iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 15
1
Security

三十日之熄燈幽談-資安百物語系列 第 15

[Day 15]資安百物語-第九談:別亂吃路邊的蕎麥麵 [OWASP IOT]

本所七大不可思議-燈無蕎麥

https://ithelp.ithome.com.tw/upload/images/20191001/20120299LZhd6OJvDc.jpg

燈無蕎麥(あかりなしそば)
也被稱為消失的行燈,是幽霊屋敷怪談的街邊攤版。

故事

在江戶時代,在本所有個叫南割下水的地方,附近有個賣蕎麥麵的路邊攤販

攤販上面寫著 「二八蕎面,分切烏冬

而麵店雖然在營業,但卻一個客人都沒有
更奇怪的是,店面竟然沒有點燈
若有人為店內點燈
那人則會發生不幸的事,據說當他回家後,家人會全數慘死。

https://ithelp.ithome.com.tw/upload/images/20191001/20120299UQOhGZVWGT.jpg

另外一種版本是說:
若點燈靠近那家店,蕎麥麵店會整間消失,
但若離開,店又會出現,
而看的到店的人,若吃了裡面的蕎麥,則會發生不幸。


(這次很難掰)

若見店內無人,而為店家點燈
乍看之下是一個善舉,
但其實
這人的行為,不太謹慎,
他如果考慮到,若店內的人可能只是臨時外出
可能只是省油燈而已,家人就有機會難逃一死,
雖然這不是他的錯,但若是多經一層考量,則可避免無妄之災。

而版本二中的人更是欠缺考慮,
若看到店內無人還前去食用蕎麥麵,
豈不是對店家的一種不尊重?

(這種既視感,好像也有在神隱少女裡出現過
https://ithelp.ithome.com.tw/upload/images/20191001/20120299lu29CI0q6y.jpg
千尋的父母也是看店沒人,就先大吃特吃,結果那是給神明的享用的

順帶一提

神隱少女的神隱
在日語中的意思,為被神明隱藏起來,被誘拐、招待等
在日本村莊以前的神隱事件甚多,
村莊長輩會說是山神作祟,
而其中有部分其實是一般的孩童誘拐事件。
所以神隱少女其實取名十分貼切,在湯屋工作,其實也算是被神明隱藏起來。

(拉回來

總之他們的行為模式中都欠缺了安全性的考量
而這點在物聯網的世界中也很頻繁出現
廠商或供應商的安全意識,或對設備未來情形的考量不足
導致未來進行更新時,沒有安全的更新機制。
(我知道這次也很硬要,我盡力了XD


OWASP IOT 2018-4

Lack of Secure Mechanism

https://ithelp.ithome.com.tw/upload/images/20191001/20120299lPpUEFF4wb.jpg

缺乏安全的更新機制
缺乏對裝置的韌體驗證,傳輸未加密,缺乏反回滾機制
缺少因更新而導致的安全更改通知。

這是許多物聯網應用設備目前所面臨到的問題,
大多供應商和設備商不會想那麼多,
不會考慮設備未來若發生安全性問題,更新的機制會是如何。

而在某些案例中,
設備所處的地理位置也會成為問題,
易造成難以更新或更換配件。

國際網際網路工程任務組(IETF)物聯網軟體更新(SUIT)
工作組主席Russ Housley說:
「用戶應該要可以選擇何時更新,這是for 人機互動 的設備」
「目前正致力於開發物聯網更新標準。但是有些物聯網設備就是我們所說的
無介面模式(headless) ——它們不再採用顯示器或鍵盤。
這些環境需要更加自動化,並且可以通過設備可以觀察到的某些事件來驅動。」

許多物聯網平台提供了自己的方法來更新物聯網設備,
以作為其設備管理功能的一部分

例如:IBM Waston物聯網平台
可透過編寫程式來控制何時要執行更新或配置更新。

台灣也有可以管理物聯網設備的平台
中華電信IOT大平台

德國西門子公司有知名的物聯網平台
MindSphere
「一旦新版本可用,就會不斷管理漏洞,並更新其MindConnect軟體API 」

而IETF這個組織內部的工作組SUIT目前正致力於,物聯網更新標準的制定
但尚需要幾年的時間來完成。

會針對以下幾點來做制定:

  • 對廣播傳送友善
  • 防止回滾攻擊
  • 高可靠性
  • 多種運作模式
  • 對現有韌體格式影響最小
  • 強大的權限
  • 使用最先進的安全機制
  • 使用小型引導裝載程序和小型解析器進行操作

若更新標準的制定能夠有所進展
各廠商的標準統一
往後的OWASP IOT ,至少在更新方面
一定能夠降低排名。


[參考來源]:
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
https://www.networkworld.com/article/3332032/top-10-iot-vulnerabilities.html
https://kknews.cc/zh-tw/tech/mj6jxe9.html
[圖檔來源]:網路


上一篇
[Day 14]資安百物語-第八談:足控的最愛-足洗邸[OWASP IOT]
下一篇
[Day 16] 資安百物語-第十談:越來越扯淡之太鼓聲 [OWASP IOT]
系列文
三十日之熄燈幽談-資安百物語30

1 則留言

2
黑糖不是碳
iT邦新手 5 級 ‧ 2019-10-01 14:31:43

肚子餓了!不吃蕎麥麵,來吃貓壽司吧(O

每吃一個玉子燒,就有一隻貓咪受害

我要留言

立即登入留言