iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 21
2
Security

三十日之熄燈幽談-資安百物語系列 第 21

[Day 21]資安百物語-第十五談:在縫隙內談物理加固[OWASP IOT]

日本都市傳說-隙間女

https://ithelp.ithome.com.tw/upload/images/20191007/20120299Mz5fCxi7NN.jpg
隙間女(すきまおんな)

故事

你們是不是也有過,單獨在房間內,但突然有種被注視著的感覺?

一日,一位男子單獨待在公寓內,
忽然覺得不對勁,覺得有人在看他,於是回頭看,
「阿..,只有櫃子而已,看來是錯覺吧.....」
於是他也淡忘這件事了
過了幾天,又出現同樣的感覺了,
但是他家在三樓,也沒有住戶是在他家窗戶外側,
所以不可能有人盯著他看。
他心想可能有人躲在他家某處,於是四處翻找,但搜尋未果。
「我該不會瘋了吧...」
這麼想著的同時,他發現了視線的來源
在牆壁和衣櫃的中間數公厘的空隙之間

站著一個女人,直勾勾地盯著他看。


先不討論那個女人是如何扭曲自己的身體站在那的,
要如何在不知道的情況下,讓一個女人進入你房間呢?
如果主角是個每天都有鎖門、擁有良好習慣的人,
那女人,又會是如何進來的呢?
假設她真的是「人」
那她一定是破壞門鎖,或想辦法爬到三樓,從窗進來。

不管如何這篇故事的男主角顯然...
急需物理加固措施,和心理治療(衝擊太大

OWASP IOT 2018-10

https://ithelp.ithome.com.tw/upload/images/20191007/20120299KiGllRaT46.jpg

Lack of Physical Hardening

缺乏物理加固措施,使潛在攻擊者有機會獲得機敏資訊,
可幫助攻擊者往後進行遠端攻擊,或可對設備進行本地控制。

目前物聯網設備,除了一般的傳統網路攻擊外
現在逐漸變成駭客進行物理攻擊的目標。

晶片攻擊也是常見的手法之一,但晶片的物理加固就很少人做
不管事拆除晶片封裝的侵入式攻擊、或是旁路攻擊都很猖獗。
它們是透過方式擷取如晶片耗電量或是操作密碼放出的電磁場的側頻訊號,
藉此得到駭客所需要的資訊。

或是工業物聯網(IIOT)中的生產線上,也急需物理加固措施,
除了使用老舊的感測器或是分析平台,所使用的監控和資料採集(SCADA)系統
、可編程邏輯控制器(PLC)以及它們所用的人機介面(HMI),都並沒有妥善抵禦
攻擊的能力。

https://ithelp.ithome.com.tw/upload/images/20191007/20120299QYnG9aCLtP.jpg

針對硬體攻擊,可以考慮安全IC:包含數學加速器、亂數產生器、
非動態記憶體、篡改檢測和物理不可仿製功能(PUF)等電路模組 。
其中PUF模組可以使金鑰等敏感性資料免受入侵或利用逆向提取。

取多安全防護IC能夠在遭受破壞之前關閉操作並毀掉敏感性資料。
但成本稍微高一些,但它可大大降低嵌入式設備、周邊和系統遭受未經授權訪問的風險。


你家的縫隙,是不是也有甚麼?


[參考資料]:
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
https://www.networkworld.com/article/3332032/top-10-iot-vulnerabilities.html
https://www.edntaiwan.com/news/article/20180410NT02-IoT-security-hardware-vs-software
https://zh.wikipedia.org/wiki/%E9%9A%99%E9%96%93%E5%A5%B3

[圖檔來源]:網路


上一篇
[Day 20]資安百物語-第十四談:阿岩的美,在於臉 [OWASP IOT]
下一篇
[Day 22]資安百物語-第十六談:你家的瑪莉也會Google Hacking
系列文
三十日之熄燈幽談-資安百物語30

尚未有邦友留言

立即登入留言