物聯網設備無疑為日常生活帶來更大方便,然而這些裝置相對缺乏安全防護,恐怕將成為黑客的新目標。繼去年8月與10月,分別有嬰兒監視攝影機遭到駭客入侵,美國電腦安全公司Proofpoint上月亦表示,全球有超過10萬部網絡智能產品,在2013年12月底至2014年1月初期間,發送了75萬封垃圾郵件及攻擊性郵件,當中大約有4分之1的發送設備並非電腦或流動通訊裝置,Proofpoint更發現智能雪櫃也未能倖免。
蠕蟲病毒入侵Linux
Symantec的研究人員最近發現了一種新型蠕蟲病毒,可感染運行嵌入式 Linux 的家庭路由器、電視機頂盒,和Webcam等家用設備,甚至監視錄像或一些工業控制系統也容易受到威脅。
名為 Linux.Darlloz的蠕蟲病毒,由Symantec研究員Kaoru Hayashi發現,與一般病毒一樣,它會在受感染的設備上開啟漏洞,允許攻擊者向電腦發出命令。雖然目前這類蠕蟲病毒當前的版本只能感染 x86 平台設備,但是在經過一些修改之後產生的變種,已經能夠威脅到使用 ARM 晶片,以及 PPC,MIPS,MIPSEL 架構的設備。
現時的智能家居產品的系統一般會有 WEB 設定介面,用戶首次使用時需要登錄此介面對設備進行初始設定,因此出廠用戶名和密碼通常都很簡單,比如「 admin 」、「123456」等等,黑客可利用這種密碼的規律性輕易進行攻擊。
三大防護守則
有人或認為智能家電受累客攻擊也不會造成巨大損失,但同樣的攻擊若出現在攝錄鏡頭、智能門鎖甚至智慧型金融卡,後果實為不堪設想。事實上,許多裝置之所以遭受入侵,並不是因為更攻擊手法高明,而由於物聯網設備得保安往往為人所忽視,造成設定不當或沿用預設密碼,致使駭客有機可乘。
除了提高警覺,用戶亦可參考Symantec提供的網絡連接裝置防護守則。首先,用戶應自行統計所擁有的智能設備數量,而且要留意即使某裝置不具備屏幕或鍵盤,也不代表它不會受到攻擊,只,要裝置可與家庭網絡連接,就代表有機會可經由網上操控,需要實行防護措施。
其次,用戶應留意所有裝置上的安全設定,如果它有遠端控制功能,盡可能在不需使用時關閉功能,同時將所有預設密碼更改為個人化的密碼,亦切勿使用過於簡單的密碼,例如「123456」或「password」,應該和保護電腦或手機一樣,利用英文字母、數字和符號,結合組成防護力強的密碼。最後,用戶應定期登上製造商的網頁,查看是否有裝置的軟件更新,因為若發現安全漏洞,製造商必會在最新的軟件更新中進行修補。
網絡攻擊針對能源產業
未來的萬物智能化及互聯的新世代之中,危機無處不在。據Symantec研究指出,隨著智慧電網(Smart grid)1和智慧電錶(Smart meter)技術的普及,能源產業將有更多的系統結構曝露於網絡世界中,容易讓網絡攻擊者有機可乘。
能源在現代生活中扮演著極其重要的角色, Symantec近日發表一份「能源產業針對性攻擊白皮書」(Targeted Attacks Against the Energy Sector)顯示,針對能源相關公司和產業的網絡攻擊再創新高,為能源產業帶來危機。據Symantec 2013上半年數據分析顯示,能源相關產業是全球網絡攻擊目標的前五名之一,約佔全球網絡攻擊的百分之7.6,而且攻擊逐漸轉向鎖定較為低調的小型機構。早在2013年5月,美國國土安全局就已提出警告,指出針對能源產業的網絡攻擊持續處於高水平,大大威脅能源產業網絡的安全。
Symantec續指,針對能源產業的攻擊主要為同業取得競爭優勢,或竊取能源新科技的知識產權,例如風力、核能發電等新技術資料而發動;亦有黑客竊取資料以勒索企業付款贖回。也有某些組織入侵能源企業,是為了造成系統故障或暫停,宣示抗議的訴求。然而,就連未連接網絡的裝置與系統也無法逃過威脅,Symantec調查亦證實,目前已有多宗案例為未連接網絡的獨立系統遭受攻擊,亦提醒系統營運商與能源廠商正視這問題。
沒有留言:
發佈留言