勒索軟體矛頭指向IoT 恐產生更嚴重破壞性

  • DIGITIMES企劃
駭客若能透過植入惡意程式,而從遠端控制心律調節器,便有可能藉由釋放不正常電壓,讓該設備喪失正常心律調節功能,無聲無息將受害者推向死亡威脅。來源:University of Rhode Island

持平而論,對於多數企業高階主管,「資訊安全」雖然重要,也不能不做,但還稱不上是關鍵項目;只因不管是感染病毒、蠕蟲甚或APT惡意程式,也無論造成系統損毀或檔案遺失,仍不到絕對致命程度;但近一年多年,隨著勒索軟體肆虐,主管們真的怕到了。

曾有人這麼形容,倘若將網際網路比喻為一個江湖的話,則物聯網(IoT)就像是星辰大海,既龐大而且複雜,它確實帶給人類莫大的便捷,但與此同時,也可能帶來讓人料想不到的風險。

不難理解,猶如星辰大海的物聯網,就好比一個巨大無比的母體,將多數人包圍在其間,不斷感知箇中每一個人的行為,連帶也影響他們的一舉一動;而當你的行為被感知、動被捕捉,隨之而來的,就是一系列符合你的偏好或需求的衣食住行育樂等各式商品、服務,透過網際網路與你產生連結。

儘管藉由上述連結,在多數時候,確實讓你享有很大的便利性,然而一旦有人已經盯上你,對你圖謀不軌,那麼他就可以透過前面提到的商品或服務,埋藏惡意程式或錯誤資訊,接著經由網際網路傳遞給你,繼而對你造成難以逆料的傷害。

入侵穿戴式裝置  個人隱私全都露

最顯而易見的傷害,便是個人隱私資訊的外洩。美國一所知名大學的研究人員,曾經提出一份有關IoT安全的報告,指稱駭客可能將矛頭轉向智慧手錶,藉由箇中的運動感測器,來得知你利用鍵盤所輸入的種種內容,當然也包括了你在網路銀行的帳號密碼;如此一來,駭客不必再像從前一般必須費心做暴力破解,便可輕鬆地從你的戶頭搬走錢,或是利用網購買了一堆高價商品,卻指定由你的帳戶來買單。

細數IoT對於個人的安全威脅,若談到錢財流失,除了上例外,還有一種情況,如果有人利用智慧手環量測其健康資訊,進而上傳到雲端伺服器,而駭客看準這一點,便在數據傳送的過程中予以監視,藉此得知目標對象是否進入深度睡眠狀態,如果是,即將此訊息告知竊賊,由竊賊潛入目標對象的處所進行盜竊;假使談到其他傷害,即是用以提供遠端照護的智慧攝影機,在滿足看護需求之餘,也等於是將受照護者的家中狀況,一五一十曝露在網際網路之上。

更可怕的傷害,則是取人性命。不少人都聽說過,首次演繹如何讓ATM吐鈔的白帽駭客Barnaby Jack,在2013年意外猝逝之前,曾預告將在全美駭客年會上,表演如何入侵目標對象所採用的心律調節器,只要成功入侵,那麼即使他距離目標對象長達十餘公里之遠,仍可以藉由無線通訊的方式控制心律調節器,釋放830V電壓,讓目標對象為之慘死。

雖然隨著Barnaby Jack離世,使得這場遠端殺人的模擬秀並未如期上演,但依舊可以肯定,以當前若干駭客的技術能力而言,要想入侵任何病患所配帶的心律調節器、胰島素泵、藥物輸液泵或其他醫療相關設備,繼而做到千里之外殺人於無形,其實是有機會的,此乃由於,這些裝置皆開啟了藍牙或Wi-Fi等連網功能,等於為駭客提供一個佈放惡意程式的管道。

醫療設備遭攻擊  千里外殺人於無形

除了心律調節器外,胰島素泵或藥物輸液泵一旦遭到入侵,後果同樣不堪設想。以藥物輸液泵為例,駭客只要入侵得逞,便能夠從遠端控制藥物劑量,讓病患陷入存亡續絕的重大危機,嚴重性可見一斑。

