iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 13
2
Security

三十日之熄燈幽談-資安百物語系列 第 13

[Day 13]資安百物語-第七談:每片蘆葦都有它的故事[OWASP IOT]

本所七大不可思議 - 片葉之葦

https://ithelp.ithome.com.tw/upload/images/20190929/20120299XloThjQ1Ah.jpg

片葉之葦(かたはのあし)
顧名思義就是只有單邊長著葉子的蘆葦,
為甚麼只有長出單邊的葉子呢~~~?
它背後是有故事存在的

故事

日本江戶時代,在本所這個地方,有著一叫做阿駒的女子,
而當時住在她家附近,有一位叫做留藏的男子
十分愛慕阿駒,時常向阿駒示好,表達愛意,甚至強抱

但阿駒,她沒反應,她對留藏沒感覺,十分地冷漠,
長期下來地無視與冷眼相待使得留藏滿腔怒火,覺得沒面子
「既然得不到你,那就毀了你」,抱持著這種心態的留藏
開始憤怒地追趕阿駒,當他們到隅田川入口的駒止橋附近時
(現在的藏前橋附近),留藏襲擊了阿駒,砍下阿駒的一隻手
與一隻腳,最後棄屍於河中。

奇怪的是,在這座駒止橋,之後卻奇怪地長出了只有單邊的蘆葦
彷彿,是手腳只剩下單邊的阿駒的怨念在作祟,

而留藏之後也發瘋而死。(看起來本來就是瘋子 X

這裡提供我的觀點:

都被強行熊抱了還無視
有點小離譜,但也可能女權意識未抬頭的年代,也不敢發聲吧~~

又或許,留藏常常協助或施捨阿駒,使阿駒不好意思拒絕,但她就是對
留藏沒感覺,才這樣忍受的,最後導致不幸的下場。

https://ithelp.ithome.com.tw/upload/images/20190929/20120299tTE2GWUBek.jpg

那這告訴了我們甚麼樣的資安概念呢?

也就是

要防範不安全的網路服務

在現代來看阿駒可能會是個物聯網設備 (沒有要物化女性,僅舉例

而留藏可能會是提供網路服務,但留藏是個不安全的網路服務
若你像阿駒一樣
對留藏的不穩定因素妥協(強抱),最終將會導致悲慘的下場。

也就是說,我們現代人
也不能對不安全的網路服務進行妥協。

OWASP IOT 2018-2

https://ithelp.ithome.com.tw/upload/images/20190929/201202998gf7JNHkws.jpg

Insecure Network Services

不安全的網路服務,在 OWASP IOT 2018 年度中占據了第二名的位置,
物聯網裝置上常常會出現某些不安全甚至不需要的網路服務,
而這種服務可能會直接或是間接地使用戶資料暴露於風險當中。

  • threat agents:
    透過網路連結訪問到該設備的人皆有機會利用已知漏洞進行攻擊。

  • attack vectors
    駭客易透過容易受攻擊的網路服務攻擊設備本身或是進行反彈攻擊
    攻擊者可能來自內部或外部連接。

  • security weakness

    • DoS:使用戶無法正常訪問該設備 (較常見)
    • Buffer Overflow
      使用不安全的網路服務設備,通常可用一些port的scanner或fuzzer找到

    https://ithelp.ithome.com.tw/upload/images/20190929/20120299t2XEM5Xuen.png

  • technical Impacts

    • 數據遺失
    • 數據毀損
    • 服務過載(DoS)
    • 設備毀損
  • bussiness impacts

    • 客戶資料流失
    • 客戶流失

貼心提醒

  • 僅暴露必要的port
  • 檢查buffer 配置
  • 應用服務層上檢測並阻止異常request流量
  • 對發生在身邊不公義的事情,不要容忍

[參考來源]:
https://zh.wikipedia.org/wiki/%E7%89%87%E8%91%89%E4%B9%8B%E8%91%A6
https://blog.xuite.net/chuzu0/twblog/436572978-%E6%9E%97%E6%8A%80%E5%B8%AB%E7%9A%84%E6%97%A5%E6%96%87%E8%AB%BA%E8%AA%9E%E6%88%96%E6%88%90%E8%AA%9E%E6%95%85%E4%BA%8B%E4%BB%8B%E7%B4%B9125.%E2%94%80%E7%89%87%E8%91%89%E3%81%AE%E8%91%A6%E2%94%80%E6%82%BD%E6%85%98%E7%9A%84%E9%9D%88%E7%95%B0%E4%BA%8B%E4%BB%B6%E4%B9%8B%E5%96%AE%E8%91%89%E7%9A%84%E8%98%86%E8%91%A6
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10
[圖檔來源]:網路


上一篇
[Day 12]資安百物語-第六談:「與其吃魚,不如教你開魚籠 」[OWASP IOT]
下一篇
[Day 14]資安百物語-第八談:足控的最愛-足洗邸[OWASP IOT]
系列文
三十日之熄燈幽談-資安百物語30

1 則留言

0
SunAllen
iT邦高手 1 級 ‧ 2019-09-29 22:11:11

這個在漫畫裡沒看過XD...長知識了!

有興趣的話
十分推薦 宮部美幸的 『本所深川不可思議草紙』XDDD
詳述了許多情節

收到,會去買,謝謝!

我要留言

立即登入留言