勒索软件染指IoT 导致破坏性创新应用受挫？

随着非实名制的比特币现身，于焉化解黑客亟欲匿踪勒赎的难题，使得隐忍多年未流行的勒索软件，形成不可收拾的爆发之势。Bitcoin-gator

随着近期新闻披露，大家都已知道，台湾在5月份遭勒索软件感染的人次突破50万，改写历史新高，堪称是当前最令人惧怕的恶意活动；可曾想过，诸如勒索软件等如此刁钻诡谲的攻击型态，一旦缠上了以物联网为基础的创新应用，会发生何等灾难？

从来没有一种恶意程序，能够像勒索软件一般，早在3年前即已被网安研究人员发现行踪，但3年过去了，穷尽网安业界的努力，仍无法将之歼灭，反而随着变种技术日益精进，让其危害性愈来愈高，不仅个人受害，就连企业用户也开始惨遭荼毒，而这群用户的共同特徵，乃在于对业务停顿的容忍度都非常低，譬如医院便是典型之例。

2016年第一季期间，位在美国洛杉矶的好莱坞长老教会医疗中心(HPMC)，遭到勒索软件Ransomware侵袭，其核心营运系统因而瘫痪超过一个星期，在这段期间，举凡药剂、电脑断层扫瞄、实验室作业乃至日常文书作业全都被迫处于离线状态，导致医护人员无从查阅病患病历或检验结果，该院别无他法，只好选择将病情较为危急的患者，转送到其他医院进行治疗。

难承受营运中断的企业  易被黑客盯上

正所谓人命关天，这起网络攻击堪称是有史以来，与人命存续之间距离最近的时刻。根据HPMCCEO所述，黑客勒赎金额为40个比特币，依当时行情而论，等同于1.7万美元，看似不高，但对于以救人为天职的医疗院所来说，其代价却是无比沈重。

黑客之所以对HPMC出手，理由很简单，就是看准了医疗信息系统(HIS)不容中断，因此院方通常会乖乖付钱了事；既然如此，黑客不可能只对HPMC单一医院进行蹂躏，果不其然，位在德国的Arnsberg医院、Lukas医院，也相继沦为勒索软件的苦主，其后果也大同小异，同样将无纸化流程回归到纸本作业，仅能靠传真来传递医疗信息，同时导致许多已排定时程的手术活动，因而延期或转诊，更惨的是，受害医院也无力接受新病患。

事实上，近期颇为猖獗的勒索软件，不过是黑客经济商业模式当中的一种活动；除此之外，看似固若金汤的SWIFT系统，竟然惨遭黑客攻破，使黑客得以堂而皇之取得合法操作凭证，据以建立与提交SWIFT信息，进而冒充孟加拉央行，意图自该行位在联邦储备银行纽约分行帐户转出9.51亿美元，尽管黑客因为若干笔误而百密一疏，导致最终仅成功转出8,100万美元，但此笔金额对多数人而言，已算是穷其一生都未必赚得到的钜款，可谓骇人听闻。

可想而知，只要利之所趋，杀头生意一定有人做，更何况网络犯罪还是一门行藏不易败露、被杀头机率不高的好生意！因此勤业众信联合会计师事务所副总经理温绍群直言，网络诈骗年产值突破千亿元，已跃居第三大黑色产业，道理便在于此。

黑色产业链  平均月入8万美元

温绍群引述国外调查报告指出，当前透过地下网络黑色产业链模式，黑客月入8万美元已非难事。任何一名黑客，若以日平均点击恶意连接用户数20,000名为基础，假设工具攻击包的成功入侵机率为10%，受害者付费比率为0.5%，黑客向每名受害者索价300美元，则每天便可赚得3,000美元，一个月累积下来有90,000美元，再扣除攻击工具的取得成本大约5,900元，则平均每月净收入可望达到84,100元。综上所述，便不难让人理解，为何黑客对于勒索软件的关爱程度与日俱增了。

