可聯網裝置的噩夢

冰箱、汽車、攝像頭、心臟起搏器……全世界已有150 億可聯網裝置。然而由於缺少防護，它們會被駭客輕而易舉地攻破……

事情發生在2013年聖誕節前夕：一臺冰箱向外傳送了大量垃圾郵件。是的，你沒看錯，一臺冰箱在其主人並不知情的情況下用垃圾郵件塞滿了其他網友的郵箱。其主人怎麼也沒有料到他的冰箱被駭客劫持，在廚房中參與了一場規模巨大的垃圾郵件攻擊……這是全球首例可聯網裝置被黑事件！

如今可聯網裝置已無處不在：攝像頭、非接觸式支付卡、擁有遇車禍緊急呼救系統的汽車、可聯網的遊戲機，還有智慧電視、電子秤、電動百葉窗、照明系統、溫控器等。

在智慧手機巨大成功的帶動下，感測器及通訊電子元件的日益微型化，越來越多的日常物品連入了網路，就連電子煙、藥盒、電飯煲、牙刷、咖啡機，甚至網球拍也不例外。生產廠家通常給這些裝置冠以字首“i”或修飾語“智慧”，使用者則使用聯網的平板電腦或智慧手機上的應用程式來與這些不具備觸控式螢幕或按鈕的裝置進行互動。

這種裝置、使用者及網際網路間的嶄新聯絡會帶來什麼影響呢？首先是節約——節水、節電、省時……同時能借助於對裝置使用資料（頻率、時長、強度等）的自動分析來改進裝置提供的服務，還將使遠端控制、同步不同聯網裝置的運作化為可能。

傳送垃圾郵件的冰箱

2013年12月23日，一臺冰箱充當了傳送垃圾郵件的黑手——負責電郵安全的專業公司Proofpoint透過對一連串垃圾郵件傳播的分析揭露了這一事件。被研究的70萬封垃圾郵件源自45萬臺裝置，其中四分之一、約10萬臺是可聯網裝置：ADSL終端，遊戲機……還有冰箱。“它們都含有Java、Apache或Linux等作業系統以維持裝置正常運轉。由於簡化和標準化的桎梏，許多作業系統出廠都安裝了裝置並不需要的功能，例如用於收發電子郵件的SMTP伺服器。一旦安裝了這個功能模組，駭客只需攻破這臺伺服器便能使它向外傳送電子郵件。”Proofpoint公司的伊斯梅特·傑日解釋道。

程式碼漏洞

給使用者提供更輕鬆舒適的生活是可聯網裝置的承諾。但智慧冰箱、智慧洗衣機的擁有者並非唯一享受到網際網路便利的人，同樣為此歡欣鼓舞的還有駭客：對他們來說，任意一臺聯網裝置都是一扇通向其中儲存資料的潛在大門。

“駭客對物聯網的興趣十分明確：這些可聯網裝置包含大量資料。”知名資訊安全公司Imperva的安全戰略主管、資料處理中心防護專家巴里·史迪曼（Barry Shteiman）解釋道，“它們與計算機並無不同，我們可以在其中安裝軟體並實現聯網執行。然而任何裝置一旦聯網都有被黑的風險。”不同的是計算機通常由防毒軟體及負責過濾網路連線的防火牆保護，相較之下可聯網裝置通常受到的防黑保護可謂脆弱無比，還多半僅見於那些售價高昂的產品中。“目前這些可聯網裝置根本毫無安全性可言。”美國安全軟體開發商Proofpoint的電郵基礎架構安全專家伊斯梅特·傑日（Ismet Géri）抨擊道。

那麼駭客是如何利用可聯網裝置的弱點進行攻擊的呢？

在實際操作中，駭客首先捕捉目標裝置上的可用檔案，隨後在已安裝軟體的程式碼中尋找程式設計錯誤（稱為“漏洞”）：即不改變命令列意義（需執行的命令），但可被利用以賦予命令列新的意義並據此改變裝置原有功能的拼寫錯誤。

軟體中負責無線網路連線的程式碼行往往是攻擊目標。因為這些可聯網裝置不停交換資料以保持連線，一旦破解連線程式碼中的漏洞，駭客就能非法獲得裝置的管理許可權，並利用這種超級許可權篡改該裝置通常連線的路由器，隨後輕而易舉地在作業系統中悄悄注入惡意程式碼以取得控制權。

