近年来物联网 IoT 的发展越来越夯,然而制造商普遍欠缺资安威胁的防范,在骇客的攻击下,IoT 可能从 Internet of Things 变成 Internet of Threats。也许你以为那又如何?就算 Insecam 计划揭露全球IP Cam 不设防,家中隐私被看光光;智慧电冰箱跟你要钱,不给钱就不给糖;智慧电灯被骇灯乱闪、智慧门铃整晚吵;骇客透过说话玩偶跟你家小朋友聊聊天说说故事,啊就把装置关掉或者不鸟他们就没事啦,根本不痛不痒。如果你真这么想,那就大错特错。9 月 6 日在台湾举行的 CLOUDSEC 2017 企业资安高峰论坛上,趋势科技发表 IoT 资安威胁的前瞻研究成果,显见物联网装置被犯罪者用作实体攻击的真实威胁。
近未来寓言
笔者来说个故事,试想像你是某园区的电子新贵,有天早上,你就像平常例行公事,起床、梳洗、更衣,出门买个早餐,就坐上接驳车去上班。接驳车陆续经过各站,最后满载各公司的员工,只见大家自顾自打开手机,或是浏览著网站或者玩着喜欢的游戏,没有人关注窗外景色。反正都是一成不变的风景,又有啥好看的呢?然而无人留意到今天的交通车换上了新司机。
“奇怪?不是半小时就到公司了吗?”,于是你打开了 Google map 来看现在的位置,蛮正常的啊,原来快到园区了。不疑有它的你,就继续切回游戏继续神游,接着司机还广播跟大家说,今天额外要去新开的点载人,抬头一看,瞥见窗外的景色好像跟以往有点不一样,这样时间稍微久一点也说得过去了,然后你觉得太阳有点刺眼,就拉上窗帘。
交通车继续开着,玩着全屏幕游戏的你开始觉得奇怪了,时间感好像不太对,坐车是不是快一小时了?于是把手机切回主画面,看看时间,疑?应该是 9 点了啊,怎还是 8 点刚出门的时候?事有蹊翘,再打开 Google map 一看,“我在俄罗斯?怎么可能!”,接着你猛抬头,拉开窗帘看窗外,虽不是冰天雪地,却到了偏僻乡间,随即车子驶入一个大仓库停了下来。接着车门打开,一个手持冲锋枪的蒙面男子走上车,这时你才恍然大悟之前的 GPS 讯号是假的,甚至司机该不会也是假的?上车时,公司识别证“哔”过的那个 RFID 读卡机该不会固件也被窜改过?而这时司机刚好用广播点到你的名字了…
同一时间点,在行控中心,只见交通车已在园区内,刚走完所有的公司,现在该是空车回调度场的时候了。
到了中午,电视开始报导新闻—科学园区数间公司不少的工程师因不明原因旷职,也联络不到人,甚至交通车公司也发现数辆交通车没有回到调度场。再过几小时,有目击者在隔壁县的乡下地方发现那些交通车,而所有工程师全部从人间蒸发,不见踪影。而各公司开始发生 server 异常、机台异常、各单位有接不完的抱怨电话,整个园区陷入空转。
在几年前,这还只是电影的虚构情节,然而今日已成可进行式。趋势科技领先业界,揭示当今的资安盲点—当你只专注传统来自网络的攻击时,就忽略了物联网时代,还有来自其他途径的致命攻击,而且真的可能致命。
▲翻拍自电影《黑暗骑士》
多样化复合攻击威胁 IoT 的资安
就在台北国际会议中心,CLOUDSEC 2017 大会开场完紧接的第二个议程,趋势科技的资安研究员骆一奇先生 Live demo 了一段让现场 1000 多位与会者震撼不已的攻击示范—“GPS 劫持”。笔者大概描述过程,首先骆先生请所有与会者打开手机的地图 APP 与 GPS 功能 ,由于在室内,当然不可能收到来自天空的 GPS 卫星讯号,接着他开始控制一台无人空拍机起飞盘旋,然后骆先生表示现场骇客开始启动伪造 GPS 无线讯号盖台,旋不久,大屏幕显示地图定位竟然在北朝鲜的禁航区—军用机场,然后无人机就自动“被强制”降落下来了。
也许你以为说“啊,这可以用网络骗一骗,只不过是噱头罢了。”,骆先生接着提醒大家,除了看台上的无人机“被骗”,也别忘了检查你自己的手机。只见手机上的地图 APP 显示,会议室的位置也“被搬家”到北朝鲜去,不少人手机的时钟也跟着变成北朝鲜时间。
是的,就是这么奇妙,不是透过来自网络的攻击,就可以让一大群人集体来一趟北朝鲜奇幻漂流。更进一步,趋势科技为大家归纳了物联网时代,骇客能采用的多重攻击途径与手段:
- 物理性: 1. 网络交换器:(电影《不可能的任务》有出现过类似的) 2. usb 插孔:插 usb killer 让各种 3C 装置损毁,或者插入间谍 usb 随身碟让打印机与其他物联网装置的固件被窜改,变成机构单位内网的“内奸”跳板
- 无线通讯:除了传统的 WIFI、Bluetooth 以外,还包含 Z-wave、AM、FM、GPS 定位讯号、GSM
- 网络 1. IoT 装置内建的 Web server/client 2. 固件更新 3. 厂商的隐藏服务(后门)
- 人性漏洞 1. 网络钓鱼 2. 未修改的预设通用密码
更多的犯罪可能
所有欠缺资安防范的 IoT 装置,如无人机、无人自动车、智慧工厂、IP Cam 等等,都可能被骇客觊觎。旧时代的骇客,只是远端攻破某网站图个成就感,或者骇到倒楣公司的海量客户资料;现在的骇客则是走向利益化、实体犯罪化。例如去年的一银 ATM 大规模盗领案即为一例,透过这些复合攻击手段与多重标的,有心的犯罪集团得以进行实体破坏,例如:
- 自动车劫持:2008 年的电影《黑暗骑士》如果现在开拍的话,一开头的小丑就不用大费周章攻进银行,只要把银行的自动运钞车骇掉。虽然行控中心显示运钞车行驶在正确的路线上,实际上车子却自己开到小丑帮的巢穴,车上少少的一两位保全人员寡不敌众,就可以抢到一大笔钱了。
- 行车绑架:除了前述笔者描述的大宗绑架以外,小客车的绑架也有可能
- 在特定的街景地形,无人机莫名自动坠机砸伤甚至砸死人
- 劫持厂房工业用 IoT 装置:去年夏天,美国研究人员对发力发电公司进行资安演习,以物理入侵方式(破坏门锁)轻松进入该公司旗下一风力发电厂的网络机房,以小小一台 Raspberry PI 电脑,关掉五个风力发电厂的所有风力发电机
- 让特定有慢性病的重要人物失能甚至遇害—让他拿到错误的处方签吃错药而进医院,再因为被骇的打印机印出错误的医疗指示与病历,使得他被医死在手术台上,整个过程就像是普通的医疗疏失罢了(参考 HP 的打印机资安推广影片《狼》)
谍报电影、侦探电影、科幻电影与动画的天马行空情节现在都有可能发生,不再只是你的电脑中毒或者网站被骇那么简单。
趋势科技在 CLOUDSEC 2017 活动上,以数场议程揭示了这些新型态资安危机,也用现场摊位的形式,以专人解说且用 VR 装置让与会者体验新型态的被骇情境,提出针对 IoT 装置的多层面防护方案。如果你公司的物联网产品不设防,请向趋势科技寻求协助,更重要的,还是要具备资讯安全意识啰。
(首图来源:科技新报摄)
