DTF1019
訂報優惠

藉助AI與ML技術 強化物聯網安全防護

  • 魏淑芳
Mirai可怕之處,在於只要任何物聯網設備疏於變更帳密,就可能成為駭客囊中物,或成為DDoS攻擊幫兇,或讓採用該裝置的企業,直接遭到入侵導致機密外洩。來源:Cyber Investigative Services

DIGITIMES企劃

毋庸置疑,舉凡物聯網(IoT)或萬物聯網(IoE),都是近年來炙手可熱的議題,也成為廠商亟欲搶攻的商機灘頭堡;但人們在享用IoT高度連結效益,繼而讓工作與生活變得更具智慧便利之餘,似乎也承受較以往更大的隱私與資安威脅。

在去年底(2016),一支名為Mirai的僵屍病毒,釀成多起兇猛的分散式阻斷服務攻擊(DDoS),無疑像是震撼教育,使大家幡然醒悟,總算明白當今被喊得震天價響的物聯網,原來如此弱不禁風。

回顧Mirai歷史,最早是在去年8月遭人發現,它意在攻擊諸如網路路由器、印表機、攝影機或數位監視錄影機(DVR)等植基於Linux韌體的物聯網設備,至於具體入侵手法,病毒會先選擇一個隨機IP位址,接著試圖運用一些預設的管理用帳密,看看能否登入裝置;只可惜不少物聯網設備供應商、用戶都太過輕忽大意,沿用預設帳號與密碼的情況比比皆是,以致Mirai攻擊者如入無人之境,接連攻陷各大網站,包括Twitter、Paypal、Spotify等網站都淪為苦主。

時至2017年,Mirai更優化了它的體質,不再只懂得利用殭屍程式與暴力破解來發掘潛在受害者,而進一步擅用新的Windows木馬程式,幫忙搜尋潛在攻擊對象,期以擴大Mirai殭屍病毒的感染範圍。

這支Windows木馬程式會根據C&C伺服器的指示,負責掃瞄被指定的IP位址,假使成功入侵目標裝置,會立即檢視裝置所用的作業平台為何,如果是Linux,便二話不說直接植入Mirai病毒,如果是Windows,就會將木馬程式複製一份到裝置上,接手搜尋其他Linux目標裝置。

可怕的是,Windows木馬程式比起原先的Linux版本,可掃瞄的連接埠數量更多、型態更廣,簡直把所有可能感染裝置的途徑,全都納入其中,得以有效擴大Mirai活動範圍。不禁讓人憂心,用戶在歷經2016年底的Mirai震撼教育後,是否亡羊補牢,趕緊改正了採用預設帳密的壞習慣?如果不能,縱使2016年僥倖未淪為受害者,如今仍可能在搭配Windows木馬程式的強大攻勢下難逃劫數。

台灣愛用預設帳密 高居世界第一

台灣民眾也許有所不知,有一個堪稱是智慧型IoT裝置超大型目錄的搜尋引擎-「Shodan」,只要全球的任何用戶未對裝置更改預設密碼,就會被Shodan網站納入統計,迄至目前,台灣符合「Default Password」的物聯網裝置,恆常維持在逼近1萬台的高水準,名列世界第一位,佔全球總數的10餘百分點,更始終比美國高出約3,000台。

看到這份數據,理應讓不少資安專家冷汗直流,直呼台灣人對於物聯網安全的認知程度,竟然如此之薄弱,這般「低級失誤」,恐讓台灣蒙受極高資安風險。

值得一提的,一個聲稱已彙集數萬支網路攝影機畫面的網站-「Insecam」,裡頭也有超過340個來自台灣的監視器畫面;其中最讓資安專家津津樂道的,是某家藝品店,駭客已成功換置該店的系統,而且還在監視器畫面上貼上一行紅色,表明店家的網路攝影機已經被入侵,但幾個月過去了,這行紅字始終呈現於畫面上,意謂店家對於自己的攝影機遭到入侵一事,依舊渾然不覺,更遑論採取任何因應措施,物聯網安全問題之嚴重,藉由此例即可充分表露無遺。

