圖片來(lái)源:https://pixabay.com/images/id-4423092/
號(hào)稱日本最強(qiáng)的小學(xué)生���,名偵探柯南���,除了會(huì)開飛機(jī)、拆炸彈及撩小蘭姊姊外�,近年也開始涉足大家愈來(lái)愈重視的安全議題。已于2018年上映的第22部劇場(chǎng)版“名偵探柯南:零的執(zhí)行人”���,就以萬(wàn)物連網(wǎng)為主題����,透過(guò)于物聯(lián)網(wǎng)發(fā)生的攻擊為起頭�,包括犯人駭入物聯(lián)網(wǎng)電飯鍋與引爆各式電器,到最后駭入衛(wèi)星使之墜毀等�,進(jìn)而發(fā)展出一系列的拯救日本大作戰(zhàn)。
本篇電影我們將分成兩個(gè)篇幅針對(duì)其中的安全議題進(jìn)行探討����,Part I 我們將探討造成一切事件發(fā)展的原因:物聯(lián)網(wǎng) (Internet of Things,
IoT)的安全議題; Part II 則是進(jìn)一步討論黑客使用的洋蔥路由(The Onion Routing,
TOR),一種在計(jì)算機(jī)網(wǎng)絡(luò)上匿名溝通與傳輸數(shù)據(jù)的技術(shù)�����。
物聯(lián)網(wǎng)一般統(tǒng)稱為IoT,也就是Internet of
Things的縮寫�����,那何為物聯(lián)網(wǎng)呢?簡(jiǎn)單來(lái)說(shuō)���,比如大小家電、各種網(wǎng)絡(luò)監(jiān)視器與錄像設(shè)備�、智能電表、連網(wǎng)門鎖甚至是智能手表等����,只要具備連網(wǎng)功能,雖然不一定具備如計(jì)算機(jī)般強(qiáng)大的運(yùn)算能力����,但都可被稱做物聯(lián)網(wǎng)中的信息設(shè)備。當(dāng)然���,真實(shí)世界中不一定這么容易就能造成如電影內(nèi)大范圍的爆炸事件與攻擊���,但各式智能家電遭駭卻早就時(shí)有所聞,至于地球軌道上的各式大小衛(wèi)星��,有的已經(jīng)是古董級(jí)的信息設(shè)備,其所使用的加密技術(shù)和通信網(wǎng)路只要稍加不慎都有可能暴露在黑客的攻擊之下���。
片中從一開始的會(huì)場(chǎng)爆炸���、檢察官手機(jī)爆炸到后來(lái)東京市內(nèi)多起手機(jī)、電器等爆炸事故��,皆可歸類為物聯(lián)網(wǎng)攻擊��。隨著物聯(lián)網(wǎng)信息設(shè)備的普及��,物聯(lián)網(wǎng)攻擊在近年來(lái)的網(wǎng)絡(luò)攻擊趨勢(shì)中有逐漸上升的情形����,同時(shí)針對(duì)物聯(lián)網(wǎng)信息設(shè)備的各種惡意軟件數(shù)量也跟著大幅成長(zhǎng)。
一般來(lái)說(shuō)物聯(lián)網(wǎng)信息設(shè)備其架構(gòu)可分為3個(gè)部分︰分別為裝置端����、通訊(端)網(wǎng)絡(luò)及控制端。
1��、控制端
使用者可透過(guò)控制端來(lái)管理物聯(lián)網(wǎng)設(shè)備�����,而控制端所使用之平臺(tái)及技術(shù)種類眾多,像是透過(guò)手機(jī)/平版安裝APP或云端平臺(tái)等����,若是登入時(shí)的身分認(rèn)證或登入后的訪問(wèn)控制沒有做好,就有可能導(dǎo)致攻擊者登入系統(tǒng)�����,并在登入后使用較高的權(quán)限下達(dá)指令���,或是存取該使用者與他人的機(jī)敏數(shù)據(jù)。另一風(fēng)險(xiǎn)則是當(dāng)控制端所使用的操作系統(tǒng)未進(jìn)行更新或是使用有漏洞的程序套件或軟件�,就可能讓攻擊者透過(guò)漏洞來(lái)入侵系統(tǒng)或植入惡意軟件。
2�����、通訊(端)網(wǎng)絡(luò)
在通訊(端)網(wǎng)絡(luò)所會(huì)遇到的問(wèn)題其實(shí)就是數(shù)據(jù)傳輸時(shí)的安全問(wèn)題��,這部分和一般網(wǎng)站�、系統(tǒng)所面臨到的問(wèn)題大同小異,若是數(shù)據(jù)在傳輸時(shí)未經(jīng)過(guò)加密或是所使用不安全的加密算法�����,就有可能在傳輸過(guò)程中遭受中間人攻擊(Man-in-the-middle
