資料外洩會帶來哪些影響?先直接看一張畫面示例:下圖顯示許多家用監視器可能被公開在網路上,畫面直接對外播放。^1
聲音與影像也是資料的一種;當裝置被駭入,攻擊者可能啟動攝影機或麥克風來監視或竊聽,這也是資料外洩的一種形式。不幸的是,這類事件並非個案,在現實中持續發生。
上圖範例同時提出兩個重要議題:其一,除了電腦與手機,其他連網裝置(如智慧家電、監視器等)也可能遭駭;其二,網路上存在能自動搜尋這類裝置的服務(例如 Shodan),使得暴露的裝置更容易被發現與利用。
很多人以為只有電腦或手機會被入侵,但實際上凡是能運行程式、且具備通訊功能的裝置都有被駭的可能。物聯網時代下,「萬物可駭」並非誇張之詞;在後面的章節(1-2、1-3、2-1)會有更多案例與說明,現在先理解這件事就好。
建議可以檢查家中哪些設備具有麥克風或攝影機 — 常見的有:監視器、聲控電視、智慧音箱、聲控燈具或遙控器、對講機、智慧電話、智慧手錶、掃地機器人等。
掃地機器人不只掃地還會窺視偷看?南韓調查:中國產品存在嚴重安全漏洞^5
三星智慧電視可被進入「假關機」的狀態,並在後台開啟程式,通過電視內置麥克風進行錄音,而錄音會通過網路上傳到一個秘密的美國中央情報局(CIA)伺服器上,以達到竊聽的目的。^6
「關機就沒事了吧?」──不一定
這是常見的迷思。像上例中三星電視的「假關機」,此外許多裝置的關機只是進入低耗電或待機模式,以便支援聲控喚醒。其他誤解還包括:指示燈不亮、相機畫面無顯示、裝置暫時沒在使用、或認為裝置未連網便安全無虞。簡單來說,只要裝置有電源與通訊能力,就存在被入侵的風險。
因此最保險的做法是採取物理防護,例如直接遮蔽鏡頭。美國聯邦調查局長詹姆斯·科米(James Comey)在演講中表示,他會用不透明膠帶覆蓋筆電鏡頭以防被窺探。^7 目前市面上也有筆電內建的物理防窺滑片可選購。
懷疑被監控?
最近有新聞報導,一名台北女子搭乘 Uber 回家時通話中透露家中無人,半小時後遭陌生男子尾隨並多次按門鈴,行為可疑且疑似藏有武器,嚇得她在網路上發文提醒。^8 筆者就想到之前也看過很多類似,女子懷疑自己遭到跟蹤監控等問題,甚至搬家都沒辦法改善,可能是多個個人裝置被入侵並洩漏行動資訊(例如行動裝置定位、智慧家電的連線狀態等),攻擊者由此掌握你的生活規律與行蹤。
Shodan 是一個搜尋引擎,專門用來索引公開連網設備。它會掃描並收集設備的 IP 位址、開放埠與服務、作業系統與版本資訊等。常見功能包括:Explore(瀏覽設備)、Maps(地圖視覺化)、Exploits(漏洞資料)與 Images(裝置截圖)。其中一個例子就是搜尋關鍵字 "webcam",就能找到全球可公開連線的網路攝影機。
除了Shodan,還有像是Censys、ZoomEye等搜尋引擎與掃描工具,會使用包括 Banner Grabbing 在內的多種被動與主動探測技術來蒐集公開連網設備的資訊。
Banner Grabbing
Banner Grabbing 是透過連線服務並讀取其回應標頭(banner)來擷取該服務資訊的技術。透過 banner 可以得知服務種類、版本與其他細節;若某個版本對應已知的 CVE(通用漏洞編號),該服務可能會被利用。弱點會在3-2.a更細講,目前只需要知道有弱點是很常見的事,而有弱點就有很高風險會被駭。
除了聲音和影像,資料外洩的影響其實可能遠超你想像。對公司或國防單位而言,資料外洩可能涉及智慧財產或國家安全,例如 61398 部隊事件。對一般民眾而言,過於詳細的個資被洩漏可能直接威脅生命財產安全。以下是幾則代表性的案例:
厄瓜多爾市調公司:資料庫配置不當,導致超過全國人口數的大量個資曝光,包含全名、出生日期、出生地、住家地址、婚姻狀態、身分證號、職業、電話號碼與學歷。^9
中國大規模個資外洩:一個包含超過 40 億筆記錄的資料庫被曝露在網路上,沒有任何密碼保護,資料內容經過整理,包括微信帳號、住家地址、金融資料等,使歹徒可掌握民眾財務狀況。^10
美國人事管理局(OPM):再度發生 2150 萬筆個資外洩事件,其中 1970 萬名為背景調查申請人,180 萬名為其配偶或同居人。洩漏資料涵蓋使用者名稱與密碼、社會安全碼、教育資訊、心理健康資料、就職紀錄、財務歷史及犯罪紀錄,其中 110 萬人提供了指紋資訊。^11
而資料外洩往往只是裝置遭滲透的一個相對「輕微」的表現。遭入侵的裝置能做的事情遠不止洩漏資料,在下一章,我們將看到這些入侵如何直接影響我們的現實生活。
iThome鐵人賽
看影片追技術