另一個驚悚例子,發生在去年(2015)。一對技藝高超的駭客夫婦創造一種技術,足以讓攻擊者藉由TrackingPoint自動瞄準狙擊步槍的Wi-Fi連接,進而成功入侵,接著利用狙擊步槍軟體中的弱點,修改瞄準計算中的變數,使得狙擊步槍「無緣無故」失去準頭,甚至永久關閉瞄準系統,讓該步槍喪失自動開火的能力。

或許很多人會為之納悶,駭客千方百計入侵狙擊步槍,怎麼可能只是基於一份佛心,讓狙擊步槍再也不會瞄準、甚或不會自動開火,無法繼續輕易取走人類或其他生物的生命;沒有錯,駭客並不存在這般佛心,所以故事還沒結束,駭客會把變動(含括風速、風向、溫度與彈藥重量)傳入瞄準系統,使得狙擊步槍不再指向預定目標,而是依照駭客所設置的目標進行發射。

這個例子,不論對於TrackingPoint原廠或其他有意發展IoT設備的公司,無疑都具有發人深省的意義,因為縱然有再好的創意巧思,真的設計出前所未見的新穎產品,皆可能面臨前所未有、而且難以想像的資訊安全挑戰。

不過問題來了,一般IoT裝置不比電腦,不論針對運算能力、儲存空間等部分,都明顯較電腦弱了許多,不但稱不上是適合惡意軟體執行的好環境,還可能連跑都跑不動;看到這裡,或許不少人都鬆了一口氣,原來傳說中駭客利用IoT途徑竊取個人私密資訊,甚至在遠距殺人於無聲無息,付諸實現的機率並不大,所以也無須窮緊張。

勒索軟體輕盈靈巧  可依附在IoT設備執行

但如果你真的這麼想,那可就低估了駭客的企圖心與能力。駭客比你還清楚惡意軟體的體態是否過大,也一直想盡辦法使之縮小,但如果縮減的幅度有限,也不見得會因而放棄發動攻擊,此路不通,就走別的路,猶如此時此刻正大行其道的勒索軟體,無疑就是駭客眼中的絕佳素材。

事實上,勒索軟體的體態非常輕盈,不過是幾條指令搭配一個加密演算法,要依附在前述不管是智慧手環、智慧手錶、心律調節器等IoT裝置,並無太大問題。

一直以來,多數人面對資訊安全議題時,其實未必懷抱著高度的憂患意識,只因為這些惡意攻擊行為,再怎麼樣都威脅不了人命,既然如此,就無需為了它而惶惶不安,尤其面對IoT資安問題,憂患意識會更低;然而一旦勒索軟體入侵IoT設備,網路犯罪便有機會與人命產生關聯性,再也無法置之不理。

勒索軟體與人命安全有何關係?設想一個情境,駭客成功將勒索軟體送進醫療設備,使該設備無法繼續正常操作,在此同時也發了一電子郵件給受害者,揚言受害者必須在期限內支付一定數量的比特幣,才能解開原本的加密,讓設備恢復運作,否則期限一到,該醫療設備永遠形同廢物,再也無法發揮任何功能。如果這套醫療設備具有昂貴、稀有、難以立即重新取得…等等種種特質,而受害者必須長期仰賴它才能維持穩定的生命跡象,那麼勒索軟體與人命安全之間,就有了不小的關聯性。

如何避免勒索軟體入侵IoT裝置?發生在一般電腦應用場域,人們還可以藉由資料備份方式來消極因應,至於IoT裝置,似乎連消極因應的空間都沒有,既然如此,使用者只能選擇利用正統網路安全防禦的手法,與攻擊者直接對決。

主要是因為,駭客不管發動任何惡意攻擊,包括病毒感染、APT或勒索軟體…等等全都一樣,都不可能這一秒植入、下一秒馬上發作,必須歷經一段過程,也就是說,如果在駭客發動致命攻擊之前的醞釀期間,使用者便已掌握到惡意活動的癥候,明顯違背了預設的正常行為基準線,就有機會出手制止,適時將駭客掃地出門,也讓勒索軟體沒有辦法發揮作用。