萬物聯網2017.02.20

給物聯網工程師的「防殭屍」祕笈

IoT 物聯網

本文轉載自合作夥伴EDN Taiwan,作者Richard Quinnell

當提及安全特性時,許多物聯網(IoT)裝置開發人員仍然表示不願意採取保護措施。有些開發人員甚至理直氣壯地指出:「駭客從這種裝置中得不到什麼有價值的東西!」但是,如果少了網路安全設計,您的裝置很可能被迫加入「殭屍部隊」(zombie army),即所謂的「botnet」殭屍網路。

如果您還沒有聽說過,「殭屍網路」是指利用一系列的連網裝置執行惡意軟體,讓外來組織或人員得以在裝置主人不知情的情況下使用這些裝置。在特定情形下,濫用這些裝置的人員可以使這些連網裝置透過網際網路連線接受和傳送訊息。由於裝置使用者永遠看不到這些訊息(訊息的傳送目標是第四方),因此這種劫持操作可以無限期地進行,而不至於被發現。

雖然濫用者(也就是殭屍牧人)可能對於單台裝置興趣缺缺,但攻擊一系列裝置可能就很有用了。殭屍網路最常見的兩種用途是分散式阻斷服務(DDoS)攻擊和垃圾郵件傳播。DDoS攻擊是在短時間內將大量訊息發送至一台特定的電腦,如網路伺服器。其目標是利用超出這台電腦處理能力的訊息量使這台電腦當機,導致其服務速度變慢或甚至使其上運作的軟體崩潰。垃圾郵件傳播則允許殭屍牧人發送無法追溯來源的電子郵件訊息,從而實現網路釣魚式攻擊(phishing),或行使其它騙術而不至於被逮到。

傳統的殭屍網路徵用物件是缺乏安全性的家用網路路由器和個人電腦(PC)。但隨著安全性低甚至沒有安全性可言的物聯網裝置部署及其數量持續增加,殭屍牧人開始改變徵用目標。根據資安網站Dark Reading最近發表的調查報告,揭露了一個基於BASHLITE惡意軟體系列的殭屍網路,該網路中的殭屍超過了100萬個,其中96%是物聯網裝置。

如果不設法提高下一代物聯網裝置的安全性,這種殭屍部隊只可能越來越龐大。

但正如許多開發人員所聲稱的,問題就在於:「安全的代價太昂貴了!」確實,許多傳統的安全機制和演算法需要的運算資源超出小型物聯網裝置所能承受的範圍。另外,這些機制和演算法並不能有效地簡化以因應資源的限制。雖然在設計中增加安全性似乎很昂貴,但想想缺少安全性要付出的代價吧!許多公司已經為此導致產品賣不出去、信譽受損,有時還不得不啟動數百萬美元的召回,原因就在於他們的物聯網設計缺乏安全性。如果殭屍牧人在您毫無保護的設計基礎上建構和釋放殭屍網路,那麼每個人都得付出代價。

很快地,成本可能不再是個問題了。市場上開始推出許多解決方案,只要花不到1美元的價格就能在基於微控制器(MCU)的設計中解決安全問題。目前還有許多人在為資源受限的物聯網裝置定義和開發軟體安全方法。例如Eclipse已著手進行一項專案,為小型設計中建置的資料包傳輸層安全性(DTLS)創建C庫,並稱之為tinydtls。美國國家標準與技術研究所(NIST)也在制訂一項計畫,用於聚集羽量級加密演算法並為其進行標準化。

綜上所述,計劃打造新款物聯網裝置的開發人員至少不能再輕視安全性問題了,現在必須開始像考慮每個設計折衷因素一樣認真地思考這個問題。最理想的是確保在設計規格中達到一定程度的安全性,並為專案預留適當的預算,即使它並非完全加密方案。至少在設計時必須提供一些保護,而不能讓產品輕易地變成殭屍。

(參考原文:Zombie-proof your IoT design)

延伸討論

萬物聯網

新漢科技 讓台灣成為「工業 4.0」輸出島

長期投入智慧製造的新漢認為「工業 4.0」有機會取代半導體及 3C 供應鏈,成為未來 20 年台灣產業的中流砥柱。「全世界所有工廠都需要智慧自動化,台灣可成為工業 4.0 的輸出島!」
萬物聯網

亞洲・矽谷夢幻國家隊 新漢打造智慧醫療照護體系

亞洲‧矽谷大聯盟入選的21個專案,被譽為「成形中的虛擬夢幻國家隊」,其中新漢的「新世代物聯網醫療照護體系」方案,更已初步整合上下游廠商,領軍挺進中國大陸;不但在北京、南京、上海、蘇州的數間三甲醫院
萬物聯網

花37億打造科技願景 日本首座無人工廠

工業4.0概念正夯,而無人工廠更是各大企業的最終目標。然而,在各國企業汲汲營營的打造無人工廠之際,事實上,早在1984年,日本便花費137億日圓(約台幣37億),建立世界首座實驗性的無人工廠,並開始進行試運轉。