物聯(lián)網(wǎng)漏洞不斷成黑客攻擊目標(biāo)

 過去談到信息安全事件，多數(shù)人心中浮起的第一個(gè)想法，大概都是某個(gè)企業(yè)單位或政府機(jī)關(guān)遭到黑客入侵，但是隨著全球可連網(wǎng)設(shè)備暴增，信息安全事件早非商業(yè)組織專屬，一般消費(fèi)者也早陷入個(gè)人資料被竊的恐慌中。如2014年底便曾爆發(fā)黑客組織大量竊取道路監(jiān)控設(shè)備的中影片，并且通過架設(shè)網(wǎng)站方式散播，英國信息委員會(huì)辦公室當(dāng)時(shí)預(yù)估外流影片數(shù)量，可能達(dá)到7萬則以上，凸顯出在物聯(lián)網(wǎng)蓬勃發(fā)展的背后，正隱藏著容易被人忽略的安全危機(jī)。

早在2014年月，惠普科技便曾發(fā)表一份針對物聯(lián)網(wǎng)安全問題的研究報(bào)告，文中指出每個(gè)連網(wǎng)設(shè)備平均約有25個(gè)信息安全漏洞，而最大問題在于未加密通信傳輸與身份認(rèn)證不足，以致于造成使用者個(gè)人資料容易泄漏。美國聯(lián)邦貿(mào)易委員會(huì)亦在2015年1月發(fā)表物聯(lián)網(wǎng)安全建議報(bào)告，指出可上網(wǎng)智能設(shè)備因隱私和安全設(shè)計(jì)上的缺陷，讓黑客能在入侵物聯(lián)網(wǎng)后，轉(zhuǎn)而攻擊其它更具商業(yè)價(jià)值的系統(tǒng)。

Google Play平臺不夠嚴(yán)謹(jǐn) 惡意App 200萬以上

過去黑客組織攻擊商業(yè)組織是為獲取經(jīng)濟(jì)利益，襲擊政府機(jī)構(gòu)則是要達(dá)成特定政治目的，轉(zhuǎn)而攻擊消費(fèi)者生活息息相關(guān)的物聯(lián)網(wǎng)，除想要造成民眾恐慌之外，更是看準(zhǔn)全球可連網(wǎng)設(shè)備在2015年已達(dá)50億個(gè)，一旦突破物聯(lián)網(wǎng)防御機(jī)制，能為日后發(fā)動(dòng)大規(guī)模攻擊作準(zhǔn)備，以便能夠取得更龐大利潤?，F(xiàn)今物聯(lián)網(wǎng)架構(gòu)存在許多難以解決的漏洞，首先是可連網(wǎng)設(shè)備多半采用Linux、iOS、Android等行動(dòng)操作系統(tǒng)，因與個(gè)人計(jì)算機(jī)的Windows平臺不同，在無法沿用既有相同信息安全軟件的前提下，自然很難防堵客組織發(fā)動(dòng)的新型態(tài)攻擊手法。

其次，可連網(wǎng)設(shè)備運(yùn)算能力并不高，特別是部分用于智能電網(wǎng)、環(huán)境監(jiān)測領(lǐng)域之中的設(shè)備，僅能提供極為簡單的應(yīng)用服務(wù)。在此狀況下，根本不可能安裝任何防御軟件，頂多只能仰賴芯片本身內(nèi)建的加密機(jī)制，保護(hù)重要數(shù)據(jù)的安全，一旦廠商沒有修改產(chǎn)品默認(rèn)的密碼，便很容易被黑客組織攻破。以黑客組織入侵全球網(wǎng)絡(luò)攝影機(jī)為例，信息安全顧問介入調(diào)查后發(fā)現(xiàn)，受害消費(fèi)者多數(shù)都是沿用系統(tǒng)默認(rèn)密碼，如1234、password等等，才會(huì)讓黑客不費(fèi)吹灰之力，即可輕松取得各種數(shù)據(jù)與影像。

最后一項(xiàng)問題，則因Google Play平臺采取開放政策，在欠缺完整功能審核與測試機(jī)制下，黑客組織可以上傳內(nèi)建惡意軟件的山寨或惡意App，當(dāng)消費(fèi)者不小心下載并使用后，便能夠在消費(fèi)者無法察覺到任何異狀下，私下開始將個(gè)人資料傳送到惡意中繼站，同時(shí)悄悄取得手機(jī)的控制權(quán)。如英國BBC網(wǎng)站在2016年初遭到600Gb流量的DDoS攻擊，技術(shù)顧問以數(shù)字鑒識技術(shù)進(jìn)行分析后發(fā)現(xiàn)，許多攻擊流量居然源自于移動(dòng)或手持設(shè)備，證明許多設(shè)備早被黑客組織控制。

事實(shí)上，根據(jù)各家信息安全公司公布的研究報(bào)告顯示，市面上針對移動(dòng)設(shè)備設(shè)計(jì)的惡意軟件數(shù)量，光是在為Android平臺上的病毒數(shù)量已突破達(dá)200萬種以上，即便是被視為較安全的iOS平臺，近來也有陸續(xù)爆發(fā)被黑客入侵，為物聯(lián)網(wǎng)日后發(fā)展帶來不少隱憂。

