勒索软件矛头指向IoT 恐产生更严重破坏性
持平而论,对于多数企业高端主管,「信息安全」虽然重要,也不能不做,但还称不上是关键项目;只因不管是感染病毒、蠕虫甚或APT恶意程序,也无论造成系统损毁或档案遗失,仍不到绝对致命程度;但近一年多年,随着勒索软件肆虐,主管们真的怕到了。
曾有人这麽形容,倘若将网际网络比喻为一个江湖的话,则物联网(IoT)就像是星辰大海,既庞大而且复杂,它确实带给人类莫大的便捷,但与此同时,也可能带来让人料想不到的风险。
不难理解,犹如星辰大海的物联网,就好比一个巨大无比的母体,将多数人包围在其间,不断感知个中每一个人的行为,连带也影响他们的一举一动;而当你的行为被感知、动被捕捉,随之而来的,就是一系列符合你的偏好或需求的衣食住行育乐等各式商品、服务,透过网际网络与你产生连结。
尽管藉由上述连结,在多数时候,确实让你享有很大的便利性,然而一旦有人已经盯上你,对你图谋不轨,那麽他就可以透过前面提到的商品或服务,埋藏恶意程序或错误信息,接着经由网际网络传递给你,继而对你造成难以逆料的伤害。
入侵穿戴式装置 个人隐私全都露
最显而易见的伤害,便是个人隐私信息的外泄。美国一所知名大学的研究人员,曾经提出一份有关IoT安全的报告,指称黑客可能将矛头转向智能手表,藉由个中的运动传感器,来得知你利用键盘所输入的种种内容,当然也包括了你在网络银行的帐号口令;如此一来,黑客不必再像从前一般必须费心做暴力破解,便可轻松地从你的户头搬走钱,或是利用网购买了一堆高价商品,却指定由你的帐户来买单。
细数IoT对于个人的安全威胁,若谈到钱财流失,除了上例外,还有一种情况,如果有人利用智能手环量测其健康信息,进而上传到云端服务器,而黑客看准这一点,便在数据传送的过程中予以监视,借此得知目标对像是否进入深度睡眠状态,如果是,即将此信息告知窃贼,由窃贼潜入目标对象的处所进行盗窃;假使谈到其他伤害,即是用以提供线上照护的智能摄影机,在满足看护需求之余,也等于是将受照护者的家中状况,一五一十曝露在网际网络之上。
更可怕的伤害,则是取人性命。不少人都听说过,首次演绎如何让ATM吐钞的白帽黑客Barnaby Jack,在2013年意外猝逝之前,曾预告将在全美黑客年会上,表演如何入侵目标对象所采用的心律调节器,只要成功入侵,那麽即使他距离目标对象长达十余公里之远,仍可以藉由无线通讯的方式控制心律调节器,释放830V电压,让目标对象为之惨死。
虽然随着Barnaby Jack离世,使得这场线上杀人的模拟秀并未如期上演,但依旧可以肯定,以当前若干黑客的技术能力而言,要想入侵任何病患所配带的心律调节器、胰岛素泵、药物输液泵或其他医疗相关设备,继而做到千里之外杀人于无形,其实是有机会的,此乃由于,这些装置皆开启了蓝牙或Wi-Fi等联网功能,等于为黑客提供一个布放恶意程序的管道。
医疗设备遭攻击 千里外杀人于无形
除了心律调节器外,胰岛素泵或药物输液泵一旦遭到入侵,后果同样不堪设想。以药物输液泵为例,黑客只要入侵得逞,便能够从线上控制药物剂量,让病患陷入存亡续绝的重大危机,严重性可见一斑。
另一个惊悚例子,发生在去年(2015)。一对技艺高超的黑客夫妇创造一种技术,足以让攻击者藉由TrackingPoint自动瞄准狙击步枪的Wi-Fi连接,进而成功入侵,接着利用狙击步枪软件中的弱点,修改瞄准计算中的变量,使得狙击步枪「无缘无故」失去准头,甚至永久关闭瞄准系统,让该步枪丧失自动开火的能力。
或许很多人会为之纳闷,黑客千方百计入侵狙击步枪,怎麽可能只是基于一份佛心,让狙击步枪再也不会瞄准、甚或不会自动开火,无法继续轻易取走人类或其他生物的生命;没有错,黑客并不存在这般佛心,所以故事还没结束,黑客会把变动(含括风速、风向、温度与弹药重量)传入瞄准系统,使得狙击步枪不再指向预定目标,而是依照黑客所设置的目标进行发射。
这个例子,不论对于TrackingPoint原厂或其他有意发展IoT设备的公司,无疑都具有发人深省的意义,因为纵然有再好的创意巧思,真的设计出前所未见的新颖产品,皆可能面临前所未有、而且难以想像的信息安全挑战。
不过问题来了,一般IoT装置不比电脑,不论针对运算能力、储存空间等部分,都明显较电脑弱了许多,不但称不上是适合恶意软件执行的好环境,还可能连跑都跑不动;看到这里,或许不少人都松了一口气,原来传说中黑客利用IoT途径窃取个人私密信息,甚至在线上杀人于无声无息,付诸实现的机率并不大,所以也无须穷紧张。
勒索软件轻盈灵巧 可依附在IoT设备执行
但如果你真的这麽想,那可就低估了黑客的企图心与能力。黑客比你还清楚恶意软件的体态是否过大,也一直想尽办法使之缩小,但如果缩减的幅度有限,也不见得会因而放弃发动攻击,此路不通,就走别的路,犹如此时此刻正大行其道的勒索软件,无疑就是黑客眼中的绝佳素材。
事实上,勒索软件的体态非常轻盈,不过是几条指令搭配一个加密演算法,要依附在前述不管是智能手环、智能手表、心律调节器等IoT装置,并无太大问题。
一直以来,多数人面对信息安全议题时,其实未必怀抱着高度的忧患意识,只因为这些恶意攻击行为,再怎麽样都威胁不了人命,既然如此,就无需为了它而惶惶不安,尤其面对IoT网安问题,忧患意识会更低;然而一旦勒索软件入侵IoT设备,网络犯罪便有机会与人命产生关联性,再也无法置之不理。
勒索软件与人命安全有何关系?设想一个情境,黑客成功将勒索软件送进医疗设备,使该设备无法继续正常操作,在此同时也发了一电子邮件给受害者,扬言受害者必须在期限内支付一定数量的比特币,才能解开原本的加密,让设备恢复运作,否则期限一到,该医疗设备永远形同废物,再也无法发挥任何功能。如果这套医疗设备具有昂贵、稀有、难以立即重新取得…等等种种特质,而受害者必须长期仰赖它才能维持稳定的生命迹象,那麽勒索软件与人命安全之间,就有了不小的关联性。
如何避免勒索软件入侵IoT装置?发生在一般电脑应用场域,人们还可以藉由数据备份方式来消极因应,至于IoT装置,似乎连消极因应的空间都没有,既然如此,使用者只能选择利用正统网络安全防御的手法,与攻击者直接对决。
主要是因为,黑客不管发动任何恶意攻击,包括病毒感染、APT或勒索软件…等等全都一样,都不可能这一秒植入、下一秒马上发作,必须历经一段过程,也就是说,如果在黑客发动致命攻击之前的酝酿期间,使用者便已掌握到恶意活动的症候,明显违背了缺省的正常行为基准线,就有机会出手制止,适时将黑客扫地出门,也让勒索软件没有办法发挥作用。