再舉一例：網路瀏覽器的程式設計漏洞會使那些正常情況下無法遠端訪問的檔案失去防護，於是駭客便能竊取其中儲存的資料了。只要瀏覽器的程式設計漏洞未被發現，駭客的非法勾當就能一直持續下去。為了修復漏洞，程式設計師必須釋出“安全更新”。

可想而知，駭客的這些攻擊在常見防護手段（防毒軟體、身份金鑰……）缺失的可聯網裝置中極易得手。

為了估算智慧裝置的保有量，挪威Dagbladet日報的兩名記者求助於能列出所有聯網裝置的搜尋引擎Shodan。他們將搜尋範圍限制在挪威一國，結果令他們大吃一驚：2500套聯網的資訊控制系統幾乎或完全不設防！其中500套屬於工業或關鍵設施，290套屬於銀行、學校、託兒所甚至一處軍營。他們找到了2048臺可以隨意檢視影象的監控攝像機（分佈於夜總會、商店、餐廳、住房等），以及數以千計毫不設防的資料庫和伺服器。他們還成功遠端控制了一整幢大樓的溫度，侵入鐵路管理局的火災報警系統，甚至成功訪問關於某一軍用機場專案的機密檔案！

樓房變身桑拿房或冰櫃

2013年，挪威Dagbladet日報的兩名記者成功控制了挪威南部德拉門市內一幢大樓的中央供暖系統，而大樓中有數間公寓、一間健身房和數間商店。“無需使用者名稱及密碼，供暖系統的30個引數任由我們調節。”兩位作者在去年10月發表的調查中如是揭露。當然，他們還強調了在冬季極端寒冷的高緯度地區，室內溫度驟變對兒童、老年人或病人可能造成的嚴重後果。

窺探屋內

可聯網裝置的許多弱點不容忽視。“個人電腦可能受到良好的保護，但路由器或其他可聯網裝置往往沒有同等的戒備。如果駭客想要攻擊相關裝置，他總會先嚐試透過保護不夠嚴密的後門侵入那些你甚至不知道它們已連入網路的裝置。”防毒軟體開發商卡巴斯基公司研發實驗室惡意軟體專家維森特·迪亞茲（Vicente Diaz）介紹道。

那麼被入侵的可聯網裝置具有什麼風險呢？首先，就如同個人電腦一樣，任意一臺可聯網裝置都可被用於濫發垃圾廣告或透過發出大量訪問請求使特定網站無法訪問。其次，駭客會試圖竊取其中的個人資料（電郵地址、密碼、銀行賬戶資訊等），隨後盜用錢財或是轉賣相關資訊。

此外，有些可聯網裝置還可能透露更多資訊。“許多資訊可透過窺伺可聯網裝置來獲得。例如，可以透過智慧電視的開關狀態來判斷屋裡是否有人。”維森特·迪亞茲解釋道。

第三種風險：駭客能徹底取得目標裝置的控制並在使用者不知情的情況下改變它的原有功能。當可聯網裝置是醫療儀器時，駭客的攻擊可能會危及使用者的生命。

心臟起搏器成為致命網路武器

2012年，著名駭客巴納比·傑克（Barnaby Jack）證實醫療裝置可被控制。他的目標是植入心臟衰竭患者體內用於記錄並遠端傳送醫療資訊的心律調節裝置（起搏器和除顫器）。巴納比·傑克表示，可在半徑15米的範圍內藉助於軟體關閉裝置、讀寫記憶體、甚至釋放高達830伏的致命電壓。鑑於其充分的理論依據及曾經入侵ATM取款機的巨大影響力，美國有關部門終於在2013年6月勒令相關製造商加強裝置對網路攻擊的防護。

後知後覺的生產商

為何缺乏保護的可聯網裝置如此之多？

專家的解釋是各種裝置之間差異懸殊。“如今的可聯網裝置有許多不同的作業系統及軟體，平臺的多樣性使安全防護軟體的開發十分困難。”維森特·迪亞茲解釋道，“但不妨回頭看看，個人電腦和智慧手機同樣經歷過這一階段，最終只剩下三四種作業系統。可聯網裝置的發展趨勢很有可能也是如此。屆時我們將擁有一個更便於管理的開發環境。這是我們為之奮鬥的課題之一。”

