博客

如何在物聯網時代保障網絡安全及私隱？

歡迎來到物聯網(IoT)時代，物聯網將逐漸成爲每人生活的必須品，每人都會帶備超過一個以上的IoT裝置如手機、遊戲機、 智能手錶和手環等。這些IoT裝置都具有傳感器，從周圍環境收集及處理資料，並傳送到遠程位置做進一步分析。現時估計IoT裝置共有150億個，大約每人有兩個連接的IoT， 預計到2020年總數會增長至260億個。 隨著智慧家電及IoT應用興起，裝置軟件及硬件都百花齊放，很多時製造商都先照顧市場需求的先進功能，而在保障資訊和私隱安全往往未成熟，一般用戶也就很易成為駭客下手的目標。HKCERT 就已發布名為「Reaper」或「IoTroop」的物聯網殭屍網絡研究，據悉殭屍網絡或已控制過百萬部IoT裝置，可被利用作DDOS攻擊，導致大規模互聯網服務中斷。當IoT裝置應用在人身上，例如無人駕駛車和醫療用品上，IoT裝置的漏洞，更有機會危害人身安全。 IoT裝置常見的安全漏洞範圍，包括： 晶片或硬件漏洞：在製造過程中，由於要進行質量保證，測試點和端口會被添加到設備中，以確保其功能在發貨前可通過周詳測試；卻因此留下了開放的測試點和編程或電路板上的端口，為駭客提供了物理途徑，可探查設備並測試其漏洞。例如有駭客利用XBOX 360內的端口，去探試保安降級的方法。 啓動操作系統引致的安全漏洞：駭客會利用IoT裝置操作系統啟動過程中的漏洞，來進行攻擊。由於啟動時保護機制有限，許多進階保護機制，還未發揮其功能，造成駭客有機可乘。例如，iPhone操作系統啓動的弱點，就曾被利用作越獄的方法。系統啟動過程中的保安措施，必須經過周詳的審計以確保不會被駭客攻破。 軟件漏洞：IoT裝置軟件很多時需要用加密方法，去進行認證或保護敏感資訊，此舉可有效提升IoT裝置的安全性，增加被駭的難度。但我們發硯很多時，軟件設計未經深思，遺下弱點或安全破綻，例如使用了公認的弱密碼，或已被破解的加密標準。例如Sony PlayStation 3由於一系列密碼漏洞，而被降低安全性。 遠程遙控漏洞：IoT裝置通常都設有遠程遙控通道，用以收集數據或監控。這些遠程通道是非常有用的，但有些卻在實踐和開發過程中遺下安全漏洞，例如製造商可能會允許任意執行API指令，通過這個攻擊媒介，駭客可遠程控制IoT裝置，並進行攻擊。 儘管製造商都意識到私隱和安全隱患，但為照顧市場需求，往往忽略了，或發生事故後才補救。因此，市場上通常採用軟件級解決方案，去改善IoT裝置的私隱和安全性問題。 隨著智慧家電及物聯網應用興起，一般用戶也成為駭客下手的目標。美國聯邦調查局呼籲用家，連網攝影機、遊戲機及智慧喇叭等用家裝置，切記別和電腦設於同一Wi-Fi網路，因為駭客會透過駭入上述IoT裝置，入侵Wi-Fi網路，再經由家用路由器，擴散到各個連網裝置，包括儲存私隱資訊和密碼的電腦。 用家應變更所有IoT裝置的預設密碼，密碼不要共用而且愈長愈好，並檢查IoT裝置搭配的App的資訊收集設定，關閉不必要的存取權限。此外，用戶也應啟動IoT裝置的自動更新，確保升級到最新版本軟體。 撰文：香港電腦學會網絡安全專家小組執行委員會成員黃永昌     [...]