iT邦幫忙

2024 iThome 鐵人賽

DAY 24
0
Security

資安銷售系列 第 24

科技始於人性 ,人終將臣服於科技?

  • 分享至 

  • xImage
  •  

科技始於人性 !
最初物聯網的實作在1980年代,由於一群程式設計師不想每次下樓到了可樂販賣機面前卻發現可樂已經售罄或是可樂不夠冰涼,進而將販賣機接上網路,並寫程式時時監控販賣機的可樂數量與可樂的溫度 ;因為人們的小偷懶,演進了物聯網最初的應用。隨著技術持續進步,從個人、家庭到社會領域,如:工業製造、農業生產、健康醫療、物流運輸,皆有物聯網的應用。

人終將臣服於科技 ?

  • 我們可能會因為 IoT 裝置看起來很小或功能太侷限,而認為似乎沒什麼危險性,但真正的風險在於實際連線到網路時 ; 若在網際網路上遭到入侵,情況可能會變得很危險。無論是暗中入侵視訊嬰兒監視器,還是中斷救援醫療設備服務等等,都有可能會發生。
  • 入侵 IoT 基礎結構的攻擊所造成的危害,不僅包括資料外洩和不可靠的作業,還包括實際損害設施,最糟的情況甚至會對操作或仰賴這些設施的人員造成人身傷害。

一、什麼是物聯網?

  • 物聯網(Internet of Things,IoT)或稱萬物聯網(The Internet of Everything,IoE),最早在1999年美國麻省理工學院的自動化辨識系統中心(MIT Auto ID Center)闡述了物聯網的涵義:「萬物皆可透過網路互連」。
  • 而在2005年國際電信聯盟(The International Telecommunication Union,ITU)發布的物聯網報告也提到:「將短距離行動接收器嵌入到各種附加的小工具和日常用品中,使其變得更加智慧,從而實現人與物之間以及物與物之間的新通訊形式。

二、著名的 IoT 攻擊事件

  1. Mirai殭屍網路攻擊
    事件概述
    2016 年,Mirai 殭屍網路攻擊利用了大量 IoT 裝置(如 IP 攝影機和路由器)的預設密碼和漏洞,將這些裝置變成殭屍網路的一部分。這些殭屍網路發動了多次大規模的分散式阻斷服務 (DDoS) 攻擊,癱瘓了多個主要網站和服務,包括 Twitter、Netflix 和 Reddit。
    影響
    這次攻擊展示了 IoT 裝置的安全漏洞如何被利用來發動大規模攻擊,並引發了對 IoT 安全性的廣泛關注。
  2. 台灣校園印表機攻擊事件
    事件概述
    2017年2月,台灣多間學校的連網印表機遭到駭客入侵,並自動印出勒索比特幣的恐嚇文件。這次攻擊暴露了連網設備管理的安全隱憂。
    影響
    攻擊者利用印表機的連接埠(port 9100)來控制列印,因為許多印表機使用外部實體IP,且未設置強密碼或使用預設密碼,導致駭客能夠輕易入侵。這次事件中,駭客要求支付比特幣,否則威脅發動網路攻擊癱瘓學校網路。
  3. 特斯拉TeslaMate攻擊
    事件概述
    TeslaMate 是一款開源的特斯拉車輛數據記錄和分析工具,許多特斯拉車主使用它來監控和管理他們的車輛。然而2022 年初,一位來自德國的 19 歲年輕駭客 David Colombo 發現了 TeslaMate 的安全漏洞,並成功遠端控制了多國的多輛特斯拉車輛。
    漏洞細節
    Colombo 發現 TeslaMate 的 API 密鑰存儲在未加密的位置,並且使用了預設的管理員憑證(如 admin:admin)。這些漏洞使得他能夠通過遠端訪問 TeslaMate 伺服器,取得車輛的控制權。
    影響
    這次攻擊影響了來自 13 個國家的超過 25 輛特斯拉車輛。Colombo 能夠遠端解鎖車門、打開車窗、啟動無鑰匙駕駛、調整空調模式和溫度,甚至控制喇叭和燈光。雖然他沒有取得轉向、加速和剎車的控制權,但理論上可以通過漏洞開啟召喚模式讓車輛自動移動。

三、IOT事件的認真學習
Mirai 殭屍網路攻擊事件引發了全球對 IoT 安全的廣泛關注,啟動了大家對IOT的認知慼應。

  1. 它突顯了幾個重要問題:
  • 預設密碼的危險:許多 IoT 裝置出廠時使用預設密碼,這些密碼很容易被駭客破解。
  • 裝置更新和維護的重要性:許多 IoT 裝置缺乏定期的安全更新,這使得它們容易受到攻擊。
  • 網路安全的必要性:這次攻擊顯示了需要更強大的網路安全措施來保護 IoT 裝置和網路。
  1. 後續措施: 在 Mirai 攻擊之後,許多企業和政府機構開始重視 IoT 安全,採取了多種措施來加強防護。
  • 強制更改預設密碼:要求用戶在首次使用時更改預設密碼。
  • 定期更新:提供定期的軟體更新和安全補丁。
  • 資料加密的重要性:敏感資料應該加密存儲,避免未經授權的存取。
  • 加強監控:實施更嚴格的網路監控和入侵檢測系統。

四、您期待IoT改善我們的生活嗎?
連網的裝置可以讓您早上的行程與以往截然不同。當您按下鬧鐘的貪睡按鈕時,您的鬧鐘會自動打開咖啡機,並開啟窗戶的百葉窗。您的冰箱會自動檢測用完的雜貨,並自動訂購,讓物流宅配到府。您的智慧型烤箱會告訴您今天的選單,甚至能自動烹調預先處理好的食材,並準備好您的午餐。您的智慧型手錶會幫您安排會議行程,而汽車會在沒油時自動設定導航到加油站加油。
IoT 的世界充滿了無限的可能性!您期待嗎?

五、我想
想像總是美好,但現實卻是殘酷 !如果是資安人聽到上列IOT生活,也許與我一樣的直覺反應 : 如何Block異常 ? 如何快速切斷連線 ? 我們的腦袋會有一連串的防止措施出現 : 更改預設密碼、定期更新軟體、啟用多因素身份驗證(MFA)、加密通信、隔離網絡、限制設備訪問.....
我是游牧民族,我除了飄來飄去,也搬來搬去,所以没有太多家庭電器,也就不需花心思將它們連起來。
來杯咖啡嗎 ?
https://ithelp.ithome.com.tw/upload/images/20240905/20168627XGTVDkfArr.jpg


上一篇
尋光之路 ; 黑客踪跡
下一篇
APT 碎碎唸....
系列文
資安銷售31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言