台灣的「亞洲.矽谷推動方案」在25日就要正式啟航。計畫的重心:物聯網,過去討論的口徑都是以電子業以及科技傳產結合為發展方向。
然而,在物聯網時代,台灣除了強勢電子業與傳統產業以外,還有一可考慮之產業發展方向,那就是發展新一代資訊安全產業。
即將改朝換代的資訊安全產業
過去資訊安全產業多專注於軟體與網路通訊層面的攻擊與防範,主要手法有特洛伊木馬(在軟體平台植入後門進行遠端操控)、埠頭掃描(掃描遠端主機尋找可能的弱點)、封包竊聽(擷取和分析網路上傳輸的封包來竊取資料)、阻斷服務攻擊(用極大流量來癱瘓一軟體平台)等,幾乎都是以軟體與城市漏洞為研究和發展目標。
但是隨著軟體作業系統、防毒軟體、防火牆、瀏覽器等軟體系統的發展成熟後,今日要直接入侵軟體平台已不容易。
知名資訊安全研討會CANSECWEST已經連續好幾屆都是以網頁技術攻擊一般瀏覽器來間接攻擊作業系統平台(有別於過去的掃描、木馬等手法),可見入侵作業系統本身的難度已大幅提高。
有鑑於此,今日許多所謂的「駭客攻擊」,實際上都轉以「社交工程(Social Engineering)」為主,而較少使用技術性手法。所謂的社交工程,用白話文解釋,其實就是利用假的電子郵件、假的登入畫面,來詐騙使用者的密碼、信用卡帳號、個人資料等資訊。
物聯網時代的來臨,全球資訊安全產業將重新洗牌。
過去許多資訊安全專家以為只要用資料驗證(Data Integrity,也就是利用額外的驗證資訊來確保傳輸的資訊不被竄改)、流量監控以及資料加密(Data Encryption)便能夠預防多數的攻擊。
但在物聯網時代,各類偵測器(Sensor)、控制器(Control Hub)以及智慧型裝置(Smart Device)本身的驅動程式、通訊軟體成熟度與穩定度,都較電腦軟體平台差,而真正的問題在於電子與網路設備暴露在外,使得資訊安全疑慮從軟體層面降至硬體層面。
當攻擊下探至硬體層面,這意味著資料驗證方法可以完全被操控、流量監控完全監測不到攻擊者(因為硬體層面的攻擊不會透過網路傳輸封包),連資料加密演算法都可能被攻擊者破壞、改寫。
因此,今天的資訊安全人才與知識,在未來數年內都必須重新投資,產業地動山搖已難免。
恐怖科幻故事成真
雖然到目前為止講到科技對人類的威脅,許多媒體篇幅仍然過度專注於人工智慧「覺醒」、「造反」,但事實上人工智慧只是自動化的進程,真正的邪惡終將出自於人類。
從純技術角度看來,去年(2015)的全球黑帽駭客研討會有段有趣的講座,主題叫作「淘氣天線(Funtenna)」,出自紐約的一家來自哥倫比亞大學的資安新創公司。
淘氣天線的點子其實很簡單,利用所謂的「洩密跡象」(Compromising Emanation)來竊取網路上的資料(此方法冷戰時期已盛行)。淘氣天線的攻擊對象為公司內部網路的印表機,透過網路對印表機進行「緩衝溢出(Buffer Overflow)」,攻擊改寫內部指令後,再利用印表機內部電子設備發出低頻無線電頻率(類似無線電廣播電台的頻率)將竊取資料傳出。
這很簡單的概念,為什麼很恐怖呢?原因有四。
首先,低頻無線電的穿透力很強而且傳輸距離極長,光是將印表機改造成無線電發射器,就可以穿透十幾層樓的水泥牆。攻擊者可以在隔壁大樓,甚至幾條街外設置AM無線電接受器,即可竊取資料。此方法的傳輸距離是可行且有實務價值的。
