客Barnaby Jack，在2013年以35歲的年紀離奇猝逝，否則他是最有機會提早印證「物聯網裝置可能成為謀殺工具」論調的人。先說Jack如何在2010年大放異采，他歷時2年的研究，發現至少有兩種手法，可以駭入自動櫃員機(ATM)，並迫使ATM吐出鈔票；在駭客年會現場眾人屏息以待的場景中，Jack展現神乎其技，讓兩台ATM吐盡內部所有鈔票，即便這個表演相當驚悚，但他強調此舉並非教人如何駭入ATM，而是對ATM製造商提出善意提醒。

物聯網裝置可能淪為謀殺工具

繼成功演繹駭入ATM之後，後續Jack試圖駭入的對象，與人命的關聯度愈來愈大，例如在2011年，他曾展示如何入侵糖尿病患者使用的胰島素注射裝置，藉由改變其注射頻率與安全提醒功能，可能對患者造成難以逆料的危害；然而更驚悚的是，他曾預告將在2013駭客年會發表「植入式裝置：入侵人體」演說，示範如何利用訊號傳送器，在遠端將惡意程式植入心臟病患體內的去顫器、心律調節器等醫療裝置，甚至聲稱「在10公尺遠的地方便可讓對方心跳停止」。

雖然Jack在2013駭客年會揭幕之前，即在住處離奇死亡，沒能來得及向與會者做出如此驚懼的展示，但似乎也提前昭告世人，要想利用物聯網裝置謀害人命，其實不難。

無獨有偶，就在Jack死前，其實有一家名為Internet Identity的資訊安全公司，已針對物聯網議題提出沈重警告，直指物聯網裝置可能被用以執行實際犯罪行動，其中也包括了謀殺；這家公司接著指出，其之所以做出這個大膽假設，絕非無的放矢，而是看到了諸如交通運輸、健康照護...等等愈來愈多裝置，皆可透過網路傳送訊息與接受控制，這般特性看在歹徒眼裡，就彷彿是從天上掉下的大禮，讓他們無需進入險要境地(指被害者所在地)，便可藉由遠端關閉靜脈注射裝置、調整心律調節器，抑或變更汽車操控系統，輕鬆取人性命。

令人擔憂的是，綜觀物聯網產品，多數醫療裝置採用較為老舊的軟體，箇中潛藏的漏洞更多，也更容易讓駭客上下其手。

其實除了醫療裝置外，汽車所潛藏的危險因子更大！一個真實的例子，有兩個駭客，藉由遠端入侵的方式，聯手控制了一輛急駛在高速公路的吉普車，接著他們就從遠端逕自操控，先是開啟了雨刷開關，接著將空調溫度調至最低，同時還任意改變了收音機的播放頻道，最後再把離合器給關閉，讓這輛吉普車從原本的奔馳疾駛變成龜速爬行；駭客的舉動，無異彰顯了汽車可能面臨的物聯網安全威脅，連帶引發若干汽車廠高度正視此風險，大舉召回汽車進行電腦系統的升級，盼能藉此降低汽車遭駭的可能性。

IoT創新產品  保護機制相對脆弱

有鑑於此，已經有資安業者大聲疾呼，為了避免駭客利用IoT開啟全新經濟模式，藉由攻擊物聯網裝置取人性命、或者從事敲詐行為，物聯網製造商理應想方設法，採取必要的安全措施，以期提高惡意人士入侵的門檻，達到保護這些裝置之目的，畢竟數量急速增加的物聯網裝置，活脫脫就是駭客賴以滋養高殺傷力新型威脅的溫床。

資安業者認為，今時今日，已是一個唯創新是問的年代，任何小型的新創企業、工作室甚或創客，皆有可能憑藉驚世駭俗的創意，撼動已經存在百年的傳統市場遊戲規則，進而席捲大量使用者，徹底顛覆人類的生活與工作模式，而物聯網正是觸發創意的重大題材之一。

因此有朝一日，員工穿戴著智慧運動鞋、智慧服飾、智慧手錶上班，而企業辦公室環境內部，也充斥著諸如智慧型溫度調節器、智慧衛生紙架...等新穎裝置，絕對不是夢；但問題來了，綜觀孕育這些創新裝置的推手，固然不乏名聲響亮的大型供應商，但也有為數不少的新創企業，這些積極搶市的新創企業，並無強大的動機、也無足夠的能力，將裝置的安全防護列為第一優先順位，頂多只能透過帳號密碼等簡單機制，施以較為低度的保護，如此一來，這些看似富含智慧的物聯網設備，都可能淪為駭客痛下毒手的管道。

歸納物聯網時代的潛在資安威脅，若與前端設備較具關聯者，大致可分為幾種類型：首先是鎖定物聯網裝置本身的弱點，直接對此發動攻擊；其次是先行潛入後端雲端資料中心，掌握某些控制機能，再回頭操控前端物聯網裝置；再者則是入侵前端物聯網裝置，然後循著前後端連結路徑，逐步攻進後端雲端資料中心，藉以滿足竊取機敏資料之目的。

找出難以防守的裝置  從企業網路中移除

持平而論，對於企業而言，單就雲端資料中心的安全防護，縱使仍舊存在莫大挑戰，但至少依然算是IT部門相對熟悉與擅長的戰場，在這個戰場之中，不管駭客鎖定的目標是電腦、伺服器、儲存設備或網路設備，IT人員都有很大的機會提出反擊；然而面對一些連上網路的非IT裝置，也就是前段所提到的種種前端物聯網裝置，顯然不在IT人員的專長範疇內，一些前所未見的資訊安全弊端，也就因此應運而生。

比方說，曾有國外專業機構透過研究發現，有數以萬計的抽風機、加熱器及空調系統連結網際網路，在大多數的情況下，這些設備都蘊含一些基本的安全漏洞，只要駭客善加運用，確實很有機會藉此潛入企業內部網路。具體來說，當企業落腳在一棟全新的建築物，與這棟建築物的其他住戶，共同享用相同的監視攝影機、空調系統乃至電梯，而這些設施與自己的內部網路之間，也有某些連結性，如此一來，無異是平白增添了一些逾越IT部門掌控範圍的節點，因而埋下莫大資訊安全隱患。

不過可惜的是，企業IT部門通常很懂得運用一些資訊安全解決方案，據以捍衛雲端資料中心內部的虛擬伺服器與應用程式安全，但對於亟需納入整體安全構面之一環的前端防護部份，著力空間卻相對有限，此乃由於，前端物聯網裝置的安全係數高低，有很大一部份取決於產品製造商自身的設計能力，比較難以藉由附加(Add-on)方案，做事後補強，因此企業能夠使得上力的，一是儘可能慎選相對安全的聯網裝置，二是著眼於「不想與難以防守的敵人對壘」，設法找出存在於自己網路上的所有設備、尤其是非IT裝置，接著加以移除。


圖說：早在2014年的Black Hat駭客年會，即曾演示如何藉由遠端操控方式，成功入侵真實的汽車。(Security Intelligence)