小心物聯網帶來的資安問題,政府需介入規範

作者 | 發布日期 2016 年 10 月 27 日 12:54 | 分類 物聯網 , 資訊安全
flickr elhombredenegro

上周各大網站紛紛因駭客攻擊,而服務中斷。最特別的地方是攻擊方竟然用物聯網裝置發動 DDoS 攻擊,阻斷 Dyn 的服務,意味連上網路的網路攝影機、智慧電視、智慧冰箱甚至烤箱,都成為發動攻擊的來源,背後追根就底是廠商沒有注重資安。




Business Insider 訪問多位業界的資安專家,談談物聯網裝置的安全性問題。儘管是在 Dyn 攻擊事件之前的事情,但得到的答案相當恐怖,簡單的答案是:物聯網目前相當不安全。

F-Security 的首席研究長 Mikko Hypponen 說:「不要期待消費者或是沒有資安概念的廠商,因為這次駭客攻擊而改變他們的行為。」

F-security-Mikko

▲ F-Security 首席研究長 Mikko Hypponen

「許多人說這次事件是物聯網資安的醒鐘,但這並不是,這不會改變任何事情。為什麼呢?因為人們並不關心他們的電視發動 DDoS 攻擊。」

「他們並不在乎,即使你跟他們說:『嗨,你的電視讓地球另一端的網站掛掉了。』他們說:『耶 OK,好酷,我並不在乎,我仍然可以看電視,電視仍正常運作。』」

Hypponen 表示人們買家用電器,資訊安全並不是首要考量因素,你要買烤麵包機還是洗衣機,一定是先考量價錢,再來是外型。廠商會花很少的資源在資安上,而隨著市面上物聯網產品越來越多,資安的隱憂也越來越大。

但 Hypponen 對政府管制的態度很兩難。如果政府真要祭出管制措施,可能是要求廠商提高資安水準,具體的管制措施大概是不要漏電、不要容易著火,不能輕易洩露 W-iFi 密碼這類事情。

不過駭客和資安研究者 Rob Graham 與 Hypponen 意見就不同了,儘管美國可以規劃物聯網裝置的資安標準,不讓不安全的物聯網裝置在市面販售,只要其他國家沒規範,那還是會造成問題。

Graham 在 Twitter 上寫到:「白痴都會想到美國應該頒佈軟體可靠性的法令,能夠規範中國製造賣到烏克蘭的裝置。」

「但是這麼做會讓想用 Kickstarter 提物聯網專案的人無法變有錢,並不能阻止(漏洞)。適當的回應做法應該是 NSA 修補所有發瘋的裝置。我的辦法能解答問題?當然呢!你的辦法呢?那可行不通。」

不過 Graham 在其他方面是同意 Hypponen 意見。

Hypponen 在推特說:「物聯網是明顯而且存在眼前的危機。」

目前美國國土安全部要插手制訂戰略原則,確保物聯網的安全,但仍在擬定的狀況。

這次 Dyn 事件因為是第一起廣為人知用物聯網裝置發動攻擊的事件,但如果再不好好嚴加看管物聯網的資安標準,那就不會是最後一起,以後仍不時會在新聞版面上看到相關的消息,物聯網的發展埋下陰影。甚至 NSA 情報部門會拿物聯網的弱點收集情報也說不定。

(首圖來源:elhombredenegro on Flickr, CC-BY 2.0)

 

關鍵字: , , ,

發表迴響