網路攝影不設防， 　　直播主角換你當

■ 國防部中校參謀　葉清源

「出門在外，想關心一下家中的長輩，

於是登入居家安全系統來查看家中的情 況」；「炎炎夏日，在外勤奮地跑了一天 的業務，為了回家時能有一個舒服的環境，

於是遠端啟動家中的冷氣機」；「出門旅

遊，看見難得的美景，為了讓親朋好友也 能立刻欣賞到相同的景色，所以拍照留念 並立刻打卡上傳雲端」；這些在現代看似 理所當然的服務，皆拜現今網路發達及科 技進步所賜，讓我們平淡無奇的生活處處

網路攝影不設防，

　　直播主角換你當

國外網站《Insecam》全天候播放來自世界各地的網路直播畫面，前陣子也 有臺灣女生的寢室曝光，致其個人隱私全被看光光，這猶如電影《楚門的世界》

般的情節正在現實中上演，你是否已經成為最佳男（女）主角了？

充滿了便利，但是，在這便利科技的黑暗 面中，隱藏了什麼樣的危機呢？

許多人都知道，現在居家防護系統非 常多樣化，除了租用保全公司所提供的服 務外，熟悉電腦及網路架構的用戶也可以 購買相關設備，自行架設一套自己的防護 系統，但這些保護居家安全的雲端設備，

該由誰來保護它的安全？近年來，網路攝 影機遭駭事件層出不窮，國外號稱擁有最 多線上攝影機的網站《Insecam》，光是監

看臺灣的攝影機就有四百多部（其中二百 多部是落於臺北市區），而這個網站甚至 依據攝影機的廠牌、架設地區、城市，以 及時區等項目進行分類，讓有特殊興趣的 人士可以隨時選擇他們想觀看的鏡頭。那 麼，當我們使用這些設備時，為避免隱私 外露，該採取哪些保護措施？建議各位最 基本一定要做到的，就是將登入系統的密 碼更換為高強度密碼，另外亦需不定時地 更新系統軟體，以及檢查連線紀錄，以避 免遭人監看而不自知的情況發生。

《Insecam》網站全天播放來自全球各地的攝影直播畫面，根據攝影機廠牌、架設地區、城市等項目進行分類，其中監看臺 灣的攝影機多達四百多部。（Photo Credit: Insecam, https://www.insecam.org/en/）

其次聊聊雲端家電的便利與風險，可 連接雲端的家電，除了最常見的冷氣之外，

現在亦有廠商開發電動門、智慧電表、空 氣清淨機、電鍋等智慧型連網裝置。這類 家電的確可以為我們的生活帶來相當程度 的便利，達到節電、省時並提供舒適的生 活環境，但若此類系統設計有缺陷，難保 駭客不會運用這些設備來進行惡意攻擊。

例如，在寒冷的冬天啟動冷氣並將其溫度

調降至19 度，進行無意義的惡搞；或是 竊賊趁家中無人時透過遠端搖控開啟電動 門，趁機入侵住宅搜括財物，相信無人願 意上述情況發生。

那麼，我們該如何善用這些設備，而 又不用擔心它可能隱藏的危害呢？商品生 產者當然需要背負最大的防護責任，定時 檢測並更新相關系統軟體，而使用者務必 保護控制裝置的安全。舉例來說，若透過 手機使用雲端APP 來控制家中的冷氣，那 麼，這部手機就不要安裝太多應用程式；

再者，家中的智慧型裝置若是透過Wi-Fi 進 行連線，則Wi-Fi 密碼也不應該設定的太過 簡單，以上兩點防護作為無需高超的電腦 功力，一般人應該都可以做到。

至於即時分享旅遊美景這類的行為，

究竟隱藏了什麼樣的危機呢？首先我們該 考慮到，有哪些人可以看到我們上傳的照 片，如果隨意一個路人都可以存取我們的 照片，那我們就不該上傳較隱私或者是背 景為機敏地區的照片。此外，亦應留心提 供服務的供應商背景，還有使用前應詳讀 使用合約，因為某些公司在合約條款中提 到，客戶上傳照片後，版權就屬於該公司 所有，他們可以任意使用，這類型的合約

網路攝影機是透過製造商的伺服器或雲端登入，只要被 植入木馬或資料外流，都有可能被偷盜帳號；圖為民眾 購買網路攝影機監控寵物，沐浴時竟遭駭客入侵偷窺的 真實案例。（圖片來源：截自TVBS 新聞）

