■ 國防部中校參謀 葉清源
「出門在外,想關心一下家中的長輩,
於是登入居家安全系統來查看家中的情 況」;「炎炎夏日,在外勤奮地跑了一天 的業務,為了回家時能有一個舒服的環境,
於是遠端啟動家中的冷氣機」;「出門旅
遊,看見難得的美景,為了讓親朋好友也 能立刻欣賞到相同的景色,所以拍照留念 並立刻打卡上傳雲端」;這些在現代看似 理所當然的服務,皆拜現今網路發達及科 技進步所賜,讓我們平淡無奇的生活處處
網路攝影不設防,
直播主角換你當
國外網站《Insecam》全天候播放來自世界各地的網路直播畫面,前陣子也 有臺灣女生的寢室曝光,致其個人隱私全被看光光,這猶如電影《楚門的世界》
般的情節正在現實中上演,你是否已經成為最佳男(女)主角了?
充滿了便利,但是,在這便利科技的黑暗 面中,隱藏了什麼樣的危機呢?
許多人都知道,現在居家防護系統非 常多樣化,除了租用保全公司所提供的服 務外,熟悉電腦及網路架構的用戶也可以 購買相關設備,自行架設一套自己的防護 系統,但這些保護居家安全的雲端設備,
該由誰來保護它的安全?近年來,網路攝 影機遭駭事件層出不窮,國外號稱擁有最 多線上攝影機的網站《Insecam》,光是監
看臺灣的攝影機就有四百多部(其中二百 多部是落於臺北市區),而這個網站甚至 依據攝影機的廠牌、架設地區、城市,以 及時區等項目進行分類,讓有特殊興趣的 人士可以隨時選擇他們想觀看的鏡頭。那 麼,當我們使用這些設備時,為避免隱私 外露,該採取哪些保護措施?建議各位最 基本一定要做到的,就是將登入系統的密 碼更換為高強度密碼,另外亦需不定時地 更新系統軟體,以及檢查連線紀錄,以避 免遭人監看而不自知的情況發生。
《Insecam》網站全天播放來自全球各地的攝影直播畫面,根據攝影機廠牌、架設地區、城市等項目進行分類,其中監看臺 灣的攝影機多達四百多部。(Photo Credit: Insecam, https://www.insecam.org/en/)
其次聊聊雲端家電的便利與風險,可 連接雲端的家電,除了最常見的冷氣之外,
現在亦有廠商開發電動門、智慧電表、空 氣清淨機、電鍋等智慧型連網裝置。這類 家電的確可以為我們的生活帶來相當程度 的便利,達到節電、省時並提供舒適的生 活環境,但若此類系統設計有缺陷,難保 駭客不會運用這些設備來進行惡意攻擊。
例如,在寒冷的冬天啟動冷氣並將其溫度
調降至19 度,進行無意義的惡搞;或是 竊賊趁家中無人時透過遠端搖控開啟電動 門,趁機入侵住宅搜括財物,相信無人願 意上述情況發生。
那麼,我們該如何善用這些設備,而 又不用擔心它可能隱藏的危害呢?商品生 產者當然需要背負最大的防護責任,定時 檢測並更新相關系統軟體,而使用者務必 保護控制裝置的安全。舉例來說,若透過 手機使用雲端APP 來控制家中的冷氣,那 麼,這部手機就不要安裝太多應用程式;
再者,家中的智慧型裝置若是透過Wi-Fi 進 行連線,則Wi-Fi 密碼也不應該設定的太過 簡單,以上兩點防護作為無需高超的電腦 功力,一般人應該都可以做到。
至於即時分享旅遊美景這類的行為,
究竟隱藏了什麼樣的危機呢?首先我們該 考慮到,有哪些人可以看到我們上傳的照 片,如果隨意一個路人都可以存取我們的 照片,那我們就不該上傳較隱私或者是背 景為機敏地區的照片。此外,亦應留心提 供服務的供應商背景,還有使用前應詳讀 使用合約,因為某些公司在合約條款中提 到,客戶上傳照片後,版權就屬於該公司 所有,他們可以任意使用,這類型的合約
網路攝影機是透過製造商的伺服器或雲端登入,只要被 植入木馬或資料外流,都有可能被偷盜帳號;圖為民眾 購買網路攝影機監控寵物,沐浴時竟遭駭客入侵偷窺的 真實案例。(圖片來源:截自TVBS 新聞)
物聯網的發展讓雲端家電在我 們生活中越來越普遍,各式家 電 用 品 都 可 透 過APP 遠 端 遙 控,提供人們更加舒適的生活 環境,卻不能不提防有心人士 的惡意攻擊。
即時分享旅遊美景,除了應考量照片內容的隱私權和背 景的機敏性外,更應注意服務供應商的合約條款,以免 在不知不覺中損害了自身權益。
非常不合理,但多數使用者均未查覺,致 損害了自身的權益。另外,若決定使用這 類型服務時,仍應注意登入服務的密碼設 定是否安全,照片中是否夾帶GPS 資訊等 等,才能達到較佳的保護效果。
整體而言,智慧型裝置已為現代生活 帶來了相當程度的便利,只是身為使用者 的我們,除了懂得如何「用」以外,更該 瞭解安全防護做法;好好保護自身隱私,
就不會成為最佳男(女)主角而不自知!
