物聯(lián)網(wǎng)崛起 信息安全威脅從謀財(cái)發(fā)展到害命
早在2014年的Black Hat黑客年會(huì),即曾演示如何借助遠(yuǎn)程操控方式,成功入侵真實(shí)的汽車(chē)。
無(wú)庸置疑,物聯(lián)網(wǎng)(Internet of Things;IoT)絕對(duì)稱得上是炙手可熱的科技議題,Gartner預(yù)估,待至2020年,全球物聯(lián)網(wǎng)硬件數(shù)量上看250億個(gè),屆時(shí)不管消費(fèi)市場(chǎng)或商業(yè)活動(dòng),都將被物聯(lián)網(wǎng)廣泛覆蓋,此對(duì)于黑客而言,簡(jiǎn)直是肥滋滋的大餅,豈有坐壁上觀之理?
事實(shí)上,早在幾年前,即出現(xiàn)了物聯(lián)網(wǎng)硬件可能成為謀殺工具的論調(diào),盡管聽(tīng)來(lái)仍有些駭人聽(tīng)聞,甚至給人天方夜譚之感;但隨著物聯(lián)網(wǎng)硬件數(shù)量急速攀升,與人類(lèi)食、衣、住、行、育樂(lè)等生活需求,乃至生產(chǎn)制造、醫(yī)療保健乃至交通運(yùn)輸?shù)汝P(guān)鍵場(chǎng)域,全都產(chǎn)生了前所未見(jiàn)的緊密鏈結(jié),屆時(shí)講究經(jīng)濟(jì)利益的黑客,必然蜂涌而至,出現(xiàn)各式作惡行徑,其間稍有不慎,導(dǎo)致人命危殆并非不可能之事。
曾于2010年全美黑客年會(huì)大放異采的知名黑客Barnaby Jack,在2013年以35歲的年紀(jì)離奇猝逝,否則他是最有機(jī)會(huì)提早印證物聯(lián)網(wǎng)硬件可能成為謀殺工具論調(diào)的人。先說(shuō)Jack如何在2010年大放異采,他歷時(shí)2年的研究,發(fā)現(xiàn)至少有兩種手法,可以侵入自動(dòng)柜員機(jī)(ATM),并迫使ATM吐出鈔票;在黑客年會(huì)現(xiàn)場(chǎng)眾人屏息以待的場(chǎng)景中,Jack展現(xiàn)神乎其技,讓兩臺(tái)ATM吐盡內(nèi)部所有鈔票,即便這個(gè)表演相當(dāng)驚悚,但他強(qiáng)調(diào)此舉并非教人如何侵入ATM,而是對(duì)ATM制造商提出善意提醒。
物聯(lián)網(wǎng)硬件可能淪為謀殺工具
繼成功演繹侵入ATM之后,后續(xù)Jack試圖侵入的對(duì)象,與人命的關(guān)聯(lián)度越來(lái)越大,例如在2011年,他曾展示如何入侵糖尿病患者使用的胰島素注射硬件,改變其注射頻率與安全提醒功能,可能對(duì)患者造成難以逆料的危害;然而更驚悚的是,他曾預(yù)告將在2013黑客年會(huì)發(fā)表“植入式硬件:入侵人體”演說(shuō),示范如何利用信號(hào)傳送器,在遠(yuǎn)程將惡意軟件植入心臟病患體內(nèi)的去顫器、心律調(diào)節(jié)器等醫(yī)療硬件,甚至聲稱在10公尺遠(yuǎn)的地方便可讓對(duì)方心跳停止。
雖然Jack在2013黑客年會(huì)揭幕之前,即在住處離奇死亡,沒(méi)能來(lái)得及向與會(huì)者做出如此驚懼的展示,但似乎也提前昭告世人,要想利用物聯(lián)網(wǎng)硬件謀害人命,其實(shí)不難。