有人說,展望未來,人們現在所倚靠的一切開關按鍵都會消失,不再需要藉由遙控器來轉台,也不必透過開關來關閉照明設備,這些裝置都將依預先設計的情境範本來自動運作,譬如說,當家庭的所有成員都確定外出之際,假使廚房的瓦斯仍在繼續運作,便會立即由系統自動關閉瓦斯。

試想如果有一天,智慧家庭系統遭到駭客入侵,從而攪亂了情境控制功能,本該自動關閉的瓦斯卻未關閉,甚至原已關閉妥當的瓦斯又被駭客從遠端喚醒,那麼資訊安全不只帶來數位威脅,更危及實體安全,確實後患無窮。

那麼終究該怎麼做,才能遏止物聯網資安危機?去年底由美國國土安全部所發表的「物聯網安全策略準則」(Strategic Principles for Securing the Internet of Things),無疑相當值得台灣的政府與產業界參考,該準則的制定初衷,在於喚起物聯網生態體系中所有成員的安全意識,不論位居產品設計、生產製造或使用等不同角色,都有義務維護物聯網安全。

IoT生態系成員 皆須肩負安全責任

深究美國之所以將IoT提升至國土安全等級,實為一般大眾對於連網裝置的倚重程度急遽增高所致,舉凡油、水、電等民生關鍵基礎設施的運作,乃至於自動駕駛車應用,都與物聯網息息相關,若不對此善加保護,任由相關設備商罔顧安全設計,繼續缺乏安全更新與漏洞管理機制,也放任使用者便宜行事採用預設帳密,因而向駭客敞開大門,勢必會造成不可逆料的巨大危害,因此必須訴諸法令規範,從根本上儘量解除物聯網安全威脅。

專家指出,論及物聯網安全防護,牽涉範圍頗廣,包括裝置的實體安全、網路通訊、軟體設計、韌體設計等不同構面,皆需要面面俱到,此一特性,也導致物聯網安全防護的難度,明顯高於傳統電腦安全;姑且不論製造商或使用者對於物聯網風險的認知是否足夠,也不管一味講求使用便利性的消費者,是否有足夠耐心來接受必要的安全檢查程序,光是從物聯網、電腦兩類裝置在於運算能力上的落差,也能顯而易見知道IoT設備難以支援太高階的加密技術,能夠用來擋住惡意份子入侵的武器,自然相對疲弱。

但無論如何,物聯網的組成,可大致區分為「終端裝置」(End-device)、「通訊媒介」(Network Media)及「後端系統」(Backend System)等幾個關鍵環節,其間經由網路來交換彼此資訊,因此如何把散佈於不同環節的漏洞關連起來,肯定是物聯網安全防護的一大關鍵。

總括而論,藉由上述重要環節所衍生的安全議題,至少分為六大項,其中屬於應用層者有三項,依序是物聯網裝置本身的隱私資料保護、物聯網裝置身份認證及存取權限控管,以及物聯網裝置本身的軟體漏洞更新與保護機制。

此外在網路層部份,有兩項值得留意的安全議題,包含了物聯網裝置資料傳輸過程的加密及保護,乃至於物聯網裝置之間更趨複雜的網路安全管控。至於位在IoT應用架構最底端的感知層方面,則需要防範感知設備攻擊,至少需要確認工業控制系統(ICS)或SCADA所接收到的資訊,確實100%與原始數據相吻合。

專家建議,有鑑於物聯網裝置為數眾多,且偏佈在不同環境,若要倚靠人工逐一管理,肯定力有未逮、緩不濟急,故企業不妨援引人工智慧(AI)或機器學習(Machine Learning;ML)等技術分析資安威脅情資,自動產生對應防護決策。