勒索软件矛头指向IoT 恐产生更严重破坏性

黑客若能透过植入恶意程序，而从线上控制心律调节器，便有可能藉由释放不正常电压，让该设备丧失正常心律调节功能，无声无息将受害者推向死亡威胁。来源：University of Rhode Island

持平而论，对于多数企业高端主管，「信息安全」虽然重要，也不能不做，但还称不上是关键项目；只因不管是感染病毒、蠕虫甚或APT恶意程序，也无论造成系统损毁或档案遗失，仍不到绝对致命程度；但近一年多年，随着勒索软件肆虐，主管们真的怕到了。

曾有人这麽形容，倘若将网际网络比喻为一个江湖的话，则物联网(IoT)就像是星辰大海，既庞大而且复杂，它确实带给人类莫大的便捷，但与此同时，也可能带来让人料想不到的风险。

不难理解，犹如星辰大海的物联网，就好比一个巨大无比的母体，将多数人包围在其间，不断感知个中每一个人的行为，连带也影响他们的一举一动；而当你的行为被感知、动被捕捉，随之而来的，就是一系列符合你的偏好或需求的衣食住行育乐等各式商品、服务，透过网际网络与你产生连结。

尽管藉由上述连结，在多数时候，确实让你享有很大的便利性，然而一旦有人已经盯上你，对你图谋不轨，那麽他就可以透过前面提到的商品或服务，埋藏恶意程序或错误信息，接着经由网际网络传递给你，继而对你造成难以逆料的伤害。

入侵穿戴式装置  个人隐私全都露

最显而易见的伤害，便是个人隐私信息的外泄。美国一所知名大学的研究人员，曾经提出一份有关IoT安全的报告，指称黑客可能将矛头转向智能手表，藉由个中的运动传感器，来得知你利用键盘所输入的种种内容，当然也包括了你在网络银行的帐号口令；如此一来，黑客不必再像从前一般必须费心做暴力破解，便可轻松地从你的户头搬走钱，或是利用网购买了一堆高价商品，却指定由你的帐户来买单。

细数IoT对于个人的安全威胁，若谈到钱财流失，除了上例外，还有一种情况，如果有人利用智能手环量测其健康信息，进而上传到云端服务器，而黑客看准这一点，便在数据传送的过程中予以监视，借此得知目标对像是否进入深度睡眠状态，如果是，即将此信息告知窃贼，由窃贼潜入目标对象的处所进行盗窃；假使谈到其他伤害，即是用以提供线上照护的智能摄影机，在满足看护需求之余，也等于是将受照护者的家中状况，一五一十曝露在网际网络之上。

更可怕的伤害，则是取人性命。不少人都听说过，首次演绎如何让ATM吐钞的白帽黑客Barnaby Jack，在2013年意外猝逝之前，曾预告将在全美黑客年会上，表演如何入侵目标对象所采用的心律调节器，只要成功入侵，那麽即使他距离目标对象长达十余公里之远，仍可以藉由无线通讯的方式控制心律调节器，释放830V电压，让目标对象为之惨死。

虽然随着Barnaby Jack离世，使得这场线上杀人的模拟秀并未如期上演，但依旧可以肯定，以当前若干黑客的技术能力而言，要想入侵任何病患所配带的心律调节器、胰岛素泵、药物输液泵或其他医疗相关设备，继而做到千里之外杀人于无形，其实是有机会的，此乃由于，这些装置皆开启了蓝牙或Wi-Fi等联网功能，等于为黑客提供一个布放恶意程序的管道。

医疗设备遭攻击  千里外杀人于无形

除了心律调节器外，胰岛素泵或药物输液泵一旦遭到入侵，后果同样不堪设想。以药物输液泵为例，黑客只要入侵得逞，便能够从线上控制药物剂量，让病患陷入存亡续绝的重大危机，严重性可见一斑。

