iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 2
1
Security

那些年我們一起追的資安影集與電影系列 第 2

那些年我們一起追的資安影集與電影 : Day 1

名偵探柯南:零的執行人(Detective Conan: Zero the Enforcer) Part I

https://ithelp.ithome.com.tw/upload/images/20190917/20119629H68FY7kAOs.jpg
資料來源:維基百科
名偵探柯南:零的執行人

號稱日本最強的小學生,名偵探柯南,除了會開飛機、拆炸彈及撩小蘭姊姊外,近年也開始涉足大家愈來愈重視的資安議題。已於2018年上映的第22部劇場版「名偵探柯南:零的執行人」,就以萬物連網為主題,透過於物聯網發生的攻擊為起頭,包括犯人駭入IoT電鍋與引爆各式電器,到最後駭入衛星使之墜毀等,進而發展出一系列的拯救日本大作戰。

本篇電影我們將分成兩個篇幅針對其中的資安議題進行探討,Part I 我們將探討造成一切事件發展的原因:物聯網 (Internet of Things, IoT)[1]的資安議題; Part II 則是進一步討論駭客使用的洋蔥路由(The Onion Routing, TOR)[2],一種在電腦網路上匿名溝通與傳輸資料的技術。


物聯網一般統稱為IoT,也就是Internet of Things的縮寫,那何為物聯網呢?簡單來說,舉凡大小家電、各種網路監視器與錄像設備、智慧電錶、連網門鎖甚至是智慧手錶等,只要具備連網功能,雖然不一定具備如電腦般強大的運算能力,但都可被稱做物聯網中的資訊設備。當然,真實世界中不一定這麼容易就能造成如電影內大範圍的爆炸事件與攻擊,但各式智慧家電遭駭卻早就時有所聞,至於地球軌道上的各式大小衛星,有的已經是古董級的資訊設備,其所使用的加密技術和通信網路只要稍加不慎都有可能暴露在駭客的攻擊之下。

片中從一開始的會場爆炸、檢察官手機爆炸到後來東京市內多起手機、電器等爆炸事故,皆可歸類為物聯網攻擊。隨著物聯網資訊設備的普及,物聯網攻擊在近年來的網路攻擊趨勢中有逐漸上升的情形,同時針對物聯網資訊設備的各種惡意軟體數量也跟著大幅成長,詳見圖一,其中最知名的莫過於Mirai(日語:ミライ,中文直譯「未來」)及其變種[3],從新聞中也可看到各種相關的資安事件,如圖二。

https://ithelp.ithome.com.tw/upload/images/20190917/20119629HtApR4snin.png
資料來源:iThome
圖一 2019資安十大趨勢
https://ithelp.ithome.com.tw/upload/images/20190917/20119629RVzGw1kW59.png
資料來源:網路新聞
圖二 物聯網相關攻擊新聞

一般來說物聯網資訊設備其架構可分為3個部分︰分別為「裝置端」、「通訊(端)網路」及「控制端」,而與之相對應所面臨到的問題則如圖三所示。

https://ithelp.ithome.com.tw/upload/images/20190917/20119629VRmuPpUNAm.png
資料來源:行政院國家資通安全會報技術服務中心
圖三 物聯網資訊設備架構與相關攻擊
  1. 控制端

使用者可透過控制端來管理物聯網設備,而控制端所使用之平台及技術種類眾多,像是透過手機/平版安裝APP或雲端平台等,若是登入時的身分認證或登入後的存取控制沒有做好,就有可能導致攻擊者登入系統,並在登入後使用較高的權限下達指令,或是存取該使用者與他人的機敏資料。另一風險則是當控制端所使用的作業系統未進行更新或是使用有漏洞的程式套件或軟體,就可能讓攻擊者透過漏洞來入侵系統或植入惡意程式。

  1. 通訊(端)網路

在通訊(端)網路所會遇到的問題其實就是資料傳輸時的安全問題,這部分和一般網站、系統所面臨到的問題大同小異,若是資料在傳輸時未經過加密或是所使用不安全的加密演算法,就有可能在傳輸過程中遭受中間人攻擊(Man-in-the-middle attack, MITM)[4]或是機敏資料遭竊聽。

  1. 裝置端

實體設備暴露在公開環境中,容易遭有心人士利用,加上其儲存空間或運算能力有限,這些設備往往無法執行自動安全更新的動作,所以容易造成系統存在漏洞,但系統又無法即時修復,攻擊者就可以利用漏洞進行攻擊。

目前IoT裝置的入侵主要有幾種途徑,其中包含如下但不限於:

  • 殭屍網路[5]

    使用預設密碼掃描網路裝置後嘗試登入,或是透過暴力破解密碼後登入。殭屍網路最可怕的地方在於:這些被入侵的IoT裝置會再變成新的殭屍網路成員,並持續去攻擊其他設備進行擴散。

  • 手機APP

    經由手機裝置中設計不良的APP取得IoT裝置的控制權限,其中包含破解APP中內嵌的固定金鑰,或是傳輸過程中資訊被劫持或竊取等。

  • WiFi網路

    透過改變IoT裝置的網路設定,使其連線到不安全的網路,或是造成其網路連線中斷而使系統不穩定,像是居家智能鎖或醫療裝置等都曾有相關的破解手法。

水能載舟亦能覆舟,在享受高科技生活所帶來便利性的同時,為了不讓這些方便人們生活的物聯網資訊設備,變成攻擊者的目標或是受害後擔任惡意攻擊的角色,一般民眾可以做到的是:

  • 修改預設密碼

    物聯網資訊設備通常具備連網功能,而這些設備的預設帳號密碼可以輕易在網路上搜尋到,所以設備買來或是安裝好之後,記得要先刪除預設帳號或更新密碼。

  • 定期進行安全更新或程式升級

    物聯網資訊設備應該要和其他資訊設備一樣定期執行安全性更新,以避免存在未修復的漏洞。

  • 建立存取控制機制

    限制物聯網資訊設備相關應用程式與元件之權限,只提供該設備之必須或最小權限。

若是公司行號或是政府機關則還可以再加碼下列防護措施:

  • 避免採購具資安疑慮之物聯網資訊設備

    由於部分國家的物聯網資訊設備頻傳資安外洩危機,所以採購相關設備時,應以白名單或黑名單方式進行管制

  • 盤點物聯網資訊設備

    應定期盤點相關物聯網設備,並視其需要進行更新或汰換

  • 定期檢測物聯網資訊設備

    制定並發展物聯網資訊設備之檢測規範及機制,並將路由器、網路攝影機、網路印表機以及門禁系統等相關辦公室連網設備,納入檢測範圍內


Reference

[1] IoT技術, https://zh.wikipedia.org/wiki/物联网
[2] Tor洋蔥路由器, https://zh.wikipedia.org/wiki/Tor
[3] Mirai (惡意軟體), https://zh.wikipedia.org/wiki/Mirai_(恶意软件)
[4] 中間人攻擊, https://zh.wikipedia.org/wiki/中间人攻击
[5] 殭屍網路, https://zh.wikipedia.org/wiki/殭屍網絡


上一篇
那些年我們一起追的資安影集與電影: 序
下一篇
那些年我們一起追的資安影集與電影 : Day 2
系列文
那些年我們一起追的資安影集與電影7

尚未有邦友留言

立即登入留言