那些年我們一起追的資安影集與電影 : Day 1

第 11 屆 iThome 鐵人賽

DAY 2

Security

那些年我們一起追的資安影集與電影系列第 2 篇

11th鐵人賽電影物聯網資訊安全 iot

mhtsai1010

2019-09-17 22:26:43

3782 瀏覽

分享至

名偵探柯南：零的執行人(Detective Conan: Zero the Enforcer) Part I


資料來源：維基百科
名偵探柯南：零的執行人

號稱日本最強的小學生，名偵探柯南，除了會開飛機、拆炸彈及撩小蘭姊姊外，近年也開始涉足大家愈來愈重視的資安議題。已於2018年上映的第22部劇場版「名偵探柯南：零的執行人」，就以萬物連網為主題，透過於物聯網發生的攻擊為起頭，包括犯人駭入IoT電鍋與引爆各式電器，到最後駭入衛星使之墜毀等，進而發展出一系列的拯救日本大作戰。

本篇電影我們將分成兩個篇幅針對其中的資安議題進行探討，Part I 我們將探討造成一切事件發展的原因：物聯網 (Internet of Things, IoT)[1]的資安議題; Part II 則是進一步討論駭客使用的洋蔥路由(The Onion Routing, TOR)[2]，一種在電腦網路上匿名溝通與傳輸資料的技術。

物聯網一般統稱為IoT，也就是Internet of Things的縮寫，那何為物聯網呢？簡單來說，舉凡大小家電、各種網路監視器與錄像設備、智慧電錶、連網門鎖甚至是智慧手錶等，只要具備連網功能，雖然不一定具備如電腦般強大的運算能力，但都可被稱做物聯網中的資訊設備。當然，真實世界中不一定這麼容易就能造成如電影內大範圍的爆炸事件與攻擊，但各式智慧家電遭駭卻早就時有所聞，至於地球軌道上的各式大小衛星，有的已經是古董級的資訊設備，其所使用的加密技術和通信網路只要稍加不慎都有可能暴露在駭客的攻擊之下。

片中從一開始的會場爆炸、檢察官手機爆炸到後來東京市內多起手機、電器等爆炸事故，皆可歸類為物聯網攻擊。隨著物聯網資訊設備的普及，物聯網攻擊在近年來的網路攻擊趨勢中有逐漸上升的情形，同時針對物聯網資訊設備的各種惡意軟體數量也跟著大幅成長，詳見圖一，其中最知名的莫過於Mirai(日語：ミライ，中文直譯「未來」)及其變種[3]，從新聞中也可看到各種相關的資安事件，如圖二。


資料來源：iThome
圖一 2019資安十大趨勢


資料來源：網路新聞
圖二物聯網相關攻擊新聞

一般來說物聯網資訊設備其架構可分為3個部分︰分別為「裝置端」、「通訊(端)網路」及「控制端」，而與之相對應所面臨到的問題則如圖三所示。


資料來源：行政院國家資通安全會報技術服務中心
圖三物聯網資訊設備架構與相關攻擊

控制端

使用者可透過控制端來管理物聯網設備，而控制端所使用之平台及技術種類眾多，像是透過手機/平版安裝APP或雲端平台等，若是登入時的身分認證或登入後的存取控制沒有做好，就有可能導致攻擊者登入系統，並在登入後使用較高的權限下達指令，或是存取該使用者與他人的機敏資料。另一風險則是當控制端所使用的作業系統未進行更新或是使用有漏洞的程式套件或軟體，就可能讓攻擊者透過漏洞來入侵系統或植入惡意程式。

通訊(端)網路

在通訊(端)網路所會遇到的問題其實就是資料傳輸時的安全問題，這部分和一般網站、系統所面臨到的問題大同小異，若是資料在傳輸時未經過加密或是所使用不安全的加密演算法，就有可能在傳輸過程中遭受中間人攻擊（Man-in-the-middle attack, MITM）[4]或是機敏資料遭竊聽。

裝置端

實體設備暴露在公開環境中，容易遭有心人士利用，加上其儲存空間或運算能力有限，這些設備往往無法執行自動安全更新的動作，所以容易造成系統存在漏洞，但系統又無法即時修復，攻擊者就可以利用漏洞進行攻擊。

目前IoT裝置的入侵主要有幾種途徑，其中包含如下但不限於：

殭屍網路[5]

使用預設密碼掃描網路裝置後嘗試登入，或是透過暴力破解密碼後登入。殭屍網路最可怕的地方在於：這些被入侵的IoT裝置會再變成新的殭屍網路成員，並持續去攻擊其他設備進行擴散。
手機APP

經由手機裝置中設計不良的APP取得IoT裝置的控制權限，其中包含破解APP中內嵌的固定金鑰，或是傳輸過程中資訊被劫持或竊取等。
WiFi網路

透過改變IoT裝置的網路設定，使其連線到不安全的網路，或是造成其網路連線中斷而使系統不穩定，像是居家智能鎖或醫療裝置等都曾有相關的破解手法。

水能載舟亦能覆舟，在享受高科技生活所帶來便利性的同時，為了不讓這些方便人們生活的物聯網資訊設備，變成攻擊者的目標或是受害後擔任惡意攻擊的角色，一般民眾可以做到的是：