IOT_20141208_01
IoT (Internet Of Things) 物聯網,其本意是指萬物基於某種方式從而達致萬物互聯之效;一般情況下,物件(不論是傳統物件或專為物聯網概念而生產的產物),均是通過於物件之中安裝傳感裝置、RFID、智能晶片等,從而通過這些裝置,令物品能主動向中控台發出某種訊息,而人類通過中控台接收這些訊息,從而了解到物件本身的感知行為;例如通過中控台我們可以得知由傳感器辨識的汽車引擎資訊,從而安排進行維修等。

其實物聯網有很多有趣的事物,未來有機會我們會再深入探討。本文之中,我們希望先與大家探討一下物聯網的安全事宜。

物聯網依賴傳感器,而傳感器之中均運行著一套系統;就好像我們採用的路由器一樣,任由我們將物聯網說得如何神奇,但仍需通過一個系統以便處理各種要求及訊息,及後才向中控台傳送,而此系統由於欠缺統一性,因此傳統的保安方法均難以有效地對此出有效的安全防禦。

近日與一位安全專家飯局,當時我們刻意就物聯網向他查詢一下,結果發現原來業界仍未就物聯網的安全性制定出一套安全標準;而假如硬要說物聯網的統一標準,唯一可能實現到的就是應用於汽車之中的多媒體系統;事關某些品牌的汽車本身的市場佔有率極高,因此較容易便能定立到屬於自己品牌的標準物聯網系統,這對於開發統一標準的安全防禦方案來說亦是較為容易的。

儘管現時業界就物聯網的安全防禦方案仍未定立出一套標準,但根據專門針對 Web App 安全的開源組織 Open Web Application Security Project (OWASP) 業界指引,針對 IoT 的安全問題應留意以下五式。

問題 1:管理介面設計垃圾

第一種問題就是有關物聯網設備的網頁管理介面設計。很多時開發物聯網設備的廠商均會通過提供網頁介面讓管理員能輕易完成設定工作;然而管理介面假如在編程上採用了較差的方法,那登入的網頁介面之中便可能會有機會被植入各種木馬;同時黑客亦可通過嘗試預設的「陽春」憑證以抓取純文字帳户登入憑證,採用不同的方法將登入資料列出,最終便可成功登入物聯網設備。

初步解決方案

不要採用預設的帳户:第一次設定物聯網設備時,便應該將預設的帳户密碼作更改,以避免被黑客輕易撞破。
避免在密碼錯誤訊息之中透露帳存是否真正存在。
啟用自動封鎖功能,當多次輸入了錯誤的登入資訊時,便直接將之封鎖。

問題二:Access Control 的必要性

第二種問題就是管理員太過有自信。很多時物聯網的物品可能只有內部人士才可存取,因此管員便會忽略了密碼的嚴謹程度,但大家別忘記任何嚴密的網絡保安方案,均不敢說自己 100% 安全;因此即使只供內部使用的物聯網設備,亦需借助第三方的方案設定好 Access Control (存取控制權限) 以確保安全。

初步解決方案

提高警覺性:即使是內部使用的物聯網設備,亦應該設定一些較複雜的密碼以確保擁有一定的安全性。
可通過部署一些存取控制設備,從而確保了物聯網設備的存取權限,避免黑客有機可乘。

問題三:小心開啟了不安全的 port 位址

第三種問題是與 port 有關的。眾所週知一些 Network services 能被第三方加以利用去進行一些足以影響內部運作的行為;常見的不安全 Network services 例如有 NFS – port 2049、Portmap – port 111、FTP – port 21 等等…. 還有很多,不詳述。

假如對 port 位的控制不充分,將有機會讓黑客充分地利用如緩衝區溢位 (Buffer overflow) 攻擊以將你的程式預設緩衝區塞得滿滿的,最終癱瘓設備;同樣道理,開啟了某些 port 位亦將會導致被 DoS (Denial-of-Service) 攻擊,此攻擊的目的都是癱瘓裝置。

初步解決方案

設定好你的麻煩的 iptables….或防火牆,確保只開啟需要使用到的 port 位。
確保所開啟的 Network service 其引起的 DoS 可能性較低,以確保設備不會被輕易 DoS 而導致停機或癱瘓情況。

問題四:傳輸加密問題

大家都知道,採用上如 SSL 等方式對傳輸過程進行加密的重要性吧!但很多時,尤其是內部使用的設備,由於其生成的 SSL 並沒有正式向 SSL 機構進行申請,所以啟用了 SSL 加密連線後,便會導致每次登入時出警告字眼;而很多管理層為了一己之方便,往往不會理會安全問題,便要求 IT 管理員將之解除,結果 IT 管理員便只有停用 SSL,這樣黑客便很容易通過一些工具深入查看傳送之中的封包,從而找出登入資料;另外有些大意的廠商為了方便性,在編寫程式時採用了 GET 的方式取得用户所輸入的帳户資料,這亦是另一種不可原諒的大意。

解決方法

堅持安全為先,堅持啟用 SSL 加密傳輸協定。
選用方案前,了解一下網頁管理介面的設計是否有足夠的安全性。

#########################

http://www.hkitblog.com/login.php?userid=3&password=1234

上述網址便是採用了 GET 的方式取得用户登入資料,大家輕易可見,傳輸過程之中網址後方會直接附上用户所輸入的登入資訊。

########################

問題五:設備是否支援自動更新

別笑!很多物聯網設備是無法自動更新的!沒法提供自動更新的設備便不應購買了,事關當新的漏洞被發現後,廠商即使已提供更新,然而卻需管理員逐一手動進行更新,一來浪費寶貴的人力資源,二來人手處理在反應時間上始終及不上設備自動完成更新,對吧!

解決方法

應選購「懂得自動更新」的物聯網設備。
即使設備懂得自動更新,亦請留意更新檔案傳送過程時的傳輸協定是否為已加密。
確保更新過程之中,廠方不會收集設備之內的資料。

總結:持觀望態度的物聯網

老實說,創新科技的第一批使用者,往往都是勇者。舉例如老品牌作業系統,他們的 RTM 版本、SP1 以前的系統版本,往往仍處於試行階段;情況與現時的物聯網一樣,很多技術仍未有行業標準,更不用說安全管理了,所以物聯網方案現時仍未適合大量部署;反而現時企業可通過小量部署物聯網方案,從而進行內部測試,為即將到來的物聯網時代作最佳準備。

鳴謝:Lapcom 協助

 


 預測未來趨勢:淺談 IoT 安全五式

 https://www.facebook.com/hkitblog