網路趨勢
物聯網時代來臨,資安問題也跟著來 洪光鈞 總經理、劉作仁 協理/安華聯網科技
前言 過去幾年,隨著智慧型裝置與通訊網路的技術成長,電腦再也不是連接網際網路的唯一方式,物聯網(Internet of Things/Internet of Everything, IoT/IoE)是更多裝置或設備智慧化與網路化的實現,提供人類食、衣、住、行、育樂等需求,它不但實現與融入在頻繁的生產製造等商業活動中,亦讓人類獲得更多的生活便利性,未來家庭可以用智慧型手機上鎖或開鎖、開關燈、監控能源消耗、保全監控或控制家電等,應用範圍越趨廣泛。除了更多的應用外,物聯網的使用數量也正在迅速擴大中,至2015年,將有49億個連接設備遍及世界各地,這個數字主要來自消費品、汽車製造、醫療保健以及交通運輸等行業;而各大研究機構,如Gartner、IDC及BI Intelligence等都預估,未來3至5年間物聯網裝置數量將達到150億個至260億個之間,此外,國際大廠如Sony、Cisco以及Morgan Stanley更提出在2020年將達到500億個與750億個的數字! 這些各式各樣的運用情境,以及裝置數量成長的力道,帶出了新一波的資通訊技術熱潮,除了網際網路外,在加上無線網路、感測技術及無線射頻等通訊技術,將隨身裝置、電腦設備、家庭設備、儀器設備及感應設備等,都將搖身一變成為網際網路上的一部分,這些連網設備或傳感器,透過網路與通訊技術,除可連接、儲存或使用,更可藉由與雲端上的系統或平台進行連結與整合,彼此經由網際網路之間傳遞信息,構成完整的物聯網路。 由於物聯網的興起,機器設備相繼智慧化與網路化,相關裝置或系統使用網路的頻率大增,且存在各式各樣的領域與環境中,這使得駭客的攻擊目標也因此隨之改變,從過去的資訊系統漏洞與網頁漏洞,到現在的行動裝置資料竊取、汽車系統破解以及醫療設備入侵等資安議題就是最好的例子。因此,資訊安全與隱私保護顯然成為物聯網的重要問題之一,那麼,物聯網所面臨的資安問題又有哪些?透過本文的介紹,筆者將以資安研究人員與駭客的角度,探討物聯網可能存在的資安威脅。 物聯網資安威脅 國際大廠惠普科技(HP)在2014年7月公布了物聯網裝置10大安全問題,研究結果顯示,物聯網設備最大的問題在於未加密的通信傳輸與身份認證不足,而容易造成使用者資料洩漏,報告中進一步指出,平均每個物聯網設備存在25個資安漏洞。2015年1月,美國聯邦貿易委員會(FTC)公開了物聯網設備的安全建議報告,其中指出眾多連接上網的智慧型設備將產生更多的隱私和安全問題,主要有未授權的存取與個人資料濫用、有利於駭客藉由物聯裝置攻擊其它系統以及產生個人安全風險等議題[11]。另依據世界經濟論壇公布的2015年全球風險報告中,不斷升級的大規模網路攻擊、大量的資料偽造與竊取事件以及關鍵資訊基礎設施與網路的停擺等資安議題紛紛上榜,其中一個因素為物聯網所帶來的風險。自上述各方的研究結果看來,物聯網相關裝置或網際網路基礎設施將面臨嚴峻的資安問題,同時也將因為資安問題帶來重大的損失。 在看完國際間對於物聯網所提出的安全研究或警告後,接著我們開始來探討物聯網到底會存在或發生哪些資安問題,透過國際上的發展趨勢,以及筆者於實務執行資安測試的過程,分享相關經驗,做為強化物聯網資訊安全的第一步。物聯網的組成可以簡單的區分為終端裝置(End-device)、通訊媒介(Network Media)及後端系統(Backend System)三大部分,其構成的單元可能包含網路設備或感應器等、行動裝置或車載以及雲端平台等,而這些單元間透過網路來交換彼此的資料,物聯網的運用組成示意圖詳圖 1;家中的門鈴、感測器及電冰箱等屬於終端裝置,透過無線射頻或無線網路等通訊媒介,將資料傳送到家中的閘道器與雲端上的後端系統進行處理,而使用者則可透過移動裝置上的應用程式或在汽車上取得即時的資訊;接下來,本文將針對終端裝置、通訊媒介、後端系統以及移動裝置(亦屬終端裝置的一個部分)等,這四個主要的組成單元所可能所遭遇的攻擊方式進行介紹。
終端裝置資安問題 對於眾多物聯網設備上,本身資訊安全防護的層級,是否會因不安全因素,得以被駭客入侵進而存取控制物聯網相關設備或系統等議題近年來不斷被討論,如同無線網路路由器與網路攝影機等嵌入式系統,未來物聯網的終端裝置開發廠商該如何兼具校能與安全性將會是個嚴峻的考驗。從近三年來美國駭客年會(Blackhat)越來越多物聯網的相關資安議題與惡意程式綁架用戶的網路硬碟(NAS)新聞可以發現,駭客已開始將攻擊重心由過去的網頁應用程式轉向物聯網相關裝置。因此,強化終端裝置的安全性便成為開發廠商不得不面對與處理的首要議題。筆者根據近年對於終端裝置所進行的安全測試,整理出終端裝置較常見之安全漏洞如下。