■ 臺北市立中正高中資訊組長 李詩婷
駭客 的挖礦機
物聯網的時代來臨,新興科技帶來便利的同時,背後也隱藏了重大的資安 風險,機關在採購相關設備時也要小心謹慎,減少資安事件發生的機會。
門禁系統潛藏安全漏洞
好萊塢特務電影的駭客,只要手邊有 一台電腦就能控制任何資訊系統,從屏蔽
讓人輕易地進出機關重地等都只是小菜一 碟。以上場景觀眾已經司空見慣,但若以 為這些只會出現在電影裡那就是大錯特錯 了,隨著駭客手法日新月異,電影中的許
當 門禁系統 成為
的挖礦機
《台灣電腦網路危機處 理 暨 協 調 中 心(TWCERT / CC)》 於 去(2017) 年 9 月 時就發出警告,數個特定考 勤門禁系統中已被發現存在 資安漏洞,可能被駭客利用 而植入木馬或後門等惡意程 式,不僅具有機敏資訊(例 如內部人員出勤紀錄、員工 編號或帳號密碼等)外洩的 風險,而且可能被駭客進一 步取得系統完整的控制權。
電影裡駭客攻破門禁裝 置系統的情節,恐怕在 真實生活中上演。
《 台 灣 電 腦 網 路 危 機 處 理 暨 協 調 中 心(TWCERT / CC)》於去年時發出警告,
數個特定考勤門禁系統中已 被 發 現 存 在 資 安 漏 洞。( 資 料來源:台灣電腦網路危機 處 理 暨 協 調 中 心FB,https://
www.facebook.com/twcertcc/
posts/2015215518708183)
「運算資源」成為駭客覬覦目標
不要以為駭客只會針對資料有興趣,
就心存僥倖。許多資安事件案例顯示,駭 客想竊取的已不只是有價值的「資料」,
而是轉為鎖定裝置的「運算資源」。典型 的 攻 擊 手 法 是 植 入 殭 屍(bot)病毒,成 為受駭客控制的殭屍電腦,潛伏並隨時等 候駭客下一步命令,一旦殭屍網路大軍成 形, 就 能 用 來 發 動 分 散 式 阻 斷 服 務 攻 擊
(Distributed Denial-of-Service attack, DDoS),
讓雲端服務或網站連線負載量過大而造成 服務停擺。
除此之外,新型態的攻擊手法則是植 入比特幣挖礦的惡意程式,讓裝置搖身一 變成為駭客專屬的虛擬貨幣挖礦機,不僅 難以追查,還能立即替駭客帶來金錢上的 利益,比過去還要設法販賣機敏資料或向 被害企業組織勒索贖金更方便省事。
物聯網裝置成為駭客眼中的肥羊
門禁卡感應、指紋辨識、車牌辨識等 門禁系統皆屬於物聯網(Internet of Things, IoT)技術的應用,物聯網是近年來最火紅 的技術之一,其應用例如智慧家電、居家 安全偵測及監控系統或穿 戴式裝置等,並可與監控 系統、網路、中央控制等 系統整合,以進行數據收 集與遠端控制。
然 而, 在 一 窩 蜂 擁 抱物聯網技術的熱潮中,
不 得 不 重 視 的 是 其 背 後 所 隱 藏 的 隱 私 問 題 和 資 安 風 險。 據 資 安 業 者 卡 巴斯基實驗室(Kaspersky
駭客於物聯網植入比特幣挖礦的惡意程式,使裝置在民眾不知情下成為其專屬的虛 擬貨幣挖礦機。
Lab)調查,光是去年就出現逾四千種新 IoT 惡意程式,遠高於前年的 3,219 種。
分析 IoT 惡意程式如此蓬勃發展的原 因,是因為物聯網裝置具有以下特性,故 容易成為駭客攻擊的目標:
一、 資通安全易被忽略
人們通常會專注於保護個人電腦和智 慧型手機的隱私,但卻容易忽略物聯網裝 置的資安風險。在僥倖心理下,即使知道 所使用的裝置系統已有安全漏洞,也可能 因為成本預算及人力等考量而無法進行產 品升級或汰換。