無(wú)獨(dú)有偶,就在Jack死前,其實(shí)有一家名為Internet Identity的信息安全公司,已針對(duì)物聯(lián)網(wǎng)議題提出沉重警告,直指物聯(lián)網(wǎng)硬件可能被用以執(zhí)行實(shí)際犯罪行動(dòng),其中也包括了謀殺;這家公司接著指出,其之所以做出這個(gè)大膽假設(shè),絕非無(wú)的放矢,而是看到了諸如交通運(yùn)輸、健康護(hù)理...等等越來(lái)越多硬件,皆可通過(guò)網(wǎng)絡(luò)傳送訊息與接受控制,這般特性看在歹徒眼里,就彷佛是從天上掉下的大禮,讓他們無(wú)需進(jìn)入險(xiǎn)要境地(指被害者所在地),便可遠(yuǎn)程關(guān)閉靜脈注射硬件、調(diào)整心律調(diào)節(jié)器,抑或變更汽車(chē)操控系統(tǒng),輕松取人性命。
令人擔(dān)憂的是,綜觀物聯(lián)網(wǎng)產(chǎn)品,多數(shù)醫(yī)療硬件采用較為老舊的軟件,個(gè)中潛藏的漏洞更多,也更容易讓黑客上下其手。
其實(shí)除了醫(yī)療硬件外,汽車(chē)所潛藏的危險(xiǎn)因子更大!一個(gè)真實(shí)的例子,有兩個(gè)黑客,借助遠(yuǎn)程入侵的方式,連手控制了一輛急駛在高速公路的吉普車(chē),接著他們就從遠(yuǎn)程徑自操控,先是開(kāi)啟了雨刷開(kāi)關(guān),接著將空調(diào)溫度調(diào)至最低,同時(shí)還任意改變了收音機(jī)的播放頻道,最后再把離合器給關(guān)閉,讓這輛吉普車(chē)從原本的奔馳疾駛變成龜速爬行;黑客的舉動(dòng),無(wú)異彰顯了汽車(chē)可能面臨的物聯(lián)網(wǎng)安全威脅,連帶引發(fā)若干汽車(chē)廠高度正視此風(fēng)險(xiǎn),大舉召回汽車(chē)進(jìn)行計(jì)算機(jī)系統(tǒng)的升級(jí),盼能借此降低汽車(chē)遭侵的可能性。
物聯(lián)網(wǎng)創(chuàng)新產(chǎn)品 保護(hù)機(jī)制相對(duì)脆弱
有鑒于此,已經(jīng)有信息安全業(yè)者大聲疾呼,為了避免黑客利用物聯(lián)網(wǎng)開(kāi)啟全新經(jīng)濟(jì)模式,借此攻擊物聯(lián)網(wǎng)硬件取人性命、或者從事敲詐行為,物聯(lián)網(wǎng)制造商理應(yīng)想方設(shè)法,采取必要的安全措施,以期提高惡意人士入侵的門(mén)坎,達(dá)到保護(hù)這些硬件之目的,畢竟數(shù)量急速增加的物聯(lián)網(wǎng)硬件,活脫脫就是黑客賴以滋養(yǎng)高殺傷力新型威脅的溫床。
信息安全業(yè)者認(rèn)為,今時(shí)今日,已是一個(gè)唯創(chuàng)新是問(wèn)的年代,任何小型的新創(chuàng)企業(yè)、工作室甚或創(chuàng)客,皆有可能憑借驚世駭俗的創(chuàng)意,撼動(dòng)已經(jīng)存在百年的傳統(tǒng)市場(chǎng)游戲規(guī)則,進(jìn)而席卷大量使用者,徹底顛覆人類(lèi)的生活與工作模式,而物聯(lián)網(wǎng)正是觸發(fā)創(chuàng)意的重大題材之一。
因此有朝一日,員工穿戴著智能運(yùn)動(dòng)鞋、智能服飾、智能手表上班,而企業(yè)辦公室環(huán)境內(nèi)部,也充斥著諸如智能溫度調(diào)節(jié)器、智能衛(wèi)生紙架...等新穎硬件,絕對(duì)不是夢(mèng);但問(wèn)題來(lái)了,綜觀孕育這些創(chuàng)新硬件的推手,固然不乏名聲響亮的大型供貨商,但也有為數(shù)不少的新創(chuàng)企業(yè),這些積極搶市的新創(chuàng)企業(yè),并無(wú)強(qiáng)大的動(dòng)機(jī)、也無(wú)足夠的能力,將硬件的安全防護(hù)列為第一優(yōu)先順位,頂多只能通過(guò)賬號(hào)密碼等簡(jiǎn)單機(jī)制,施以較為低度的保護(hù),如此一來(lái),這些看似富含智慧的物聯(lián)網(wǎng)設(shè)備,都可能淪為黑客痛下毒手的管道。
