Pay Attention to the Safety of IoT (Chinese Version Only)
Date : 30 Nov 2018
Writer : Ms. Billie KWOK, Gold Winner of Cyber Security Professionals Awards 2017
物聯網發展迅速
「物聯網」Internet of Things (IoT)的構想最早在微軟創辦人比爾蓋茲於1995年出版的《未來之路》(The Road Ahead)一書中出現。當時幻想中的智能家居,所有家庭大小電器,以至照明系統、傢俬,都可以連線和溝通。隨著科技發展,書中情節逐漸實現。智能電話的出現與普及令物聯網裝置的數量迅速飊升。時至今日,全球估計有超過100億個使用中的物聯網裝置。只要一機在手,就可以隨時隨地監測和遙控家中設備。與此同時,物聯網的應用,亦從個人層面的智能家居、汽車系統、健康監測,逐步延伸至社會層面,有助發展智慧城市,甚至引發大規模工業生產的變革。
保安追不上,黑客有機可乘
物聯網裝置市場龐大,競爭也十分激烈。其裝置產品五花八門,廠商為了節省成本和縮短推出市面的時間,往往忽略了產品的網絡保安功能。事實上,物聯網裝置的用戶、裝置設備本身、連接裝置至雲端數據庫的互聯網、當中涉及的應用程式、終端設備和用戶等,環環相扣,每一部份都可成為黑客的攻擊對象。
簡單來說,目前物聯網系統的保安問題主要包括:系統本身的保安漏洞,令黑客可以透過執行程式,遙距控制物聯網裝置;另外,裝置出廠時只提供少量保安措施,甚至沒有提供任何保護,例如預設開放不必要的服務(例如FTP),別有用心的黑客自然一擊即中;就算產品有預設登入密碼,預設的密碼亦過於簡單,如用戶沒有更改密碼,便很容易被撞破;最後就是用戶教育方面做得不足,很多產品缺乏嚴正警告,提醒用戶定期更改密碼和更新軟件,而用戶對於保安意識薄弱,往往忽略保護措施,讓黑客有機可乘。
物聯網保安措施
根據物聯網保安研究報告,暫時並沒有單一的解決方案,足以完全杜絕黑客的惡意攻擊,以及隨之衍生的用戶錢財損失和敏感資料外泄,甚至廣泛的物聯網服務中斷所引起的社會亂局。
針對網絡犯罪活動,業界與用戶必須同心協力,應付物聯網的保安問題。首先從基本做起,為物聯網系統設置保安措施,例如防毒軟件、防惡意攻擊軟件、防火牆、系統及網絡監察等,並定期更新軟件和病毒定義。
同時,用戶方面要做好防禦措施。設置物聯網裝置時往往需要登入戶口,除了用戶名稱和密碼,亦可使用雙重認證(2FA即2-Factor Authentication),例如電子證書和生物特徵辨析。大部份物聯網裝置均有預設密碼,用戶使用前最好閱覽一次所有設置,更改預設密碼,而更改密碼時最好使用複雜的組合,避免使用過於簡單的字串作為密碼。同樣地,裝置上如有預設服務,例如FTP, TELNET等,這些均為沒有加密的服務,如沒有必要使用,應關閉這些服務。大部份裝置均設有記錄(logging)功能,通常預設為關閉狀態。建議啟用記錄功能,並定期翻看記錄以偵測可疑的活動。
當物聯網需要連接網絡作遙距使用時,如沒有加密措施,則所傳輸的資料容易被竊看甚至竄改。尤其現今大部份物聯網採用網頁或手機應用程式作為遙控介面,要減低資料被竊看導致外洩的風險,應為物聯網實施加密,包括終端設備和後勤系統。現時普遍使用HTTPS協定,然而以往所採用的SSL 2.0和SSL 3.0加密技術已知有保安漏洞,業界已不建議使用SSL,取而代之的是TLS。隨後,TLS 1.0亦被發現有保安漏洞。根據PCI安全標準,2018年6月30日後不可啟用TLS 1.0,應使用TLS 1.1或以上版本。此外,物聯網內的所有加密措施,應配合加密鎖生命周期管理,適時進行加密更新,才可避免加密的效用隨著時間降低。
大數據、人工智能(AI即Artificial Intelligence)、區塊鏈、智慧城市等均是熱門話題,亦能夠與物聯網緊密聯繫。譬如為物聯網的安全狀態進行人工智能分析,包括收集、整合、監測來自物聯網設備的大數據,一旦發現物聯網系統的活動偏離常態,即自動發出警報和行動指引。再者,區塊鏈可融合物聯網。由於物聯網裝置和平台較零散,供應商各有標準和規範,技術、支援、發展的互通性較低,亦缺乏彈性。區塊鏈技術正好填補物聯網這些方面的缺陷,為各方的裝置互通建立信任關係,化解各供應商的裝置的互通限制。物聯網的應用範圍廣泛,除了涵括日常生活常用的裝置,它亦是建設智慧城市的重要部份。總括來說,應用新技術,持續改進,加強保安,相信物聯網的發展可一日千里。
延伸閱讀:
- TechRadarTM: Internet Of Things Security, Q1 2017
- PCI Security Standards Council: Are You Ready for 30 June 2018? Saying Goodbye to SSL/early TLS
- HKCERT: SSL/TLS通訊保密協議保安指引
- 智慧城市與物聯網