一年一度CES電子商品展覽,假美國拉斯維加斯揭幕。自1967 年開始,CES有近4500位商戶參展,吸引超過155國家18萬人進場參觀,全球6500多位媒體採訪,成為最受注目的電子商品展之一。
近年,物聯網(IoT)設備高速成長,估計2019年IoT設備數量會高達260億之多。各式各樣新款IoT產品,自然亦成為了CSE 重點之一。
今年,Lenovo除了推出Laptop和顯示器,亦有家居智能產品如Smart Tab Tablet及Smart Clock等,內置Google Assistant 和AWS的Alexa 等工具,簡化了操作,支持口語化的命令及人工智慧。
譬如,Lenovo即將推出的Smart Clock,就不是一般閙鐘,而是加入Google Assist的功能,能支持音樂的下戴播放,或收聽Podcast節目。其他參展商的新款IoT設備,亦包括智能電子鏡、播放音樂Soundbar、門鐘、家居感應器、保安系統,甚至是吸塵機等等。總括來說,結合人工智慧及物聯網技術發展,一日千里,加上Google和AWS等,大力推廣自家智能API連結,預計新一代智能家居產品,將更見普遍。
當然IoT產品保安問題嚴重,屢次被黑客入侵,變成殭屍網絡(Botnet)一份子,最後成為了攻擊的工具,更備受業界關注。2016年,Mirai Botnet入侵了近20萬IoT設備;包括了IP攝錄機及路由器等,最終要關閉美國東岸近四份之一網絡,用戶無法登入Twitter、Netflix、PayPal等大型網站,尤為嚴重。
上周,有關事故黑客代號BestBuy,在英國受審及被判近三年刑期。其實落網的罪犯,並非Mirai始作俑者。不過Mirai 曝光後,作者上載了源碼,不少黑客下載其程序,加以改良為更新的IoT攻擊程式。這次審訊是關於黑客利用Mirai,令利比利亞的互聯網服務,癱瘓接近兩天,供應商受上千萬美元損失,案程披露了黑客犯案的詳細資料,值得有關IT人員參考。
現年30 歲的英國黑客Daniel Kaye,曾在Dark Web宣傳他的DDoS攻擊服務,更接受了非法的委託,打擊在非洲利比里亞的網絡供應商LoneStar MTN服務。
根據BBC報導,Kaye以改良後的Mirai攻擊程式,入侵多種中國制造的IP攝像機,包括了CCTV家居設備。因為這類便宜網路鏡頭,有嚴重保安漏洞,Mirai程式可以輕易入侵並避開察覺,將設備變成為殭屍兵團一部份。
據研究人員表示,Kaye的黑客程式攻入了接近一百萬部IoT設備;包括了路由器等,變成一個龐大DDoS攻擊軍團。除了非洲事故外,Kaye亦曾被指控入侵德國電訊路由器,令十二多萬用戶服務受到影響。他的攻擊程式亦在Dark Web市場出售,估計英國三大銀行的金融服務業,亦曾受到他的程式攻擊及勒索,受害人要付費阻止黑客的DDoS攻擊。
去年,哈佛大學教授James Mickens在USENIX Security主題演講,提到現今IoT產品的重大保安問題,設備供應商應該從網路安全歷史中學習,吸取教訓,重新研究基本的加密原理、TLS認證、密碼管理等,好好檢討或重新設計產品。IoT設備爆發的年代,忽略基本安全管理,最終受害不單是廣大客戶群,甚至是企業本身。
作者:梁定康,網絡工程師,從事網絡設計及保安工作,現任職某大美國網絡