三大組件相互認(rèn)證 才能減少入侵行為

商機(jī)可望達(dá)到兆億美元以上的物聯(lián)網(wǎng)，是由終端設(shè)備、應(yīng)用軟件、云端平臺所組成的架構(gòu)，依照各廠商設(shè)計(jì)的不同軟件功能，能有智慧城市、智能家居、車聯(lián)網(wǎng)、智能醫(yī)療、智能電網(wǎng)、能源管理等應(yīng)用。因此，企業(yè)若要保護(hù)應(yīng)用服務(wù)的安全，避免自家服務(wù)被黑客組織入侵，勢必得從前述三大面向著手，才能降低信息安全事件發(fā)生的機(jī)率。

AWS亞太地區(qū)首席技術(shù)講師Markku Lepisto認(rèn)為，可連網(wǎng)設(shè)備受限于效能上的限制，幾乎不可能預(yù)安裝防毒或入侵檢測軟件，才會(huì)成為黑客組織欲大力攻擊的目標(biāo)。而若要減少信息安全事件發(fā)生，業(yè)者自行開發(fā)的應(yīng)用軟件需具備監(jiān)測設(shè)備安全與否的能力，在確認(rèn)設(shè)備沒有被黑客入侵后，才依照用戶的身份等級，給予相對應(yīng)的訪問權(quán)限。至于云端平臺本身，則需具備阻擋黑客攻擊的能力，如APT、DDoS等等，才能達(dá)到保護(hù)用戶數(shù)據(jù)安全的目標(biāo)。

根據(jù)趨勢科技進(jìn)行的研究調(diào)查報(bào)告縣市，盡管黑客組織推陳出新的攻擊手法，確實(shí)難以通過單一信息安全設(shè)備阻擋，但造成信息安全事件不斷發(fā)生的主因，在于沒有定期安裝修補(bǔ)程序。所以行動(dòng)設(shè)備制造商讓提高行動(dòng)設(shè)備的防護(hù)能力，應(yīng)該要隨時(shí)關(guān)注CVE(Common Vulnerabilities & Exposures)組織發(fā)布軟件漏洞信息，通過定時(shí)更新設(shè)備的軟件版本，積極修復(fù)各種軟件漏洞的方式，自然能減少攻擊事件發(fā)生。

此外，考慮到消費(fèi)者沒有修改默認(rèn)密碼，又或者密碼設(shè)定過于簡單，亦是造成數(shù)據(jù)外泄的主要原因，廠商不妨在可連網(wǎng)設(shè)備中，能夠加入提醒修改密碼功能，以及可設(shè)定高強(qiáng)度密碼的機(jī)制，也能減少因人為疏忽造成信息安全事件的機(jī)率。而增加數(shù)據(jù)加密傳輸?shù)倪x項(xiàng)，同樣可增加黑客取得數(shù)據(jù)的難度，能有效保護(hù)商業(yè)機(jī)密的安全。

善用原碼檢測服務(wù) 可降低軟件漏洞風(fēng)險(xiǎn)

長期觀察App信息安全問題的果核數(shù)字營運(yùn)長許武先指出，Google Play平臺上惡意App泛濫主因，在于Android系統(tǒng)選擇Java作為開發(fā)語言，在軟件完成開發(fā)后，并不會(huì)直接將原始碼編譯成的機(jī)械碼，以致于存在易被反編譯的弱點(diǎn)。換句話說，黑客能夠通過逆向工程取得原始碼的方式，找出應(yīng)用程序的漏洞或弱點(diǎn)，再將該App植入惡意軟件之后，重新放上Google Play平臺，誘騙消費(fèi)者在不知情下載安裝。當(dāng)然，黑客組織亦可直接采取攻破云端主機(jī)的模式，直接竊取平臺上的個(gè)人資料或商業(yè)機(jī)密。

根據(jù)果核數(shù)字的非正式統(tǒng)計(jì)，在Google play平臺上的前100大熱門游戲中，約有90個(gè)App皆有可被反編譯取得原始碼的弱點(diǎn)。另外，多數(shù)App設(shè)計(jì)師不熟悉軟件安全性的問題，導(dǎo)致App存在許多漏洞，自然無法阻擋免黑客組織的攻擊。為避免發(fā)生前述狀況，不少軟件業(yè)者會(huì)在App上架前，先委由第三方單位進(jìn)行原碼檢測，通過自行找出軟件漏洞并且進(jìn)行修補(bǔ)的方式，減少被黑客組織入侵的機(jī)率。

許武先認(rèn)為，原碼檢測或許可以找出程序代碼中的漏洞，但并不代表開發(fā)人員有能力解決，而且也難保日后不會(huì)有新漏洞出現(xiàn)。所以有廠商直接采取可保護(hù)App安全的作法，讓App具備防止逆向工程、防止App遭篡改、阻擋偵錯(cuò)、惡意軟件植入、儲存數(shù)據(jù)加密等功能。如此一來，當(dāng)軟件遭到黑客強(qiáng)力破壞后，App中數(shù)字標(biāo)章便會(huì)自動(dòng)消失，云端應(yīng)用主機(jī)便會(huì)藉此辨識軟件安全與否，徹底杜絕黑客入侵的可能性。

在云端平臺選擇上，盡管多數(shù)公有云端服務(wù)業(yè)者都有提供基本防護(hù)能力，如防火墻等等，但在黑客入侵管道多樣化下，業(yè)者不妨依照應(yīng)用服務(wù)種類，額外租用威脅防護(hù)、數(shù)據(jù)加密、身份訪問控制、滲透測試等服務(wù)，通過多種信息安全設(shè)備協(xié)同合作的方式，能夠在發(fā)現(xiàn)惡意軟件入侵的當(dāng)下，立即阻斷相關(guān)連線作業(yè)，有效保護(hù)物聯(lián)網(wǎng)環(huán)境的安全。