通訊媒介資安問題 過往在網路設備的通信傳輸,大多主要採用的無線通訊技術為無線網路802.11x,但現今運用在物聯網的通訊媒介技術,如無線射頻(Radio Frequency)、近場通訊(NFC)及藍芽(Bluetooth)等開始盛行。然而這些通訊技術同時間能傳送的資料量與頻寬有限,且無法提供相對較安全可靠的通訊傳送機制;此外,當大部分智慧型裝置都將資料上傳並保存至雲端時,資料到達雲端前會經過連接層、路由器層、通訊協定連線層及網際網路層等,資料透過不同的裝置與設備層層傳送,這提高了資料傳遞的安全風險。若是終端裝置在資料傳送時,駭客透過相關設備竊取經由通訊媒介所傳送的資料內容,而這些資料一旦未能在傳送前將資料進行編碼或加密處理,或在傳送時未透過加密的通道來傳送,其內容將直接以明文的方式呈現在駭客面前,這可能包括使用者帳號、密碼、個人資料或是其他機敏資訊等。此外,除了未使用加密方式保護傳輸的資料,可能遭受資料洩漏的風險外,連線過程中,也可能遭到駭客採用連線劫持的方式,甚至進行封包資料的竄改或偽冒等,企圖繞過原有的安全檢查機制,或是嘗試跳脫身份驗證的功能,以達到越權存取,或是修改裝置或後端系統中的設定檔等。 後端系統資安問題 物聯網的相關組成,另一個重要的角色即是後端系統,這些後端系統大多數是以雲端的方式來實現,終端設備將耗時的運算交由後端主機來執行,例如終端裝置會直接或透過家用閘道器將資料回傳至雲端上的主機系統,後端系統便可根據所回傳的資料內容進行處理,此時,雲端主機的安全性就占了非常重要的角色,倘若主機被駭客入侵,不僅造成雲端上資料的外洩,甚至可能透過雲端與設備相互連結的特性,進一步的控制使用者端的設備。在終端裝置與後端系統的資料傳輸技術部分,主要是採用Web Service介面讓裝置回傳資料,因此針對後端系統的安全性議題,筆者建議可以參考國際知名資安組織OWASP所提供的OWASP TOP 10與OWASP Testing Guide做為後端系統的安全強化參考依據;而後端系統除了Web Service外,也需隨時注意與檢查是否使用到過舊的作業系統或應用程式套件,避免駭客利用相關漏洞來入侵系統。因此,後端系統相關資安問題,除了主機上的應用程式或作業系統的安全性外,也需注意設定參數或設定值是否正確,同時確認是否採用了相對嚴謹的安全設定,藉此以提升並確保後端系統的安全性。 行動裝置資安問題 由於近期行動裝置的資安議題討論非常熱烈,這在於行動裝置已普遍的使用在個人的生活上,且幾乎人手一隻智慧型手機,可預見的是,行動裝置將更緊密的與使用者連結在一起,例如智慧手環或智慧眼鏡等,同時也將與物聯網的運用或組成息息相關;而許多終端裝置或後端系統的高度支援,讓使用者可透過行動裝置上的應用程式進行資料的存取,因此,行動裝置與其應用程式安全性的重要程度不亞於一般的終端裝置或後端系統。而行動裝置上的常見安全問題,與上述終端裝置非常相近,包含權限管理不當、缺乏加密保護、認證授權被繞過、邏輯漏洞問題等,駭客可透過分析行動裝置應用程式的方式,找出安全漏洞,並竊取使用者帳號與密碼或相關個人資料,甚至直接透過使用者的行動裝置應用程式控制其終端裝置。各位讀者可以想像,家中的智慧家電可以透過智慧型手機來進行遙控,此時當手機因故被駭客入侵後,家電控制權也等於落入駭客的掌控中,因此,這樣的資安問題所帶來的影響是非常的大! 結論與建議 即使現在物聯網的運用情境與設備數量,尚未達到各研究機構所提出的上百億個裝置數量,但在未來的幾年內,物聯網的發展與應用只會越來越廣泛,過去的資安問題層面以及其防護的廣度,將因物聯網的迅速發展,拉長了整個資安戰線,以往的防護機制與設備,將無法全面的兼顧來自各式各樣針對物聯網的資安攻擊,企業必須盡可能的實現縱深防禦的安全機制。但相對的,物聯網的多元發展,也使得駭客對於物聯網相關裝置或單元的學習曲線拉長,較無法在短期間內進行廣泛且大規模的攻擊;不過,長期來看,當物聯網的協定或標準趨向一致時,相信大規模的資安問題將隨之而來。 透過現今物聯網所面對的資安威脅來源看來,在此建議相關廠商須儘速將資安議題納入產品開發的環節中,避免產品銷售後才被駭客發掘出安全漏洞;重點在於,這不單只是造成廠商後續漏洞修補與產品回收所導致的金錢與商譽損失,未來物聯網普及的時代,產品的資安問題將影響到人身安全的問題!最後,筆者對於物聯網相關廠商的安全議題有幾個建議提供參考:
延伸閱讀
|