坐享智慧生活之餘 亦需嚴防IoT安全威脅

  • DIGITIMES企劃
為駕駛人提供安全的駕駛輔助,向來是車聯網發展目的之一;殊不知水能載舟、亦可覆舟,倘若車載系統遭駭客入侵,反倒可能導致駕駛人陷入致命危機。來源:Gartner

綜合各家IT大廠、知名研究機構的預測,從現在開始迄至2020年,將會是第一波的物聯網(IoT)爆發期,單就每一個人而論,身上至少擁有3∼4個物件具連網能力,共計在全球造就500億個連網裝置,因而匯聚為龐大商機,也難免成為駭客覬覦的目標。

甫於年初落幕的世界經濟論壇(WEF),發布「2016年全球風險報告」,箇中有一些話語相當發人深省,包括「網際網路已開啟一片新的戰爭領域,與網路對接乃至相關的一切,皆可被突破」,及「物理距離已無法提供足夠保護,大量技術存在兩面性,許多重要的基礎設施為私有資產,具有難於追蹤的特性,使得我們甚難掌握攻擊活動的來源」。

更重要的,WEF的全球風險報告,有一席話猶如當頭棒喝,足以讓人看了冷汗直流,意即「對於技術方案的認知匱乏,及因應相關風險的處理能力低落,特別在於網路風險、或關鍵性資訊基礎設施破壞所帶來的系統性連鎖效應,極可能為國家經濟、各個經濟組織甚或全球企業,帶來深遠影響」。

綜上所述,根據WEF邀集全球數百位頂尖專家的認定,舉凡大規模網路攻擊、數據造假與偷竊等安全危機,恐將致令關鍵性資訊基礎設施與網路為之崩潰,因此網路安全威脅對於地球環境的殺傷力,堪與通貨緊縮、氣候變遷、糧食危機、傳染性疾病擴散、大規模殺傷性武器、國家間衝突等其他危害項目等量齊觀;而這也是WEF首度將網路攻擊的嚴重程度,拉升至如此高的層級。

網路攻擊風險  為國家與企業帶來深遠影響

或許有人認為,WEF似乎有些小題大作、危言聳聽,然而一旦仔細斟酌其為何將網路攻擊列為如此嚴重的風險,便不難看出箇中蹊蹺。其中最根本的癥結點,乃在於人類對於網路的依賴性與時俱進,甚至已經「積重難返」,使得網路攻擊可能帶來的潛在風險,一天比一天還大,尤其伴隨物聯網帶來人與機器之間更緊密的溝通聯繫,更大幅強化了網路攻擊機率、以及對整個網路生態系統的潛在連鎖效應;在此前提下,美國已將網路攻擊風險視為頭號威脅,另外包括德國、日本、瑞士乃至新加坡等多個國家,亦把網路攻擊列為企業領導者最關注的頂級威脅,似乎並不為過。

進入物聯網時代,不僅每個人身上的手機、手錶、手環、眼鏡、鞋子、衣服甚至皮包,都將逐一轉化為連網物件,少則3∼4個、多則7∼8個,這還不打緊,每個家庭當中,尚有電腦、電視、冰箱、電鍋、冷氣、電表、瓦斯表、水表、智慧插座等連網物件,光是這一些,看在駭客的眼裡,已然稱得上是值得怦然心動的題材了,更何況在戶外還有車聯網、智慧工廠、智慧零售、智慧醫療、區塊鏈(Blockchain)、智慧城市、智慧電網…等等極其豐富的「商機」。

因此儘管IoT因為具備更多的方便性、行動性與創新科技,從而教人興奮不已,但它形同兩面刃,也可謂孕育網路犯罪的頂級天堂,著實值得人們高度警惕。

事實上,物聯網時代可能引爆的資安威脅,甚至會比過往PC時代還要來得巨大,主要是因為,深究絕大多數物聯網裝置的設計目的,通常都起源於特定功能,講究輕巧便攜與低能耗,與PC包山包海的特性大不相同,正因為如此,物聯網裝置體態相對狹小,並不具有太強大的運算能力與儲存空間,所以意欲在設備本身融入安全機制,難度實在不小;舉例來說,要讓設備在接收或傳輸資料時,進行雙向認驗證,便有現實上的困難性。

