連蘋果的Mac電腦都慘遭勒索軟體的毒手,「大家使用什麼新科技,駭客就會往那裡去!」趨勢科技全球核心技術部資深協理張裕敏7日以「從駭客進化的觀點看新技術的安全問題」為題,分別從勒索軟體、無人機、Docker、手機沒電的公共插座、智慧家庭等5大新科技分享資安新趨勢。他認為資訊安全無所不在,在手機、雲端、大數據後,物聯網將再次引爆工業革命和資訊革命。
以下是他的演講分享:
1. 勒索軟體的前世今生
張裕敏指出,勒索軟體最近很流行,造成的後果看起來很嚴重,但它是很古老的東西。最早是惡意軟體Fake AV,使用者一下載就會把電腦桌面鎖起來不,後來沒有流行,因為使用者通常可以自行處理。
後來惡意駭客對重要檔案加密,但因為被害者付費麻煩,而且警察容易循線抓到駭客,所以並沒有流行。直到比特幣出現,解決了勒索軟體的金流問題,以及駭客被追蹤的風險,讓勒索軟體又開始大肆流行。
如何防範?
給伺服器管理員的建議:伺服器本來就不應該中勒索軟體,只要裝對防毒軟體,勒索軟體就不是威脅。要注意備份時有沒有先試著把資料還原?最常遇到的狀況是,資料很可能早就壞掉了,往往解不回來,要先確定資料能否正常還原。
給個人使用者的建議:不要隨便點來路不明的網站、使用虛擬機器上網、資料可以配合雲端備份。
(圖說:趨勢科技全球核心技術部資深協理張裕敏從駭客的思維出發,分享五大新科技的資安風險。圖片來源:郭芝榕攝影。)
2. 各國頭痛的無人機技術
張裕敏說,「駭客想把天空的無人機帶回家,想法設法劫持無人機!」微型無人機已經成為各國頭痛的問題,有的國家用網子、老鷹來抓無人機,還有國家直接用高射砲打下無人機。
無人機的資安風險很高,由於要讓微型無人機易於掌握,所以開發者較沒有考慮軟體和硬體的安全性。駭客可以透過蓋台、GPS偽裝、中間人攻擊來劫持無人機。
第一、例如若Amazon載貨無人機在未來普及後,只要飛過駭客家上方,駭客用家中遙控器就可以遙控這台無人機,讓它卸貨,取走物品。
第二、無人機往往透過衛星進行GPS定位,但GPS定位技術已發展超過10年,沒有加密功能。駭客可以偽造GPS訊號,透過快速的運算讓無人機以為這是由多個衛星所傳來的訊號,就能讓無人機降落在駭客想要的地點。
例如,目前隨著各國規定,無人機廠商都會內建當地的禁航區,但如果無人機的禁航區被駭客竄改的話,無人機就能飛到任何地方,例如軍事區域等等。
第三、駭客可以利用自己的無人機,直接對其他在空中飛行的無人機下達「跟著我」的指令,整片天空漫飛的無人機,都會乖乖跟著駭客回家。
第四、由於很多無人機都用App來操控,但此舉弱點很多,由於沒有加密功能,所有的程式碼皆一覽無遺,甚至知道序號之後,就能操控同一款型號的無人機。
無人機安全建議
給政府建議:處理無人機在制度面、法規面、管理面、技術面等各方面的問題。此外,擴大對無人機安全的研究。
給製造商的建議:通訊協定很重要,有沒有做更好的加密?GPS沒有加密功能,現在各大科技巨頭如Google、Facebook、Amazon都在發展無人機,要如何解決這件事?張裕敏說,GPS有顯而易見的安全問題,需要機制來確認定位的精準度,所以有一份完整地圖來比對定位資訊的話,可以讓定位更加精準。
他同時也建議無人機廠商要在無人機內內建安全模組,在駭客劫獲無人機時發出警告通知。
至於玩家們,除了慎選製造商,也應關注全球無人機資安警示報告。
3. Docker是IT救星,也是駭客的新玩具
開放原始碼軟體專案Docker,可以讓應用程式布署在軟體容器(container)下的工作自動化進行。Docker最大的功能是模組化,等於任何人只要把模組抓下來,用疊積木的方式就建置完系統,所以這套工具非常紅。
不過,張裕敏指出,它的安全性有隱憂,兩年前很多人發現,它不是那麼安全。如果網站伺服器、軟體容器都用Docker,但是節點沒設計好的話,也會讓駭客有機可趁。
總之,Docker container互相堆疊可以讓應用方便,但它很複雜,安全很容易被忽略。而它跟Linux系統相連,所以也要同步注意Linux的漏洞。
4. 手機沒電引發的危險性
捷運站往往有免費的充電插頭,張裕敏指出,「你有沒有想過,手機插座可能有供電量的限制?有沒有注意到假的插頭?」
駭客有可能會自製惡意插座,使用者只要把智慧型手機插進插座,手機就會中惡意程式,因為USB除了充電功能之外,還可以傳資訊,用硬體程式來控制。此外,2016年RFC4861的路由廣告會讓手機快速消耗電力。所以,駭客可能先放置插頭後,再大量放路由廣播,路人的手機就會快速沒電,進而去使用惡意插座。
5. 智慧家庭還是恐怖家庭?
很多裝置都有智慧控制,電冰箱、門禁、空調、電視機…等等都仰賴智慧家庭網路閘口,這也成為駭客攻擊的目標。大部分智慧家庭都透過App就能遙控,如果無人機飛過你家,就直接接管你家的中控裝置,駭客就可以遙控你家的所有智慧家庭。「為什麼可以這麼簡單?因為廠商為了要能做到低功率,多數通訊協定安全性不足!」張裕敏說。例如,藍牙、wifi、NFC、SMS、Zigbee,可能發生蓋台、惡意基地台、劫持、重播攻擊等情況。
智慧裝置使用2.4GHz,互相干擾,甚至有些裝置無法有效連結,所以使用者要學習家裡的裝置要如何更新,
6. 最近都沒有APT攻擊,是天下太平嗎?
2013年開始,台灣開始出現APT攻擊,過去兩年,任何人都可以是被攻擊的目標,只要你跟別人的產業有重疊,或是可以從你這裡拿到施政藍圖等等,都是高風險群。
張裕敏說,根據他研究的數據顯示,駭客做APT攻擊時,平均潛伏時間為559天,某些極端案例潛伏時間甚至超過2000天。甚至,網管人員整天忙著處理其他人中毒的電腦,自己的電腦反而變成大毒窟,惡意駭客很了解如何跟網管共存,甚至駭客為了讓自己持續操作電腦,還會主動幫使用者更新防毒碼。
此外,惡意駭客也很喜歡攻擊記者,記者也是高風險群。
APT防護思考必須改變,因為傳統防禦的邊界已經消失。企業再用縱深防禦已經防不了,由於惡意駭客的背後通常有集團支持,他們整天在想如何攻擊你!張裕敏說,要同時思考產品、服務、情資三者,只用產品沒辦法解決問題,要知道駭客在想什麼,他用什麼樣的技術?
另外,也要考慮閘道、端點和資訊流,很多資料外洩的公司,傳出去的資料量很大,但公司本身卻沒有發現。公司內部也要建立APT攻擊事前、事發、事後的完整流程,要引進新技術,才能隔絕駭客。