第二,印表機是非常普及的辦公與家用裝置,攻擊者可以輕鬆購得裝置並且研究、設計攻擊方法。
第三,誰的辦公室或住家中會有無線電偵測器?由於竊取資料不是透過網路,只要攻擊者能夠成功控制印表機,之後可以用印表機竊取公司內資料,而公司內部的防火牆、防毒軟體和流量監控通通無法偵測。
攻擊物聯網裝置讓資料竊取更容易
最後,今天的無線網路資料傳輸是透過高頻電波傳輸,因此只要在無線網路路由器(與切換器)附近,都可竊聽該無線網路上的資料封包。事實上,許多無線網路內部的資料傳輸都未加密,很容易被攻擊者攔截閱讀。
淘氣天線團隊僅用印表機作為示範,但事實上任何家用與公司用之物聯網裝置,幾乎都未防範此類攻擊。
因此,只要攻擊者能控制無線網路上的任何物聯網裝置,即可竊取網路上電腦傳輸的資料,完全不需要攻擊電腦主機本身。
除此之外,許多公司與團隊也對外發表攻擊車聯網、攻擊家用物聯網的研究結果,而目前攻擊物聯網裝置相較起攻擊電腦,可說是輕而易舉。
物聯網裝置的電子和機械構造比起電腦簡單很多,而且裝置的位置比電腦更容易被陌生人接近。由於多數物聯網產品的成熟度不足,而且為了方便而將資訊安全機制簡化,再加上物聯網的裝置數量眾多、鍵結關係複雜,很難進行一體性(Holistic)的資安評估和攻擊預防。
以一般用戶熟悉的家用互聯網為例,過去一年來許多人開始在家安置Amazon Alexa、Google Home(微軟也即將推出相關裝置),以及智慧空調、智慧煙霧偵測器、智慧網路攝影機、智慧門鎖等網路連結裝置,同時,這些裝置又跟智慧型手錶、手機連結,還不提這些裝置與大家的通訊錄、電子郵件結合。
當這些裝置完成安裝後、密碼被裝置儲存後,家用物聯網便不會再要求使用者驗證自己的資料。試想,若有陌生有心人士透過網路攻擊或實地對電子設備進行改造。當家用物聯網一裝置被控制後,該攻擊者便可竊取網路上資料、偽裝成使用者並控制所有已連結之裝置。
不相信嗎?其實兩年前的全球黑帽駭客研討會就已經有團隊發表攻擊Nest智慧溫度計的結果。該團隊表示只要能將Nest溫度計拆下片刻、接上USB,即可改寫內部指令、用其竊取被攻擊者家中無線網路上的資料,並對其他裝置發動攻擊。
台灣的機會在物聯網資安
台灣軟體業其實在資安領域都保有一定實力。除了趨勢科技等大公司本身對軟體資安的投資以外,台灣長期在軟體系統工程、電子設計製造和智慧型裝置的發展,已累積世上少有的電子、軟體系統、網路以及內嵌式系統人才密度。而台灣政府為了抵禦和制衡中國的資訊戰爭,也低調培育了一批頂尖資訊安全人才。
雖然台灣過去十五年在純軟體與網路應用相對頹勢,但是隨著物聯網潮起,全球資安勢必從軟體回歸硬體,而台灣的產業似乎剛好站在此人才金礦上。
因為,接下來的資訊戰爭,將不是攻擊電腦作業系統,而是攻擊手機、穿戴式裝置、智慧型偵測器等小型裝置;而接下來駭客將更少透過網路竊取資料,而是透過更基本的手法(如低頻無線電、電磁脈衝和熱能等)去癱瘓和控制小型電子裝置。
物聯網資訊安全新創不需大廠房、不需國際品牌人才,只需有魄力的企業夥伴與政府機關配合執行。對於台灣目前的新創環境而言,發展物聯網資安,可成為產業轉型的第一步。