IoT安全與實用之間  猶難建立最佳平衡

所以已經有不少資安專家,對於如何在物聯網的安全與實用之間找到最佳平衡,感到不甚樂觀,也因而憂心忡忡。其中最讓資安專家深感憂慮的,便是車聯網安全,只因為此事與多數民眾的日常生活息息相關。

回顧近3年來,已經不只一次,出現知名車廠因為軟體漏洞而發出召回令,例如某次是因為車上的觸控螢幕存在著嚴重弱點,可能讓駭客有機可乘,針對該車輛進行遠端控制;事實上,某個以C字眼開頭的知名系列跑車,其安全系統不僅止於出現漏洞,而是已經遭到駭客攻破,可輕易從遠端操控其煞車系統,試想,由於煞車系統攸關人命,這是多麼讓人驚懼的事實?

除此之外,個人資料與隱私的安全,也將因物聯網時代的到來,因而面臨前所未見的巨大考驗。綜觀時下運動達人,舉凡運動手環,計步器與行動運動設備,都已成為時尚必備品,儘管這些達人對於運動普遍在行,但隔行如隔山,對資訊安全風險意識,普遍並不到位,便可能使得諸多風險油然而生。

全球聞名的第三方資訊安全檢測機構AV-Test,過去即特別測試了個人健身數據,如何從這些設備傳遞至智慧型手機與雲端伺服器,也同時測試手機健身追蹤應用的安全性。

結果顯示,使用者的運動數據皆會被記錄,並透過隨身智慧型手機上的APP進行分析,從而一目瞭然地反應該使用者的健身情況,細數箇中潛藏的安全風險,則包括了數據傳輸過程的安全性,駭客不管是透過途中的攔截,或預先竄改手機應用程式,有許多途徑,都能幫助他們如願竊取這些健身數據。

當然,許多運動達人,並不認為自己的健身數據多麼值錢,值得駭客如此大費周章進行偷竊;但他們可能忽略掉,竊取這些健身數據,對於身懷一定技術能力的駭客來說,根本猶如小菜一碟,完全談不上大費周章,況且這些資訊也絕不像他們自認的如此無價,比方說,此訊息對於保險公司便深具價值,可用以進行產品設計與廣告推銷,更可怕的是,這些資訊足以反映使用者的運動習慣,假使被犯罪分子取得,即可據此推測使用者鐵定不在家的時間,接著登堂入室搜括財物。

欲消弭物聯網威脅  有賴供應商納入安全設計

更有甚者,為廣大使用者提供服務的企業,其責任不僅在於全力保護自身數位資產,在此同時,亦需連帶保護他們的客戶與員工之資料安全,不容許任何個資或隱私,是因為企業一時的粗心大意而流失,只要不慎發生此事,對於商譽與形象衝擊之大,甚至會大到足以動搖經營根基;然而隨著物聯網裝置大量應運而生,將逼使企業必須與駭客進行攻防的點,驟然增加數倍、數十倍之多,顧此失彼的機率提高不少,所以對於眾多有責任保護員工或客戶個資的企業而言,物聯網肯定如同一場揮之不去的惡夢。

值得留意的是,物聯網裝置遭到駭客入侵得逞的機率,也比PC大上許多,因為這些裝置不僅採用大量開源函式庫,也引用了還未臻成熟之境的UPnP等通訊協定,更重大的問題在於設計者普遍未納入安全考量,所以當這些產品遭到破壞時,也不會觸發任何回應機制。

那麼如何提高物聯網安全?專家呼籲,物聯網裝置供應商必須將安全列為產品設計的要素,相對來說,消費者亦需提升安全意識,在選購產品時特別留意其安全強度,進而反向給予供應商壓力,驅使他們自知上緊發條、不容懈怠,藉以形成正向循環,帶動物聯網安全的大幅起飛。

另外,政府機關也有責任協助設立物聯網安全測試平台,甚至不排除建立專責機構,針對各個不同垂直產業的物聯網應用,訂定不同的安全防護標準,接著依據這些標準,樹立嚴謹的安全測試規範,久而久之,必定可有效提高駭客入侵的門檻。