今年五月,歐洲落實了GDPR資料保護法案後,大大提高了企業對客戶私隱保護的重視,同時在國際間不同的論壇及會議中,亦有專題的研究及討論。
雖然,香港仍未有相關法律,坊間不少熱心團體,去宣揚私隱保護的重要性,及舉辦科技講座,讓大眾認識黑客通過不同渠道,竊取個人資料。上星期,筆者參加香港互聯網協會(ISOCHK)舉辦,有關於IoT設備的安全及私隱保護Hackathon工作坊。當天內容十分豐富,除了電腦及電子業專家介紹,還有即場演試及實驗,有助深入了解IoT設備的漏洞及保安方案,增強業界保護IoT的安全意識。
據研究機構Gartner估計,除了手機或電腦等設備上網以外,能連接上網的IoT設備約有90億,因為大部份IoT設備含有保安漏洞,易成黑客攻擊目標,容易受到黑客利用,成為殭屍網絡(Botnet)一部份,被控制去攻擊其他網上服務或企業。
IoT成為黑客新寵兒有3大原因;首先,生產IoT設備受很多挑戰,包括成本控制及起貨速度。部份IoT生產商,因為趕工的前提下,減少了對產品作詳細的測試。
其次,IoT電子零件較簡單,未如一般手提電腦,可安裝防毒軟件。有很多現成的電腦保安程式,例如在傳送過程中可通過認証和加密,都需要一定CPU運算能力,無法在簡單IoT設備中使用。最後,IoT使用組件大部份SoC一類系統整合晶片,軟件早已嵌入中央處理器,軟件若真有保安漏洞,生產商並未有能力修改。因此任何IoT產品,整合及安裝在企業的網絡系統,可能會成黑客入侵的大門,必須小心測試及處理。
無獨有偶,上星期亦發生了一宗IoT入侵事件,全球約五萬台的打印機,被黑客操縱,打印出特定文檔,雖然最後証實是惡作劇一場,但各IT同業應借鏡及警剔。據黑客HackerGiraffe犯案之後,從Twitter帳號透露,他今次入侵的目標;只是為網紅PewDiePie抱打不平。事緣這位瑞典年輕人PewDiePie,乃是當今最紅 YouTuber,訂閱人數高達7千多萬人。可是,最近他受印度T-series 挑戰,因他們上戴歌舞片深受歡迎,YouTube訂閱人數亦突破7千萬,大有後來居上之勢。於是,HackerGiraffe便藉打印機嚴重漏洞,成功入侵更將一篇支持PewDiePie的文章,從五萬台打印機列印出來。
HackerGiraffe 能成功入侵大量的打印機,最主要是很多這類舊式的機器被連接上網中,以方便更新和管理。只要到Shodan.io這類網站,便可搜尋得到全球所有連接到網絡上IoT設備,如網絡視像鏡頭(Web cam)、智能電燈、室內溫度計等。聰明黑客了解到很多舊式打印機所使用的打印協議,如LPD及JetDirect等存在大量保安漏洞,例如可被遙距控制。其實,從Shodan搜尋的資料顯示,約有90萬台打印機可藉此漏洞入侵,但他只挑選了約五萬台機器,實現這個惡作劇。
這事件証實大量IoT設備,存在嚴重系統設計風險。數月前,美國BlackHat會議上,亦有電腦保安公司提到,拉斯維加斯的某個賭場,竟被黑客藉魚缸內温度計IoT設備,入侵了賭場網絡系統,並盜竊去客戶資料。若企業不再留意這類IoT設備的風險,相信更大型的入侵事故,還會陸續有來。
作者:梁定康,網絡工程師,現職IT保安及網絡設計