酒駕肇事讓人痛恨，但每一個潛在肇事者都自認上路沒問題，這跟資訊安全問題其實很像，只不過我們多半更沒戒心，即使許多單位的資安情形比酒精中毒還嚴重。剛結束的第十一屆的 HITCON (Hacks in Taiwan Conference) 台灣駭客年會於 8/26 至 8/29 舉行，今年 HITCON 以「Security of Things」，希望在這個物聯網 (Internet of Things) 的時代，增進大眾對於聯網設備的安全意識。會議內容對外行人來說非常高深，因此 PunNode 試著「科普」一下，與各位分享 PunNode 覺得很有收穫的講座內容。

我們真的有從駭客攻擊事件中學到教訓嗎？

在相關領域深耕多年的日本資安專家 Shin Adachi 以 <Are We Making Cybersecurity Crisis? or How can We Stop Making Small Things Big?> 為題，他首先提到 1989 年出版的關於資安被破解的書《Cuckoo’s Egg》，「為什麼這本書裡說的事情，在 30 年後的今天仍然是我們迫切需要解決的問題？」

Shin Adachi 舉出幾個例子：根據 NetMarketShare 統計，WindowXP 現在依然有 12% 的市佔率，但微軟已在 2014 年終止對 XP 的所有支援；同樣的狀況也發生在 Window Service 2003 上，微軟在今年 7/14 停止對此版本的支援，卻還是有許多人在使用，這代表著日後官方推出的補丁不再支援 XP 和 Service 2003，程式漏洞將變得更危險。

另外，人們的輕忽也會帶來資安危機，2014 年世界盃球場保安上傳的一張照片中竟然意外公開了寫在牆上的 wifi 帳號及密碼；今年四月法國電台 TV5 遭到網路攻擊，也是因為密碼在電視畫面上被洩漏。Shin Adachi 提醒，我們尤其該注意個人智慧型手機，手機比電腦容易遺失，加上現在為了方便使用者，很多應用程式都設有資訊記憶、認證功能，往往造成更多資安問題。除了行動裝置，網路配置、公司權責分工 (如防火牆、子網路、人資資訊等)、事件紀錄與監控和外包服務 (如廠商的權限確認) 都是駭客的常見下手目標。

「萬物皆聯網」對安全專家而言代表著「萬物皆可駭」

趨勢科技的 Philippe Lin 在《Building Automation and Control:Hacking Subsidized Energy Saving System》講座中則提到，現在常見的智能建築控制系統 BACnet，在將硬體聯網的同時也讓資訊設定暴露在搜尋下。這些系統大部分為開放的網路架構，沒有認證加密、檢查完整性，趨勢科技可以直接搜尋到台灣有使用 BACnet 的裝置，甚至能夠對那些沒有設定密碼的系統下指令。以某個地下道的監控系統為例，他們能輕易透過掃描找到資訊，開關抽風機和監控電壓、電流等數據。(當然，這只是舉例，Philippe 強調：趨勢科技不會這樣做、你也千萬不要去調動修改其他企業組織的任何設定！)

Philippe 說，BACnet 現在已推出手機版，可遠端操控、修改，雖然便利卻也讓風險再次提升。他建議，使用這些系統時，除設定密碼，內部 IP、防火牆與 SDN 也都要定期升級。

提前做好資安防護工作，持續訓練與演習

BACnet 只是個例子，背後意味著物聯網帶來的資安問題日益嚴重，近年來發生的物聯網裝置入侵事件，主要源於以下幾點原因：

1. 硬體聯網後，即使在沒有使用的狀況下也會影響用戶

2. 疏於防範的使用者會威脅到整個網絡中的資安安全

3. 許多資訊接收後是傳送到未受保護的雲端平台

4. 人們對資安的忽視：全球物聯網系統應變小組有 23% 沒做任何防範措施

等事情發生才面對就太慢了，Shin Adachi 說，企業單位應該做好事前的資安防護工作，持續訓練、進行災難演習，同時和各方利害關係人保持聯繫，確保復原程序的速度，並在災害發生後檢討分析。物聯網的資安戰爭，就像這位日籍大師最後送給大家一段話：

知彼知己者，百戰不殆；不知彼而知己，一勝一負；不知彼不知己，每戰必殆。