歸納物聯(lián)網(wǎng)時(shí)代的潛在信息安全威脅,若與前端設(shè)備較具關(guān)聯(lián)者,大致可分為幾種類(lèi)型:首先是鎖定物聯(lián)網(wǎng)硬件本身的弱點(diǎn),直接對(duì)此發(fā)動(dòng)攻擊;其次是先行潛入后端云端數(shù)據(jù)中心,掌握某些控制機(jī)能,再回頭操控前端物聯(lián)網(wǎng)硬件;再者則是入侵前端物聯(lián)網(wǎng)硬件,然后循著前后端鏈接路徑,逐步攻進(jìn)后端云端數(shù)據(jù)中心,借以滿足竊取機(jī)敏數(shù)據(jù)之目的。
找出難以防守的硬件 從企業(yè)網(wǎng)絡(luò)中移除
持平而論,對(duì)于企業(yè)而言,單就云端數(shù)據(jù)中心的安全防護(hù),縱使仍舊存在莫大挑戰(zhàn),但至少依然算是IT部門(mén)相對(duì)熟悉與擅長(zhǎng)的戰(zhàn)場(chǎng),在這個(gè)戰(zhàn)場(chǎng)之中,不管黑客鎖定的目標(biāo)是計(jì)算機(jī)、服務(wù)器、儲(chǔ)存設(shè)備或網(wǎng)絡(luò)設(shè)備,IT人員都有很大的機(jī)會(huì)提出反擊;然而面對(duì)一些連上網(wǎng)絡(luò)的非IT硬件,也就是前段所提到的種種前端物聯(lián)網(wǎng)硬件,顯然不在IT人員的專長(zhǎng)范疇內(nèi),一些前所未見(jiàn)的信息安全弊端,也就因此應(yīng)運(yùn)而生。
比方說(shuō),曾有國(guó)外專業(yè)機(jī)構(gòu)通過(guò)研究發(fā)現(xiàn),有數(shù)以萬(wàn)計(jì)的抽風(fēng)機(jī)、加熱器及空調(diào)系統(tǒng)鏈接互聯(lián)網(wǎng),在大多數(shù)的情況下,這些設(shè)備都蘊(yùn)含一些基本的安全漏洞,只要黑客善加運(yùn)用,確實(shí)很有機(jī)會(huì)借此潛入企業(yè)內(nèi)部網(wǎng)絡(luò)。具體來(lái)說(shuō),當(dāng)企業(yè)落腳在一棟全新的建筑物,與這棟建筑物的其他住戶,共同享用相同的監(jiān)視攝影機(jī)、空調(diào)系統(tǒng)乃至電梯,而這些設(shè)施與自己的內(nèi)部網(wǎng)絡(luò)之間,也有某些連結(jié)性,如此一來(lái),無(wú)異是平白增添了一些逾越IT部門(mén)掌控范圍的節(jié)點(diǎn),因而埋下莫大信息安全隱患。
不過(guò)可惜的是,企業(yè)IT部門(mén)通常很懂得運(yùn)用一些信息安全解決方案,據(jù)以捍衛(wèi)云端數(shù)據(jù)中心內(nèi)部的虛擬服務(wù)器與應(yīng)用程序安全,但對(duì)于亟需納入整體安全構(gòu)面之一環(huán)的前端防護(hù)部份,著力空間卻相對(duì)有限,此乃由于,前端物聯(lián)網(wǎng)硬件的安全系數(shù)高低,有很大一部份取決于產(chǎn)品制造商自身的設(shè)計(jì)能力,比較難以借由附加(Add-on)方案,做事后補(bǔ)強(qiáng),因此企業(yè)能夠使得上力的,一是盡可能慎選相對(duì)安全的聯(lián)網(wǎng)硬件,二是著眼于不想與難以防守的敵人對(duì)壘,設(shè)法找出存在于自己網(wǎng)絡(luò)上的所有設(shè)備、尤其是非IT硬件,接著加以移除。