物聯網的發展讓雲端家電在我 們生活中越來越普遍，各式家 電 用 品 都 可 透 過APP 遠 端 遙 控，提供人們更加舒適的生活 環境，卻不能不提防有心人士 的惡意攻擊。

即時分享旅遊美景，除了應考量照片內容的隱私權和背 景的機敏性外，更應注意服務供應商的合約條款，以免 在不知不覺中損害了自身權益。

非常不合理，但多數使用者均未查覺，致 損害了自身的權益。另外，若決定使用這 類型服務時，仍應注意登入服務的密碼設 定是否安全，照片中是否夾帶GPS 資訊等 等，才能達到較佳的保護效果。

整體而言，智慧型裝置已為現代生活 帶來了相當程度的便利，只是身為使用者 的我們，除了懂得如何「用」以外，更該 瞭解安全防護做法；好好保護自身隱私，

就不會成為最佳男（女）主角而不自知！

■ 臺北市立中正高中資訊組長　李詩婷

駭客 _的挖礦機

物聯網的時代來臨，新興科技帶來便利的同時，背後也隱藏了重大的資安 風險，機關在採購相關設備時也要小心謹慎，減少資安事件發生的機會。

門禁系統潛藏安全漏洞

好萊塢特務電影的駭客，只要手邊有 一台電腦就能控制任何資訊系統，從屏蔽

讓人輕易地進出機關重地等都只是小菜一 碟。以上場景觀眾已經司空見慣，但若以 為這些只會出現在電影裡那就是大錯特錯 了，隨著駭客手法日新月異，電影中的許

當 門禁系統 成為

的挖礦機

《台灣電腦網路危機處 理 暨 協 調 中 心（TWCERT ／ CC）》 於 去（2017） 年 9 月 時就發出警告，數個特定考 勤門禁系統中已被發現存在 資安漏洞，可能被駭客利用 而植入木馬或後門等惡意程 式，不僅具有機敏資訊（例 如內部人員出勤紀錄、員工 編號或帳號密碼等）外洩的 風險，而且可能被駭客進一 步取得系統完整的控制權。

電影裡駭客攻破門禁裝 置系統的情節，恐怕在 真實生活中上演。

《 台 灣 電 腦 網 路 危 機 處 理 暨 協 調 中 心（TWCERT ／ CC）》於去年時發出警告，

數個特定考勤門禁系統中已 被 發 現 存 在 資 安 漏 洞。（ 資 料來源：台灣電腦網路危機 處 理 暨 協 調 中 心FB，https://

www.facebook.com/twcertcc/

posts/2015215518708183）

「運算資源」成為駭客覬覦目標

不要以為駭客只會針對資料有興趣，

就心存僥倖。許多資安事件案例顯示，駭 客想竊取的已不只是有價值的「資料」，

而是轉為鎖定裝置的「運算資源」。典型 的 攻 擊 手 法 是 植 入 殭 屍（bot）病毒，成 為受駭客控制的殭屍電腦，潛伏並隨時等 候駭客下一步命令，一旦殭屍網路大軍成 形， 就 能 用 來 發 動 分 散 式 阻 斷 服 務 攻 擊

（Distributed Denial-of-Service attack, DDoS），

讓雲端服務或網站連線負載量過大而造成 服務停擺。

除此之外，新型態的攻擊手法則是植 入比特幣挖礦的惡意程式，讓裝置搖身一 變成為駭客專屬的虛擬貨幣挖礦機，不僅 難以追查，還能立即替駭客帶來金錢上的 利益，比過去還要設法販賣機敏資料或向 被害企業組織勒索贖金更方便省事。

物聯網裝置成為駭客眼中的肥羊

門禁卡感應、指紋辨識、車牌辨識等 門禁系統皆屬於物聯網（Internet of Things, IoT）技術的應用，物聯網是近年來最火紅 的技術之一，其應用例如智慧家電、居家 安全偵測及監控系統或穿 戴式裝置等，並可與監控 系統、網路、中央控制等 系統整合，以進行數據收 集與遠端控制。

然 而， 在 一 窩 蜂 擁 抱物聯網技術的熱潮中，

不 得 不 重 視 的 是 其 背 後 所 隱 藏 的 隱 私 問 題 和 資 安 風 險。 據 資 安 業 者 卡 巴斯基實驗室（Kaspersky

駭客於物聯網植入比特幣挖礦的惡意程式，使裝置在民眾不知情下成為其專屬的虛 擬貨幣挖礦機。

Lab）調查，光是去年就出現逾四千種新 IoT 惡意程式，遠高於前年的 3,219 種。

分析 IoT 惡意程式如此蓬勃發展的原 因，是因為物聯網裝置具有以下特性，故 容易成為駭客攻擊的目標：

一、 資通安全易被忽略

人們通常會專注於保護個人電腦和智 慧型手機的隱私，但卻容易忽略物聯網裝 置的資安風險。在僥倖心理下，即使知道 所使用的裝置系統已有安全漏洞，也可能 因為成本預算及人力等考量而無法進行產 品升級或汰換。

