趨勢科技深究 IoT 資安威脅,領先業界發表研究成果
作者 | 發布日期 2017 年 09 月 19 日 17:47 | 分類 物聯網 , 網路 , 資訊安全 follow us in feedly


近年來物聯網 IoT 的發展越來越夯,然而製造商普遍欠缺資安威脅的防範,在駭客的攻擊下,IoT 可能從 Internet of Things 變成 Internet of Threats。也許你以為那又如何?就算 Insecam 計畫揭露全球IP Cam 不設防,家中隱私被看光光;智慧電冰箱跟你要錢,不給錢就不給糖;智慧電燈被駭燈亂閃、智慧門鈴整晚吵;駭客透過說話玩偶跟你家小朋友聊聊天說說故事,啊就把裝置關掉或者不鳥他們就沒事啦,根本不痛不癢。如果你真這麽想,那就大錯特錯。9 月 6 日在台灣舉行的 CLOUDSEC 2017 企業資安高峰論壇上,趨勢科技發表 IoT 資安威脅的前瞻研究成果,顯見物聯網裝置被犯罪者用作實體攻擊的真實威脅。

近未來寓言

筆者來說個故事,試想像你是某園區的電子新貴,有天早上,你就像平常例行公事,起床、梳洗、更衣,出門買個早餐,就坐上接駁車去上班。接駁車陸續經過各站,最後滿載各公司的員工,只見大家自顧自打開手機,或是瀏覽著網站或者玩著喜歡的遊戲,沒有人關注窗外景色。反正都是一成不變的風景,又有啥好看的呢?然而無人留意到今天的交通車換上了新司機。

「奇怪?不是半小時就到公司了嗎?」,於是你打開了 Google map 來看現在的位置,蠻正常的啊,原來快到園區了。不疑有它的你,就繼續切回遊戲繼續神遊,接著司機還廣播跟大家說,今天額外要去新開的點載人,抬頭一看,瞥見窗外的景色好像跟以往有點不一樣,這樣時間稍微久一點也說得過去了,然後你覺得太陽有點刺眼,就拉上窗簾。

交通車繼續開著,玩著全螢幕遊戲的你開始覺得奇怪了,時間感好像不太對,坐車是不是快一小時了?於是把手機切回主畫面,看看時間,疑?應該是 9 點了啊,怎還是 8 點剛出門的時候?事有蹊翹,再打開 Google map 一看,「我在俄羅斯?怎麼可能!」,接著你猛抬頭,拉開窗簾看窗外,雖不是冰天雪地,卻到了偏僻鄉間,隨即車子駛入一個大倉庫停了下來。接著車門打開,一個手持衝鋒槍的蒙面男子走上車,這時你才恍然大悟之前的 GPS 訊號是假的,甚至司機該不會也是假的?上車時,公司識別證「嗶」過的那個 RFID 讀卡機該不會韌體也被竄改過?而這時司機剛好用廣播點到你的名字了…

同一時間點,在行控中心,只見交通車已在園區內,剛走完所有的公司,現在該是空車回調度場的時候了。

到了中午,電視開始報導新聞—科學園區數間公司不少的工程師因不明原因曠職,也聯絡不到人,甚至交通車公司也發現數輛交通車沒有回到調度場。再過幾小時,有目擊者在隔壁縣的鄉下地方發現那些交通車,而所有工程師全部從人間蒸發,不見蹤影。而各公司開始發生 server 異常、機台異常、各單位有接不完的抱怨電話,整個園區陷入空轉。

在幾年前,這還只是電影的虛構情節,然而今日已成可進行式。趨勢科技領先業界,揭示當今的資安盲點—當你只專注傳統來自網路的攻擊時,就忽略了物聯網時代,還有來自其他途徑的致命攻擊,而且真的可能致命。