物聯網熱潮掀起產業新革命,應用範圍包含居家安全監控、智慧家電、穿戴式裝置等領域,卻容易變成駭客攻擊的新目標。
根據資安業者卡巴斯基實驗室調查,每年發現的物聯網 惡意程式樣本數量逐年攀升,2017 年更比前年多出 4 千 多種新IoT 惡意程式。(資料來源:卡巴斯基實驗室,
https://securelist.com/honeypots-and-the-internet-of-things/78751/)
二、 與一般電腦存在同樣的安全問題 隨著物聯網裝置功能需求提高,裝置 內部所使用的作業系統也向一般使用者電 腦貼近,以應付高階的運作需求。以物聯 網裝置可能搭載的Linux 嵌入式作業系統為 例,其內部的核心(Kernel)與上層應用軟 體和函式庫也可能存在與一般電腦相同的 安全漏洞。例如2014 年 9 月曾爆發的 Shell Shock 重大漏洞(CVE-2014-6271),可能造 成目標主機的機敏資料洩露或甚至被駭客 所控制,影響的範圍主要為使用bash shell
的 作 業 系 統, 包 含CentOS、Ubuntu 及 Mac OS X 等,而亦有不少 Linux 嵌入式作業系統 內建了bash shell,故同樣存在資安風險。
三、 安全性漏洞修補頻率低
在電腦或是手機上還有多種防毒軟體 可以安裝使用,例如微軟、Apple 或 Google 等亦常會釋出安全性修補程式,但卻少有 針對物聯網裝置開發專門的防護軟體,只 能仰賴裝置製造商釋出的韌體(即燒錄於 硬體內的軟體)更新。在成本的考量下可
物聯網裝置應避免使用預設的帳號密碼,降低駭客入侵的風險。
能無法於一年內更新一次,且即使製造商 釋出了更新,使用者端也不具備自動修補 的能力,故常見的狀況是裝置的韌體未更 新,最後只能以汰換硬體收場。
四、 常使用預設的帳號密碼
物聯網裝置為了方便進行大量生產,
往往會使用預設的帳號密碼,這種現象可 能出現於同一個型號的產品或甚至同一個 產品線的所有裝置,且工廠出貨後部署至 使用者端時,裝機人員也不會特定去修改 裝置的預設帳號密碼,甚至可能無法修改,
故大開駭客方便之門。駭客只要鎖定共同 供應契約清單上所列的裝置,一旦成功破 解,則採購同一型號的機關組織皆有被入 侵的風險。
五、 不易發覺異常
功 能 需 求 及 成 本 考 量 下, 物 聯 網 裝 置本身往往不需具備大型的使用者螢幕,
僅需顯示必要訊息(例如通行碼或異常燈 號),故入侵行為也不易被直接發覺。
六、 長期不關機
駭客入侵成功後,除了要避免被資安 設備察覺,還需要確保惡意連線的暢通,
否則好不容易攻下的據點若隨時會失效,
那就不符合攻擊的時間成本。而物聯網裝 置的需求就是要能隨時提供服務,例如門 禁系統必須24小時開啟,且隨時連結網路,
一旦被成功入侵就可讓駭客長時間使用,
可能被當作駭客的跳板機或是殭屍網路成 員,長期潛伏並靜待駭客下達攻擊命令。
結論
現今的物聯網資安防護仍相當脆弱,
特別是在連網裝置端點上的安全防護更是 被人所忽略,全球的物聯網裝置於2020 年 預估會成長到二百至五百億台,更顯出潛 藏資安問題的急迫性。資安專家建議使用 者在架設物聯網裝置時,應變更裝置的預 設帳號密碼,且不要讓裝置暴露在公開網 路上讓人隨意存取,並且關閉系統尚不必 要的網路服務,以防有心人士惡意探測系 統上的漏洞;若設備有疑似遭到入侵的跡 象或異常行為,應立即聯繫相關設備廠商 重新安裝系統或更新韌體版本。只要遵行 這幾項建議,即可大幅降低資安風險,減 少被惡意程式狙擊成功的機會。