另一个惊悚例子，发生在去年(2015)。一对技艺高超的黑客夫妇创造一种技术，足以让攻击者藉由TrackingPoint自动瞄准狙击步枪的Wi-Fi连接，进而成功入侵，接着利用狙击步枪软件中的弱点，修改瞄准计算中的变量，使得狙击步枪「无缘无故」失去准头，甚至永久关闭瞄准系统，让该步枪丧失自动开火的能力。

或许很多人会为之纳闷，黑客千方百计入侵狙击步枪，怎麽可能只是基于一份佛心，让狙击步枪再也不会瞄准、甚或不会自动开火，无法继续轻易取走人类或其他生物的生命；没有错，黑客并不存在这般佛心，所以故事还没结束，黑客会把变动(含括风速、风向、温度与弹药重量)传入瞄准系统，使得狙击步枪不再指向预定目标，而是依照黑客所设置的目标进行发射。

这个例子，不论对于TrackingPoint原厂或其他有意发展IoT设备的公司，无疑都具有发人深省的意义，因为纵然有再好的创意巧思，真的设计出前所未见的新颖产品，皆可能面临前所未有、而且难以想像的信息安全挑战。

不过问题来了，一般IoT装置不比电脑，不论针对运算能力、储存空间等部分，都明显较电脑弱了许多，不但称不上是适合恶意软件执行的好环境，还可能连跑都跑不动；看到这里，或许不少人都松了一口气，原来传说中黑客利用IoT途径窃取个人私密信息，甚至在线上杀人于无声无息，付诸实现的机率并不大，所以也无须穷紧张。

勒索软件轻盈灵巧  可依附在IoT设备执行

但如果你真的这麽想，那可就低估了黑客的企图心与能力。黑客比你还清楚恶意软件的体态是否过大，也一直想尽办法使之缩小，但如果缩减的幅度有限，也不见得会因而放弃发动攻击，此路不通，就走别的路，犹如此时此刻正大行其道的勒索软件，无疑就是黑客眼中的绝佳素材。

事实上，勒索软件的体态非常轻盈，不过是几条指令搭配一个加密演算法，要依附在前述不管是智能手环、智能手表、心律调节器等IoT装置，并无太大问题。

一直以来，多数人面对信息安全议题时，其实未必怀抱着高度的忧患意识，只因为这些恶意攻击行为，再怎麽样都威胁不了人命，既然如此，就无需为了它而惶惶不安，尤其面对IoT网安问题，忧患意识会更低；然而一旦勒索软件入侵IoT设备，网络犯罪便有机会与人命产生关联性，再也无法置之不理。

勒索软件与人命安全有何关系？设想一个情境，黑客成功将勒索软件送进医疗设备，使该设备无法继续正常操作，在此同时也发了一电子邮件给受害者，扬言受害者必须在期限内支付一定数量的比特币，才能解开原本的加密，让设备恢复运作，否则期限一到，该医疗设备永远形同废物，再也无法发挥任何功能。如果这套医疗设备具有昂贵、稀有、难以立即重新取得…等等种种特质，而受害者必须长期仰赖它才能维持稳定的生命迹象，那麽勒索软件与人命安全之间，就有了不小的关联性。

如何避免勒索软件入侵IoT装置？发生在一般电脑应用场域，人们还可以藉由数据备份方式来消极因应，至于IoT装置，似乎连消极因应的空间都没有，既然如此，使用者只能选择利用正统网络安全防御的手法，与攻击者直接对决。

主要是因为，黑客不管发动任何恶意攻击，包括病毒感染、APT或勒索软件…等等全都一样，都不可能这一秒植入、下一秒马上发作，必须历经一段过程，也就是说，如果在黑客发动致命攻击之前的酝酿期间，使用者便已掌握到恶意活动的症候，明显违背了缺省的正常行为基准线，就有机会出手制止，适时将黑客扫地出门，也让勒索软件没有办法发挥作用。