▲翻拍自電影《黑暗騎士》

多樣化複合攻擊威脅 IoT 的資安

就在台北國際會議中心,CLOUDSEC 2017 大會開場完緊接的第二個議程,趨勢科技的資安研究員駱一奇先生 Live demo 了一段讓現場 1000 多位與會者震撼不已的攻擊示範—「GPS 劫持」。筆者大概描述過程,首先駱先生請所有與會者打開手機的地圖 APP 與 GPS 功能 ,由於在室內,當然不可能收到來自天空的 GPS 衛星訊號,接著他開始控制一台無人空拍機起飛盤旋,然後駱先生表示現場駭客開始啟動偽造 GPS 無線訊號蓋台,旋不久,大螢幕顯示地圖定位竟然在北韓的禁航區—軍用機場,然後無人機就自動「被強制」降落下來了。

也許你以為說「啊,這可以用網路騙一騙,只不過是噱頭罷了。」,駱先生接著提醒大家,除了看台上的無人機「被騙」,也別忘了檢查你自己的手機。只見手機上的地圖 APP 顯示,會議室的位置也「被搬家」到北韓去,不少人手機的時鐘也跟著變成北韓時間。

是的,就是這麽奇妙,不是透過來自網路的攻擊,就可以讓一大群人集體來一趟北韓奇幻漂流。更進一步,趨勢科技為大家歸納了物聯網時代,駭客能採用的多重攻擊途徑與手段:

  •  物理性:
    1. 網路交換器:(電影《不可能的任務》有出現過類似的)
    2. usb 插孔:插 usb killer 讓各種 3C 裝置損毀,或者插入間諜 usb 隨身碟讓印表機與其他物聯網裝置的韌體被竄改,變成機構單位內網的「內奸」跳板
  • 無線通訊:除了傳統的 WIFI、Bluetooth 以外,還包含 Z-wave、AM、FM、GPS 定位訊號、GSM
  • 網路
    1. IoT 裝置內建的 Web server/client
    2. 韌體更新
    3. 廠商的隱藏服務(後門)
  • 人性漏洞
    1. 網路釣魚
    2. 未修改的預設通用密碼

更多的犯罪可能

所有欠缺資安防範的 IoT 裝置,如無人機、無人自動車、智慧工廠、IP Cam 等等,都可能被駭客覬覦。舊時代的駭客,只是遠端攻破某網站圖個成就感,或者駭到倒楣公司的海量客戶資料;現在的駭客則是走向利益化、實體犯罪化。例如去年的一銀 ATM 大規模盜領案即為一例,透過這些複合攻擊手段與多重標的,有心的犯罪集團得以進行實體破壞,例如:

  • 自動車劫持:2008 年的電影《黑暗騎士》如果現在開拍的話,一開頭的小丑就不用大費周章攻進銀行,只要把銀行的自動運鈔車駭掉。雖然行控中心顯示運鈔車行駛在正確的路線上,實際上車子卻自己開到小丑幫的巢穴,車上少少的一兩位保全人員寡不敵眾,就可以搶到一大筆錢了。
  • 行車綁架:除了前述筆者描述的大宗綁架以外,小客車的綁架也有可能
  • 在特定的街景地形,無人機莫名自動墜機砸傷甚至砸死人
  • 劫持廠房工業用 IoT 裝置:去年夏天,美國研究人員對發力發電公司進行資安演習,以物理入侵方式(破壞門鎖)輕鬆進入該公司旗下一風力發電廠的網路機房,以小小一台 Raspberry PI 電腦,關掉五個風力發電廠的所有風力發電機
  • 讓特定有慢性病的重要人物失能甚至遇害—讓他拿到錯誤的處方簽吃錯藥而進醫院,再因為被駭的印表機印出錯誤的醫療指示與病歷,使得他被醫死在手術台上,整個過程就像是普通的醫療疏失罷了(參考 HP 的印表機資安推廣影片《狼》)

諜報電影、偵探電影、科幻電影與動畫的天馬行空情節現在都有可能發生,不再只是你的電腦中毒或者網站被駭那麼簡單。

趨勢科技在 CLOUDSEC 2017 活動上,以數場議程揭示了這些新型態資安危機,也用現場攤位的形式,以專人解說且用 VR 裝置讓與會者體驗新型態的被駭情境,提出針對 IoT 裝置的多層面防護方案。如果你公司的物聯網產品不設防,請向趨勢科技尋求協助,更重要的,還是要具備資訊安全意識囉。

(首圖來源:科技新報攝)