坐享智能生活之余 亦需严防IoT安全威胁 智能应用 影音
EVmember
Event

坐享智能生活之余 亦需严防IoT安全威胁

  • DIGITIMES企划

为驾驶人提供安全的驾驶辅助,向来是车联网发展目的之一;殊不知水能载舟、亦可覆舟,倘若车载系统遭黑客入侵,反倒可能导致驾驶人陷入致命危机。来源:Gartner
为驾驶人提供安全的驾驶辅助,向来是车联网发展目的之一;殊不知水能载舟、亦可覆舟,倘若车载系统遭黑客入侵,反倒可能导致驾驶人陷入致命危机。来源:Gartner

综合各家IT大厂、知名研究机构的预测,从现在开始迄至2020年,将会是第一波的物联网(IoT)爆发期,单就每一个人而论,身上至少拥有3?4个物件具联网能力,共计在全球造就500亿个联网装置,因而汇聚为庞大商机,也难免成为黑客觊觎的目标。

甫于年初落幕的世界经济论坛(WEF),发布「2016年全球风险报告」,个中有一些话语相当发人深省,包括「网际网络已开启一片新的战争领域,与网络对接乃至相关的一切,皆可被突破」,及「物理距离已无法提供足够保护,大量技术存在两面性,许多重要的基础设施为私有资产,具有难于追踪的特性,使得我们甚难掌握攻击活动的来源」。

更重要的,WEF的全球风险报告,有一席话犹如当头棒喝,足以让人看了冷汗直流,意即「对于技术方案的认知匮乏,及因应相关风险的处理能力低落,特别在于网络风险、或关键性信息基础设施破坏所带来的系统性连锁效应,极可能为国家经济、各个经济组织甚或全球企业,带来深远影响」。

综上所述,根据WEF邀集全球数百位顶尖专家的认定,举凡大规模网络攻击、数据造假与偷窃等安全危机,恐将致令关键性信息基础设施与网络为之崩溃,因此网络安全威胁对于地球环境的杀伤力,堪与通货紧缩、气候变迁、粮食危机、传染性疾病扩散、大规模杀伤性武器、国家间冲突等其他危害项目等量齐观;而这也是WEF首度将网络攻击的严重程度,拉升至如此高的层级。

网络攻击风险  为国家与企业带来深远影响

或许有人认为,WEF似乎有些小题大作、危言耸听,然而一旦仔细斟酌其为何将网络攻击列为如此严重的风险,便不难看出个中蹊跷。其中最根本的症结点,乃在于人类对于网络的依赖性与时俱进,甚至已经「积重难返」,使得网络攻击可能带来的潜在风险,一天比一天还大,尤其伴随物联网带来人与机器之间更紧密的沟通联系,更大幅强化了网络攻击机率、以及对整个网络生态系统的潜在连锁效应;在此前提下,美国已将网络攻击风险视为头号威胁,另外包括德国、日本、瑞士乃至新加坡等多个国家,亦把网络攻击列为企业领导者最关注的顶级威胁,似乎并不为过。

进入物联网时代,不仅每个人身上的手机、手表、手环、眼镜、鞋子、衣服甚至皮包,都将逐一转化为联网物件,少则3?4个、多则7?8个,这还不打紧,每个家庭当中,尚有电脑、电视、冰箱、电锅、冷气、电表、瓦斯表、水表、智能插座等联网物件,光是这一些,看在黑客的眼里,已然称得上是值得怦然心动的题材了,更何况在户外还有车联网、智能工厂、智能零售、智能医疗、区块链(Blockchain)、智能城市、智能电网…等等极其丰富的「商机」。

因此尽管IoT因为具备更多的方便性、移动性与创新科技,从而教人兴奋不已,但它形同两面刃,也可谓孕育网络犯罪的顶级天堂,着实值得人们高度警惕。

事实上,物联网时代可能引爆的网安威胁,甚至会比过往PC时代还要来得巨大,主要是因为,深究绝大多数物联网装置的设计目的,通常都起源于特定功能,讲究轻巧便携与低能耗,与PC包山包海的特性大不相同,正因为如此,物联网装置体态相对狭小,并不具有太强大的运算能力与储存空间,所以意欲在设备本身融入安全机制,难度实在不小;举例来说,要让设备在接收或传输数据时,进行双向认验证,便有现实上的困难性。