attack, MITM)或是機(jī)敏數(shù)據(jù)遭竊聽。
3����、裝置端
實(shí)體設(shè)備暴露在公開環(huán)境中,容易遭有心人士利用���,加上其儲(chǔ)存空間或運(yùn)算能力有限�����,這些設(shè)備往往無(wú)法執(zhí)行自動(dòng)安全更新的動(dòng)作����,所以容易造成系統(tǒng)存在漏洞��,但系統(tǒng)又無(wú)法實(shí)時(shí)修復(fù)�����,攻擊者就可以利用漏洞進(jìn)行攻擊���。
目前物聯(lián)網(wǎng)裝置的入侵主要有幾種途徑�,其中包含如下但不限于:
▲殭尸網(wǎng)絡(luò)
使用默認(rèn)密碼掃描網(wǎng)絡(luò)裝置后嘗試登入�����,或是透過(guò)暴力破解密碼后登入。殭尸網(wǎng)絡(luò)最可怕的地方在于:這些被入侵的物聯(lián)網(wǎng)裝置會(huì)再變成新的殭尸網(wǎng)絡(luò)成員���,并持續(xù)去攻擊其他設(shè)備進(jìn)行擴(kuò)散���。
▲手機(jī)APP
經(jīng)由手機(jī)裝置中設(shè)計(jì)不良的APP取得物聯(lián)網(wǎng)裝置的控制權(quán)限,其中包含破解APP中內(nèi)嵌的固定密鑰�,或是傳輸過(guò)程中信息被劫持或竊取等。
▲WiFi網(wǎng)絡(luò)
透過(guò)改變物聯(lián)網(wǎng)裝置的網(wǎng)絡(luò)設(shè)定���,使其聯(lián)機(jī)到不安全的網(wǎng)絡(luò),或是造成其網(wǎng)絡(luò)聯(lián)機(jī)中斷而使系統(tǒng)不穩(wěn)定�����,像是居家智能鎖或醫(yī)療裝置等都曾有相關(guān)的破解手法�。
水能載舟亦能覆舟,在享受高科技生活所帶來(lái)便利性的同時(shí)����,為了不讓這些方便人們生活的物聯(lián)網(wǎng)信息設(shè)備,變成攻擊者的目標(biāo)或是受害后擔(dān)任惡意攻擊的角色��,一般民眾可以做到的是:
▲修改默認(rèn)密碼
物聯(lián)網(wǎng)信息設(shè)備通常具備連網(wǎng)功能,而這些設(shè)備的預(yù)設(shè)帳號(hào)密碼可以輕易在網(wǎng)絡(luò)上搜尋到����,所以設(shè)備買來(lái)或是安裝好之后,記得要先刪除預(yù)設(shè)帳號(hào)或更新密碼�����。
▲定期進(jìn)行安全更新或程序升級(jí)
物聯(lián)網(wǎng)信息設(shè)備應(yīng)該要和其他信息設(shè)備一樣定期執(zhí)行安全性更新�,以避免存在未修復(fù)的漏洞。
▲建立訪問(wèn)控制機(jī)制
限制物聯(lián)網(wǎng)信息設(shè)備相關(guān)應(yīng)用程序與組件之權(quán)限�,只提供該設(shè)備之必須或最小權(quán)限。
若是公司行號(hào)或是政府機(jī)關(guān)則還可以再加碼下列防護(hù)措施:
▲避免采購(gòu)具安全疑慮之物聯(lián)網(wǎng)信息設(shè)備
由于部分國(guó)家的物聯(lián)網(wǎng)信息設(shè)備頻傳安全外泄危機(jī)����,所以采購(gòu)相關(guān)設(shè)備時(shí),應(yīng)以白名單或黑名單方式進(jìn)行管制
▲盤點(diǎn)物聯(lián)網(wǎng)信息設(shè)備
應(yīng)定期盤點(diǎn)相關(guān)物聯(lián)網(wǎng)設(shè)備����,并視其需要進(jìn)行更新或汰換
▲定期檢測(cè)物聯(lián)網(wǎng)信息設(shè)備
制定并發(fā)展物聯(lián)網(wǎng)信息設(shè)備之檢測(cè)規(guī)范及機(jī)制,并將路由器�����、網(wǎng)絡(luò)攝影機(jī)、網(wǎng)絡(luò)打印機(jī)以及門禁系統(tǒng)等相關(guān)辦公室連網(wǎng)設(shè)備�����,納入檢測(cè)范圍內(nèi)
