萬物聯網2017.02.20

給物聯網工程師的「防殭屍」祕笈

IoT 物聯網

本文轉載自合作夥伴EDN Taiwan,作者Richard Quinnell

當提及安全特性時,許多物聯網(IoT)裝置開發人員仍然表示不願意採取保護措施。有些開發人員甚至理直氣壯地指出:「駭客從這種裝置中得不到什麼有價值的東西!」但是,如果少了網路安全設計,您的裝置很可能被迫加入「殭屍部隊」(zombie army),即所謂的「botnet」殭屍網路。

如果您還沒有聽說過,「殭屍網路」是指利用一系列的連網裝置執行惡意軟體,讓外來組織或人員得以在裝置主人不知情的情況下使用這些裝置。在特定情形下,濫用這些裝置的人員可以使這些連網裝置透過網際網路連線接受和傳送訊息。由於裝置使用者永遠看不到這些訊息(訊息的傳送目標是第四方),因此這種劫持操作可以無限期地進行,而不至於被發現。

雖然濫用者(也就是殭屍牧人)可能對於單台裝置興趣缺缺,但攻擊一系列裝置可能就很有用了。殭屍網路最常見的兩種用途是分散式阻斷服務(DDoS)攻擊和垃圾郵件傳播。DDoS攻擊是在短時間內將大量訊息發送至一台特定的電腦,如網路伺服器。其目標是利用超出這台電腦處理能力的訊息量使這台電腦當機,導致其服務速度變慢或甚至使其上運作的軟體崩潰。垃圾郵件傳播則允許殭屍牧人發送無法追溯來源的電子郵件訊息,從而實現網路釣魚式攻擊(phishing),或行使其它騙術而不至於被逮到。

傳統的殭屍網路徵用物件是缺乏安全性的家用網路路由器和個人電腦(PC)。但隨著安全性低甚至沒有安全性可言的物聯網裝置部署及其數量持續增加,殭屍牧人開始改變徵用目標。根據資安網站Dark Reading最近發表的調查報告,揭露了一個基於BASHLITE惡意軟體系列的殭屍網路,該網路中的殭屍超過了100萬個,其中96%是物聯網裝置。

如果不設法提高下一代物聯網裝置的安全性,這種殭屍部隊只可能越來越龐大。

但正如許多開發人員所聲稱的,問題就在於:「安全的代價太昂貴了!」確實,許多傳統的安全機制和演算法需要的運算資源超出小型物聯網裝置所能承受的範圍。另外,這些機制和演算法並不能有效地簡化以因應資源的限制。雖然在設計中增加安全性似乎很昂貴,但想想缺少安全性要付出的代價吧!許多公司已經為此導致產品賣不出去、信譽受損,有時還不得不啟動數百萬美元的召回,原因就在於他們的物聯網設計缺乏安全性。如果殭屍牧人在您毫無保護的設計基礎上建構和釋放殭屍網路,那麼每個人都得付出代價。

很快地,成本可能不再是個問題了。市場上開始推出許多解決方案,只要花不到1美元的價格就能在基於微控制器(MCU)的設計中解決安全問題。目前還有許多人在為資源受限的物聯網裝置定義和開發軟體安全方法。例如Eclipse已著手進行一項專案,為小型設計中建置的資料包傳輸層安全性(DTLS)創建C庫,並稱之為tinydtls。美國國家標準與技術研究所(NIST)也在制訂一項計畫,用於聚集羽量級加密演算法並為其進行標準化。

綜上所述,計劃打造新款物聯網裝置的開發人員至少不能再輕視安全性問題了,現在必須開始像考慮每個設計折衷因素一樣認真地思考這個問題。最理想的是確保在設計規格中達到一定程度的安全性,並為專案預留適當的預算,即使它並非完全加密方案。至少在設計時必須提供一些保護,而不能讓產品輕易地變成殭屍。

(參考原文:Zombie-proof your IoT design)

延伸討論

萬物聯網

中國製造2025強勢戰略 765億美元大舉收購德企業

發展智慧製造需要許多相互關連的技術,中國在這方面仍然落後於歐洲、日本和美國,這些技術差距需要被彌平,中國人看來指望使用歐洲的創新科技來達成
萬物聯網

EtherCAT發展迅速 TSN、IO-Link緊追在後

智慧化成為全球製造業的熱門議題,由於智慧製造系統以工業物聯網為主架構,物聯網的首要條件是系統中各物件的鏈接,因此通訊成為系統建構的關鍵技術,過去製造現場的通訊模式以Fieldbus(現場總線)為主,不過在互通性不足的態勢下,工業乙太網路逐漸崛起,近年來德國Beckhoff公司制定出EtherCAT標準後,快速為市場接受,過去幾年各工業展會中,都可看到廠商推出相關產品。
萬物聯網

搶攻無人駕駛、車聯網商機 鴻海將投資密西根州

鴻海集團董事長郭台銘投資美國動作頻頻,除日前高調宣布將於威斯康辛州設 LCD 廠之外,現在又傳郭台銘於深圳總部會晤美國密西根州州長史奈德(Rick Snyder)時表示,將在密西根州投資無人駕駛車技術,不過投資金額尚未確定。