萬物皆可聯網,萬物皆可駭 -《未來產業》
編按:日前,台灣的第一銀行盜領案,為警政和大眾投下一顆資安問題的震撼彈。在這個全球化和科技資訊流通快速的世界,安全隱私的配套措施呢?當物聯網時代速速來臨,我們的危機意識有沒有跟上腳步?
創新專家亞歷克.羅斯(Alec Ross)曾出任歐巴馬幕僚,擔任國務卿希拉蕊.柯林頓的創新顧問一職。本文節錄自羅斯《未來產業》一書的〈萬物皆可駭〉章節,從物聯網發展的驅動力開始,再到 Target 遭駭事件、物聯網殭屍的真實案例切入,說明大眾為快速、便利和獲利價值歡呼的同時,駭客也不亦樂乎,因為物聯網讓漏洞的自由度變得更大更膨脹了。
隨著網際網路不斷成長,不但使用者愈來愈多,而且除了標準型電腦、平板電腦和智慧型手機外,網路也擴大連結各種新裝置。電子通訊設備和電子感測器已經存在好一段時間了,但部分拜雲端運算技術之賜,感測器和資料儲存的成本近年來直線下滑,結果就為所謂的「物聯網」搭起舞台。從汽車到農耕設備到手錶和電器,甚至衣服,所有物品都具有傳送和接收資料的潛能。
幾乎萬物都數位化,將是未來十年最重要的經濟發展趨勢 之一。思科(Cisco Systems)董事長錢伯斯(John Chambers) 曾經說過:「從今天(2014 年)回顧過去十年的發展,你會看到物聯網帶來的衝擊。我預測未來十年,物聯網發威帶來的衝擊,將勝過目前網路的五到十倍。」據估計,從 2015 年到2020 年,無線連結裝置的數量將從 160 億成長到 400 億。錢伯斯預測,物聯網將成長為 19 兆美元的全球市場,而目前全球 GDP 也只不過略高於 100 兆美元。
物聯網的快速成長,背後有四股主要的驅動力。第一是行駛在路上、與網路相連的汽車數量,將從 2015 年的二千三百 萬輛增加到 2020 年的一億五千二百萬輛。第二股驅動力是穿戴式科技來臨,從 2013 年到 2014 年,穿戴式裝置的使用加倍成長。第三股驅動力是從自動調溫器到保全系統到幾乎每樣東西,每個人家中都增添許多智慧型控制裝置。瞻博網絡研究報告指出,到 2018 年,智慧型家庭服務所創造的營收,預期將達 710 億美元的全球市值。第四股驅動力在於製造業。麥肯錫的報告預估,到 2025 年,物聯網的各種應用每年將為製造業創造 9000 億美元到 2.3 兆美元的經濟效應。麥肯錫的估算基準包括營運成本可能節省 2.5% 到 5%,將物聯網整合到電力網格中,以及在廢棄物處理、暖氣供應、供水系統等公用設施的應用,據信每年可以減少 10% 到 20% 的浪費。
但裡面埋藏很大的陷阱:隨著科技快速成長,同時也為我們創造出幾乎難以想像的新罩門,為破壞網路安全的駭客開啟新缺口。
網路安全技術至今尚未跟上物聯網的發展速度。
「大家往往等到系統設計完成後,才想到安全問題。」美國休士頓大學電腦與資訊系統教授布朗克(Chris Bronk)表示。 從各方面來看, Target 機密資訊遭竊是預警,讓我們看到物聯網世界可能發生的種種狀況。在 Target 遭駭事件中,數千萬筆信用卡紀錄之所以外洩,是因為賓州夏普斯堡有一家做空調和冷藏生意的小公司法奇歐機械(Fazio Mechanical)遭駭客入侵。由於法奇歐公司是 Target 的供應商,駭客竊取了 Target 給法奇歐的網路憑證後,長驅直入 Target 電腦系統,來到整合 Target 眾多銷售端點控制台的系統(銷售端點控制台就是你 在 Target 商場購物完結帳時刷卡的裝置)。因為所有系統都相互連結,駭客得以在各銷售端點控制台安裝卡片、登入惡意程式。
