malaysia_airline_20140722_01

隨著科技的進步,近年來在 IT 界出現了一個新的詞語,那就是 IoT (Internet of Things)。萬物互聯,意味著傳統的物件加入經編程的控制器後,便可讓物件懂得回應,例如傳送物件本身的感知;至於人類則可通過控制器實時得知物件的情況,並通過統一化平台從而獲得更良好的控制。

那麼 IoT 跟安全危機的關係又是甚麼?其實黑客於互聯網針對各種系統發動入侵、攻擊等行為已非新鮮事,然而傳統系統由於早已確立了標準化,例如 Windows 或 Mac 平台等,其本身都是擁有很多用户使用的平台,因而令業界安全專家可以較容易針對這些平台開發安全防禦工具,不過 IoT 的控制器卻不能了!

事關 IoT 的控制器本身並不像 Windows 及 Mac 一樣擁有一個多用户使用的平台標準,換句話說安全專家根本不可能在 IoT 控制器系統還未統一之時就開發出防禦方案,所以現時假如要針對一個 IoT 設備進行入侵工作的話,只要花時間調查目標的控制器結構 (更甚者可從中輕易的發現漏洞),那麼入侵的難度其實不大。

IoT 危機例子 1 :入侵航機娛樂系統取得升降控制權?

美國知名黑客羅伯茨便曾聲稱可利用手提電腦及網絡線接駁座位下的個人娛樂系統機件進入娛樂系統,更甚者他可從中進一步控制到飛機升降等動作;儘管在他被捕後卻稱並未嘗試連接座位下的線路。

按常理來說,飛機的升降系統絕不可能與娛樂系統相連接,連 FBI 亦未擁有足夠證據對羅伯茨進行起訴,然而正所謂「空穴來風」,所有與電腦系統有聯系的物件,亦總會有入侵的方法。

IoT 危機例子 2 :入侵太空站改變恆溫

另一個例子又是來自美國知名黑客羅伯茨。他早於 2012 年出席 GrrCON黑客大會時,便曾於台上向觀眾指出他和他的團隊早於 8 年前便成功入侵美國太空總署的控制中心電腦,並從中改變了 NASA 太空站的恆溫設定,從而改變太空站溫度。

IoT 仍未有嚴謹的安全防禦方法

上述例子告知我們一個事實:「IoT 的確很危險」。

其實傳統的防禦方式對於 IoT 來說已是完全起不到作用了,事關 IoT 控制器系統本身並不具有一個統一標準,所以針對 IoT 的保安工作,重點應放在存取身份認證上,以下是一些想法,或許可讓各位思考一下 IoT 的保安方式。

1.    確保開啟設備 (連接電源) 的權限。
2.    編寫控制器時應加入用户權限分級及存取控制權限。
3.    當控制器接入網絡時,管理員應需要於路由器之中設定好是否容許該設備進行連接。
4.    如可以的話,在編寫控制器時應設法將傳統的如 iptable 等加入在內,以便進行最初步的防火牆設定工作。
5.    於控制器之上,如可行的話請考慮部署 IPS 或防火牆等設備。
6.    最後一項就是作為開發者,應常常因應實際情況而更新程式編寫方法,從而避免黑客利用程式編寫方法的漏洞而進行攻擊。

總結:儘管 IoT 仍未擁有一套強而有效的防禦方案,但現時已有些廠商開發針對 IoT 設備的統一 OS,雖然暫時仍未成氣候,但至少在一些領域如汽車系統之中已漸漸形成出統一標準。

我們期望 IoT 控制器標準盡快出現,事關欠缺統一標準對於 IoT 的發展將成為未來發展的一大障礙。

鳴謝:Lapcom


 黑客發功! IoT 安全危機初現:飛機高度、太空站溫度大改特改

 https://www.facebook.com/hkitblog