物聯網熱潮掀起產業新革命，應用範圍包含居家安全監控、智慧家電、穿戴式裝置等領域，卻容易變成駭客攻擊的新目標。

根據資安業者卡巴斯基實驗室調查，每年發現的物聯網 惡意程式樣本數量逐年攀升，2017 年更比前年多出 4 千 多種新IoT 惡意程式。（資料來源：卡巴斯基實驗室，

https://securelist.com/honeypots-and-the-internet-of-things/78751/）

二、 與一般電腦存在同樣的安全問題 隨著物聯網裝置功能需求提高，裝置 內部所使用的作業系統也向一般使用者電 腦貼近，以應付高階的運作需求。以物聯 網裝置可能搭載的Linux 嵌入式作業系統為 例，其內部的核心（Kernel）與上層應用軟 體和函式庫也可能存在與一般電腦相同的 安全漏洞。例如2014 年 9 月曾爆發的 Shell Shock 重大漏洞（CVE-2014-6271），可能造 成目標主機的機敏資料洩露或甚至被駭客 所控制，影響的範圍主要為使用bash shell

的 作 業 系 統， 包 含CentOS、Ubuntu 及 Mac OS X 等，而亦有不少 Linux 嵌入式作業系統 內建了bash shell，故同樣存在資安風險。

三、 安全性漏洞修補頻率低

在電腦或是手機上還有多種防毒軟體 可以安裝使用，例如微軟、Apple 或 Google 等亦常會釋出安全性修補程式，但卻少有 針對物聯網裝置開發專門的防護軟體，只 能仰賴裝置製造商釋出的韌體（即燒錄於 硬體內的軟體）更新。在成本的考量下可

物聯網裝置應避免使用預設的帳號密碼，降低駭客入侵的風險。

能無法於一年內更新一次，且即使製造商 釋出了更新，使用者端也不具備自動修補 的能力，故常見的狀況是裝置的韌體未更 新，最後只能以汰換硬體收場。

四、 常使用預設的帳號密碼

物聯網裝置為了方便進行大量生產，

往往會使用預設的帳號密碼，這種現象可 能出現於同一個型號的產品或甚至同一個 產品線的所有裝置，且工廠出貨後部署至 使用者端時，裝機人員也不會特定去修改 裝置的預設帳號密碼，甚至可能無法修改，

故大開駭客方便之門。駭客只要鎖定共同 供應契約清單上所列的裝置，一旦成功破 解，則採購同一型號的機關組織皆有被入 侵的風險。

五、 不易發覺異常

功 能 需 求 及 成 本 考 量 下， 物 聯 網 裝 置本身往往不需具備大型的使用者螢幕，

僅需顯示必要訊息（例如通行碼或異常燈 號），故入侵行為也不易被直接發覺。

六、 長期不關機

駭客入侵成功後，除了要避免被資安 設備察覺，還需要確保惡意連線的暢通，

否則好不容易攻下的據點若隨時會失效，

那就不符合攻擊的時間成本。而物聯網裝 置的需求就是要能隨時提供服務，例如門 禁系統必須24小時開啟，且隨時連結網路，

一旦被成功入侵就可讓駭客長時間使用，

可能被當作駭客的跳板機或是殭屍網路成 員，長期潛伏並靜待駭客下達攻擊命令。

結論

現今的物聯網資安防護仍相當脆弱，

特別是在連網裝置端點上的安全防護更是 被人所忽略，全球的物聯網裝置於2020 年 預估會成長到二百至五百億台，更顯出潛 藏資安問題的急迫性。資安專家建議使用 者在架設物聯網裝置時，應變更裝置的預 設帳號密碼，且不要讓裝置暴露在公開網 路上讓人隨意存取，並且關閉系統尚不必 要的網路服務，以防有心人士惡意探測系 統上的漏洞；若設備有疑似遭到入侵的跡 象或異常行為，應立即聯繫相關設備廠商 重新安裝系統或更新韌體版本。只要遵行 這幾項建議，即可大幅降低資安風險，減 少被惡意程式狙擊成功的機會。