Target 的市值高達 500 億美元,雇用 347,000 名員工,但龐大規模和高度連結性更加重了它的損失:簡單駭入遠端電腦,竟然就能危害數千萬張信用卡的安全性。
X 實驗室(X-Lab) 主任曼瑞斯(Sascha Meinrath)以心臟節律器為例,說明駭客入侵物聯網時可能發生的嚴重狀況:「每個人都在談論連上雲端的好處,但先要確定雲端是安全的 ⋯⋯ 許多人也在討論把心臟節律器連上雲端。這樣做不是沒有好處--如果測知你的心臟有什麼不對勁,它會自動施以電擊。但萬一有恐怖份子,或小孩惡作劇,決定對美國所有心臟節律器發動電擊呢?」
他跟我說明時,我正好也在想像,如果家庭照護型機器人的控制系統遭駭,會發生什麼事。會不會也變成一種傷人的方式?2015 年 7 月,駭客透過遠端滲透,關掉在公路上疾駛的切諾基型吉普車(Jeep Cherokee)的引擎。二十年後,當新款谷歌無人車大量在高速公路上奔馳,萬一某人設法駭進谷歌汽車的網路呢?你可以想像整條高速公路上相互連結的汽車全都同時失控嗎?很可能會出現史上規模最大、前所未見的連環追撞車禍。
很快的,我們生活中所有網網相連的「物」,都可能被當成駭客入侵的平台。很難想像家裡的冰箱也會被駭,但這樣的情況已經出現在現實生活中。
2014 年 1 月,資安公司 Proofpoint 揭發一樁釣魚攻擊事件,攻擊目標是家庭路由器、電視機和冰箱等消費性裝置。 Proofpoint 公司在報告中指出:「正如同個人電腦可能在不知不覺中受害,形成機器人般的殭屍網路,可用來發動大規模網路攻擊,Proofpoint 發現網路罪犯已開始徵用家庭路由器、智慧型家電和其他物聯網裝置,把這些裝置變成『物聯網殭屍』(thingbot),執行相同型態的惡意活動。」 他說的是哪些惡意活動呢?例如,可以利用這些物聯網殭屍的運算能力,來進行 DDoS 攻擊和大量發送垃圾電郵--能執行任何只需基本運算能力的事情。芬蘭網路安全專家暨防毒 資安公司 F-Secure 技術長希波能(Mikko Hypponen)表示, 這類「物聯網殭屍」的另外一個用途,可能是「挖礦」加密貨幣。
「為什麼有人想駭進烤麵包機呢?為什麼有人想駭進冰箱呢?你沒辦法像過去那樣,竊取烤麵包機和冰箱的使用者資料,但烤麵包機和冰箱的確具備一些運算能力,而且也有連線的功能。」希波能表示。「我預測未來將出現烤麵包機殭屍網路--中毒的烤麵包機或家電。為什麼有人想讓這些裝置感染病毒呢?這似乎沒什麼道理,但未來我們會看到,駭客為了利用這些裝置的運算能力來挖礦加密貨幣,會設法讓它們中毒。」
我們擁有的物品連上網路後,會產生種種有趣的可能性,但危險也伴隨而至。從小每當全家出外度假時,我們通常都會取消送報,如此一來,小偷才不會因為看到家門口成疊的報紙,推測這是行竊的好目標。但是等到家家戶戶都連結上網之後,智慧型竊賊只要駭進智慧型家庭網路,就可監測是否有人在家。他們能蒐集每個人在家中出入的確切資料,也可以關掉你家裡安裝的保全系統。今天各種連線系統讓你的生活更加輕鬆便利,但假使落入壞人手中,也可能讓你的生活變得悽慘無比。
- 本文出自天下文化《未來產業》
- 書名:《未來產業》
- 出版社:天下文化
- 作者: 亞歷克.羅斯
留言討論