iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 12
2
Security

三十日之熄燈幽談-資安百物語系列 第 12

[Day 12]資安百物語-第六談:「與其吃魚,不如教你開魚籠 」[OWASP IOT]

本所十大不可思議- 置行堀

https://ithelp.ithome.com.tw/upload/images/20190928/20120299JWwi55CW1S.jpg
置行堀(おいてけぼり、おいてきぼり)

這個怪談的名稱,其實是日語中的一句話

「置いてけぼり」,意即「留下後離開」,在日本傳統文化 -落語 中很常出現。

故事

相傳有人在東京某條護城河釣魚,也許是手氣很好因此魚簍中裝滿了魚,
歡天喜地正准備回家的時候,天色逐漸暗下來,河畔隱約傳來聲聲呼喚:
置いてけぼり...
置いてけぼり...
置いてけぼり...

那人心想奇怪,是誰在說話啊?
覺得可能是自己聽錯了,
於是加緊腳步趕路回家,
回家後,將滿載的魚簍打開一看,卻發現里面的魚早已不翼而飛。
這只是其中一個版本而已。

https://ithelp.ithome.com.tw/upload/images/20190928/20120299dBQAKCfcvE.jpg

也有版本是說
「自己將魚籠棄於現場逃跑,友人抱著魚籠逃跑,結果水裡伸出手來將友人拖入水中淹死了。」ˊ

而傳說中描述的護城河,應該是東京錦糸堀

https://ithelp.ithome.com.tw/upload/images/20190928/20120299DfngpvnjZB.png
[錦系町]

而置行堀故事中發出聲音的本體,有人認為是狸貓作祟
也有說法是說河童,在錦系堀公園因此還立了河童的雕像。

不管怎麼樣,若遇上這樣的事情發生,
驚嚇之餘,魚還是沒了。

因此你會覺得低落,好不容易捕到的魚,
就這樣沒了。

若用現代的眼光看置行堀這個故事,
一定會想說,它是如何得到網子內的魚而沒有被發現?
合理猜測是:
1.它有法力
2.網子沒有蓋好或拉好,使它有機會神不知鬼不覺的拿到魚

若在現今,若你使用弱密碼,駭客也有機會
從你的設備神不知鬼不覺地偷取到資料。

OWASP IOT 2018-1

Weak Guessable or Hardcoded Passwords

物聯網設備或是其操作客戶端使用不安全的密碼或憑證,使有機會被暴力破解出來的

一旦駭客有了你的密碼,就有機會偷走你的魚(其他資料)

畢竟,在多種物聯網設備同時存在高風險,且又彼此相連時,不偷走也難。

前幾篇有提到的無人機
https://ithelp.ithome.com.tw/articles/10218551

https://ithelp.ithome.com.tw/upload/images/20190928/20120299gG5faYz7W3.jpg

Wifi方面就是針對用戶wifi密碼進行破解

  • Aircrack-ng

https://ithelp.ithome.com.tw/upload/images/20190928/20120299DznCNlAJd5.png
bluetooth連結的設備也可以針對藍芽PIN碼進行暴力破解

https://ithelp.ithome.com.tw/upload/images/20190928/20120299ABaaxbfO2a.png
其他:

  • Hydra
  • Brutus
  • RainbowCrack
  • Cain and Abel
  • John the Ripper

而弱密碼也會導致,潛在IOT惡意軟體的散佈:
https://blog.trendmicro.com.tw/?p=61131
https://blog.trendmicro.com.tw/?p=62065
https://www.ithome.com.tw/news/131203

所有IOT當中,屬路由器最受駭客歡迎

  • 多款路由器皆有RCE漏洞
  • 弱密碼
  • 消費者不一定會一直去更新韌體

貼心建議:

  • 使用高強度密碼
    小寫、數字、特殊字元,竟量不要是單辭或句子。

  • 多組密碼,別都使用同一種

  • 定期更新物聯網設備韌體

將於放入漁籠時,再三確認有沒有蓋好網子...
然後聽到 「置いてけぼり」時,...快跑....


[參考來源]
https://zh.wikipedia.org/wiki/%E7%BD%AE%E8%A1%8C%E5%A0%80
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

[圖檔]:網路


上一篇
[Day 11]資安百物語-第五談:OWASP IOT 2018 -10大不可思議
下一篇
[Day 13]資安百物語-第七談:每片蘆葦都有它的故事[OWASP IOT]
系列文
三十日之熄燈幽談-資安百物語30

尚未有邦友留言

立即登入留言