说起勒索软件，开始让人闻之色变的时间，算是2013年，只因当年CryptoLocker蓬勃兴起，堪称是黑客首次凭勒索软件嚐到甜头的第一年。事实上，别以为勒索软件是2013年才初来乍到的新攻击，它在2006年即已诞生，已历经10年光景。

不禁让人纳闷，既然勒索软件是本小利大的恶意活动，且10年前已现身，黑客早该靠它大肆为恶才是，为何这10年来鲜少听闻相关信息？先回顾2006年发生什麽事，当年一支名为TROJ_CRYPZIP.A的变种恶意程序，会查找受害电脑硬盘当中某些副档名的档案，接着把档案压缩成带有口令保护的压缩档，同时也将原始档案删除，此时使用者如果没有其他备份，又急于救回该档案的话，即需遵照黑客指示，付出300美元，才能取得解开压缩档的口令；但这个勒赎方式有其问题，只要是转帐，都意谓黑客行踪有迹可循，易造成事迹败露，所以很难蔚为风潮。

那麽，为什麽勒索软件可以在2013年开始重领风骚，而且益发让人猝不及防？究其主要症结，其实不在于透过加密程序绑架档案、要求支付赎金的整套模式，出现了什麽了不起的突破，而在于黑客取得勒索赎金的管道，产生莫大进化，亦即出现了极具匿踪效果的比特币，对黑客而言，既然拥有比特币如此安全又便利的金流管道，发动勒索软件攻击几乎等同万无一失，自然乐得靠它充实荷包。

勒索软件的下一步极可能是IoT装置

难道大家都对勒索软件无计可施？其实不然，许多CIO异口同声提出「备份」，彷佛备份就是对抗勒索软件的唯一防御措施。惟Palo Alto Networks技术顾问王信强说得好，面对网络威胁，应该用网络手法来解决，勒索软件是网络威胁，但备份却非网络手法，因此只想到用备份来减缓危害，是一种消极作为。

况且这般消极作为，或许在今天勉强可发挥一些作用，但随着时间演进，成效将逐渐递减；为什麽呢？因为展望下一步，勒索软件的肆虐范围，理当并不仅止于现今大家已经意识到的电脑、服务器等终端设备，而是无所不在的IoT装置，届时如果用户想靠备份力挽狂澜，恐怕没那麽容易。

换言之，任何一家新创公司，意欲透过其创意巧思搭配物联网技术，孕育出大受市场欢迎的创新应用服务，也可能随着勒索软件的干扰，而让整个大好江山变了调。试想，由于大量前端使用者的IoT装置遭勒索软件感染，被黑客要求支付赎金，否则便解不开某些关键功能；或是电池寿命随时被消耗殆尽、坠入不堪用的深渊；想当然尔，对于该项创新应用服务的品牌信誉，必然是重大伤害。

那麽何以断言勒索软件的黑客，一定会朝向物联网前进？理由也很简单，首先，经过几年下来在电脑或服务器领域的试炼，发现这个攻击模式不仅可行，而且颇具赚头，若能朝向部位更为庞大的IoT装置扩张基本盘，绝对称得上是美事一桩；其次，黑客若想染指物联网商机，则布放勒索软件的可行性，会比其他攻击程序要来得大，此乃由于，虽说IoT设备的安全设计普遍弱于一般个人电脑，看似黑客极易攻城掠地，但个中仍涉及一大盲点，意即IoT装置的运算能力与储存空间都相对狭小，而多数恶意软件又不具迷你身躯，所以很难登堂入室，但勒索软件不同，它仅含有一组加密演算法、几条简单命令，体态至为轻盈，欲潜进IoT装置并非难事。

可喜的是，黑客不管发动DDoS攻击、施放APT病毒，或植入勒索软件，都绝非一蹴可几，都必须历经威胁杀伤链，依循侦查、诱饵、重新导向、利用弱点、植入档案、回传数据等六道步骤，最终才能得手；所以企业只要藉助威胁智能云与安全闸道设备联防，再搭配端点防护方案，随时探查有无不合乎缺省正常行为基线的活动症候，就很有机会在黑客得手前，成功阻断其攻击。