切勿轻视物联网的安全
日期 : 2018年11月30日
作者 : 网络安全精英嘉许计划2017金奖得奖者郭夕霞小姐
物联网发展迅速
「物联网」Internet of Things (IoT)的构想最早在微软创办人比尔盖兹于1995年出版的《未来之路》(The Road Ahead)一书中出现。当时幻想中的智能家居,所有家庭大小电器,以至照明系统、家俬,都可以连线和沟通。随着科技发展,书中情节逐渐实现。智能电话的出现与普及令物联网装置的数量迅速飊升。时至今日,全球估计有超过100亿个使用中的物联网装置。只要一机在手,就可以随时随地监测和遥控家中设备。与此同时,物联网的应用,亦从个人层面的智能家居、汽车系统、健康监测,逐步延伸至社会层面,有助发展智慧城市,甚至引发大规模工业生产的变革。
保安追不上,黑客有机可乘
物联网装置市场庞大,竞争也十分激烈。其装置产品五花八门,厂商为了节省成本和缩短推出市面的时间,往往忽略了产品的网络保安功能。事实上,物联网装置的用户、装置设备本身、连接装置至云端数据库的互联网、当中涉及的应用程式、终端设备和用户等,环环相扣,每一部份都可成为黑客的攻击对象。
简单来说,目前物联网系统的保安问题主要包括:系统本身的保安漏洞,令黑客可以透过执行程式,遥距控制物联网装置;另外,装置出厂时只提供少量保安措施,甚至没有提供任何保护,例如预设开放不必要的服务(例如FTP),别有用心的黑客自然一击即中;就算产品有预设登入密码,预设的密码亦过于简单,如用户没有更改密码,便很容易被撞破;最后就是用户教育方面做得不足,很多产品缺乏严正警告,提醒用户定期更改密码和更新软件,而用户对于保安意识薄弱,往往忽略保护措施,让黑客有机可乘。
物联网保安措施
根据物联网保安研究报告,暂时并没有单一的解决方案,足以完全杜绝黑客的恶意攻击,以及随之衍生的用户钱财损失和敏感资料外泄,甚至广泛的物联网服务中断所引起的社会乱局。
针对网络犯罪活动,业界与用户必须同心协力,应付物联网的保安问题。首先从基本做起,为物联网系统设置保安措施,例如防毒软件、防恶意攻击软件、防火墙、系统及网络监察等,并定期更新软件和病毒定义。
同时,用户方面要做好防御措施。设置物联网装置时往往需要登入户口,除了用户名称和密码,亦可使用双重认证(2FA即2-Factor Authentication),例如电子证书和生物特征辨析。大部份物联网装置均有预设密码,用户使用前最好阅览一次所有设置,更改预设密码,而更改密码时最好使用复杂的组合,避免使用过于简单的字串作为密码。同样地,装置上如有预设服务,例如FTP, TELNET等,这些均为没有加密的服务,如没有必要使用,应关闭这些服务。大部份装置均设有记录(logging)功能,通常预设为关闭状态。建议启用记录功能,并定期翻看记录以侦测可疑的活动。
当物联网需要连接网络作遥距使用时,如没有加密措施,则所传输的资料容易被窃看甚至窜改。尤其现今大部份物联网采用网页或手机应用程式作为遥控介面,要减低资料被窃看导致外泄的风险,应为物联网实施加密,包括终端设备和后勤系统。现时普遍使用HTTPS协定,然而以往所采用的SSL 2.0和SSL 3.0加密技术已知有保安漏洞,业界已不建议使用SSL,取而代之的是TLS。随后,TLS 1.0亦被发现有保安漏洞。根据PCI安全标准,2018年6月30日后不可启用TLS 1.0,应使用TLS 1.1或以上版本。此外,物联网内的所有加密措施,应配合加密锁生命周期管理,适时进行加密更新,才可避免加密的效用随着时间降低。
大数据、人工智能(AI即Artificial Intelligence)、区块链、智慧城市等均是热门话题,亦能够与物联网紧密联系。譬如为物联网的安全状态进行人工智能分析,包括收集、整合、监测来自物联网设备的大数据,一旦发现物联网系统的活动偏离常态,即自动发出警报和行动指引。再者,区块链可融合物联网。由于物联网装置和平台较零散,供应商各有标准和规范,技术、支援、发展的互通性较低,亦缺乏弹性。区块链技术正好填补物联网这些方面的缺陷,为各方的装置互通建立信任关系,化解各供应商的装置的互通限制。物联网的应用范围广泛,除了涵括日常生活常用的装置,它亦是建设智慧城市的重要部份。总括来说,应用新技术,持续改进,加强保安,相信物联网的发展可一日千里。
延伸阅读:
- TechRadarTM: Internet Of Things Security, Q1 2017
- PCI Security Standards Council: Are You Ready for 30 June 2018? Saying Goodbye to SSL/early TLS
- HKCERT: SSL/TLS通讯保密协议保安指引
- 智慧城市与物联网