針對可聯網裝置的攻擊尚不算多，這或許能解釋製造商為何在設計中還沒有把它們的網路安全十分當回事。“由冰箱發出的攻擊的確存在，但並不常見。”維森特·迪亞茲承認。“在安全防護領域，對應的安全技術總是落後於需解決的問題。駭客總是領先於我們。”巴里·史迪曼補充道。

儘管如此，一些有所警覺的製造商還是把可聯網裝置的風險評估納入考量，尤其是在專業裝置領域。司亞樂（Sierra Wireless）為標緻雪鐵龍（PSA）配備車禍自動緊急呼救系統的車輛以及Nespresso可聯網咖啡機提供通訊模組，該公司營銷總監奧利維爾·博澤（Olivier Pauzet）介紹道：“透過蜂窩網路傳送的資料始終被嚴格加密。我們有相應的機制確保裝置中執行的是原裝軟體，而非駭客篡改後的惡意軟體。我們透過更新軟體的安全協議來避免被駭客攻破，並使用身份金鑰以確保是正確的通訊模組在與正確的伺服器傳輸資料。如果僅僅保護可聯網裝置而忽略資料的傳輸或在資料中心的儲存，那同樣無濟於事。”這些措施似乎行之有效。“我們猜測有人試圖竊取某些通訊模組中的資料，但到目前為止，尚無資料丟失。”

法國供電公司的智慧電錶Linky也採取了同樣的防護措施。“資料自離開電錶起便被加密。在每天一次的資料傳輸過程中，資料首先透過電力線通訊（利用電纜傳輸資訊）的方式集中至管理該組電錶的集中器。隨後透過GPRS（蜂窩網路）加密傳輸至具有高強度防護的中央處理系統。”Linky專案的發言人漢娜·貝瑟（Hannah Besser）詳釋道。

被遠端操控的車輛

2011年3月，美國加州大學聖地亞哥分校的一支團隊證實遠端控制車輛（一款品牌未公開的常見車型）是可行的。“研究證實，可透過車輛的蜂窩網路或藍芽連線發動攻擊。粗略地說，所有連線到車輛電子系統的通道都是潛在的侵入點，例如車上的Wi-Fi或無鑰匙進入系統。”研究帶頭人斯特凡·薩維奇（Stefan Savage）解釋道。一旦系統喪失防護，駭客就可以在裝置中安裝惡意軟體並遠端操控車輛的許多功能，例如開啟車門或啟動發動機。

反擊的號角

根據法國國家資訊自由委員會的建議，每兩次資料上傳之間的間隔不會低於10分鐘，且只有在取得當事人同意後才會上傳。然而在物聯網的廣闊世界中，這些正面例子很不幸地只是例外罷了。“一些製造商意識到了風險，但這一嶄新領域中所存在的問題尚沒有引起足夠的重視。”巴里·史迪曼承認。

“企業理應根據資料的性質採取適宜的防護措施，不惜一切代價保護資料的安全性。但製造商通常將精力更多集中在裝置的續航時間、輕便性及售價上，而忽略了安全性。”法國國家資訊自由委員會技術與創新部門主任格溫達爾·勒格朗（Gwendal Le Grand）感嘆道。

歷史證明，在技術創新的過程中，常常需要一起後果嚴重的惡性事故，才能引起人們的關注，從而使安全性成為當務之急。傳送垃圾郵件的冰箱引人發笑，但下次若再發生針對物聯網的攻擊，我們或許就笑不出來了。

+ + + + + + + + + + +

裝置使用壽命縮短

除了容易被駭客劫持的弊病外，包括汽車、洗衣機、冰箱、平板電腦和電飯煲在內的可聯網裝置還面臨使用壽命不斷縮短這一窘境。引入資訊模組以替代通常用於開啟、關閉及調節裝置的傳統按鈕將縮短產品的生命週期，例如智慧手機已縮減至兩年左右。使用超過兩年後，官方軟體更新將逐漸消聲匿跡。然而正是這些更新保障著裝置與新服務的相容性（例如新的流媒體影片標準與智慧電視），對最初未發現錯誤的修正，防毒軟體的加固……問題是持續數年的更新給製造商帶來額外成本。他們有兩種選擇：不承擔該責任並迫使顧客購買其最新產品；或繼續保證必不可少的更新並對其收費。

+ + + + +

轉載內容僅代表作者觀點

不代表中科院物理所立場

如需轉載請聯絡原公眾號

編輯：Quantum Bard