IoT安全与实用之间  犹难建立最佳平衡

所以已经有不少网安专家,对于如何在物联网的安全与实用之间找到最佳平衡,感到不甚乐观,也因而忧心忡忡。其中最让网安专家深感忧虑的,便是车联网安全,只因为此事与多数民众的日常生活息息相关。

回顾近3年来,已经不只一次,出现知名车厂因为软件漏洞而发出召回令,例如某次是因为车上的触控屏幕存在着严重弱点,可能让黑客有机可乘,针对该车辆进行线上控制;事实上,某个以C字眼开头的知名系列跑车,其安全系统不仅止于出现漏洞,而是已经遭到黑客攻破,可轻易从线上操控其煞车系统,试想,由于煞车系统攸关人命,这是多麽让人惊惧的事实?

除此之外,个人数据与隐私的安全,也将因物联网时代的到来,因而面临前所未见的巨大考验。综观时下运动达人,举凡运动手环,计步器与移动运动设备,都已成为时尚必备品,尽管这些达人对于运动普遍在行,但隔行如隔山,对信息安全风险意识,普遍并不到位,便可能使得诸多风险油然而生。

全球闻名的第三方信息安全检测机构AV-Test,过去即特别测试了个人健身数据,如何从这些设备传递至智能手机与云端服务器,也同时测试手机健身追踪应用的安全性。

结果显示,使用者的运动数据皆会被记录,并透过随身智能手机上的APP进行分析,从而一目了然地反应该使用者的健身情况,细数个中潜藏的安全风险,则包括了数据传输过程的安全性,黑客不管是透过途中的拦截,或预先窜改手机应用程序,有许多途径,都能帮助他们如愿窃取这些健身数据。

当然,许多运动达人,并不认为自己的健身数据多麽值钱,值得黑客如此大费周章进行偷窃;但他们可能忽略掉,窃取这些健身数据,对于身怀一定技术能力的黑客来说,根本犹如小菜一碟,完全谈不上大费周章,况且这些信息也绝不像他们自认的如此无价,比方说,此信息对于保险公司便深具价值,可用以进行产品设计与广告推销,更可怕的是,这些信息足以反映使用者的运动习惯,假使被犯罪分子取得,即可据此推测使用者铁定不在家的时间,接着登堂入室搜括财物。

欲消弭物联网威胁  有赖供应商纳入安全设计

更有甚者,为广大使用者提供服务的企业,其责任不仅在于全力保护自身数码资产,在此同时,亦需连带保护他们的客户与员工之数据安全,不容许任何个资或隐私,是因为企业一时的粗心大意而流失,只要不慎发生此事,对于商誉与形象冲击之大,甚至会大到足以动摇经营根基;然而随着物联网装置大量应运而生,将逼使企业必须与黑客进行攻防的点,骤然增加数倍、数十倍之多,顾此失彼的机率提高不少,所以对于众多有责任保护员工或客户个资的企业而言,物联网肯定如同一场挥之不去的恶梦。

值得留意的是,物联网装置遭到黑客入侵得逞的机率,也比PC大上许多,因为这些装置不仅采用大量开源函式库,也引用了还未臻成熟之境的UPnP等通讯协定,更重大的问题在于设计者普遍未纳入安全考量,所以当这些产品遭到破坏时,也不会触发任何回应机制。

那麽如何提高物联网安全?专家呼吁,物联网装置供应商必须将安全列为产品设计的要素,相对来说,消费者亦需提升安全意识,在选购产品时特别留意其安全强度,进而反向给予供应商压力,驱使他们自知上紧发条、不容懈怠,藉以形成正向循环,带动物联网安全的大幅起飞。

另外,政府机关也有责任协助设立物联网安全测试平台,甚至不排除建立专责机构,针对各个不同垂直产业的物联网应用,订定不同的安全防护标准,接着依据这些标准,树立严谨的安全测试规范,久而久之,必定可有效提高黑客入侵的门槛。