智慧生活“乌托邦”:世界会因黑客入侵而停顿?
时至今天,随着物联网、云端资料技术急速发展,都市数码转型已成为没法逆转的趋势。以往所谓的线下“实体”,如油管商、发电站、码头、银行、汽车等,现不少已进入高度资料化阶段,运用物联网技术进行日常运作。
当未来物联网覆盖程度愈高,每个节点的互联网防御力便愈加重要。然而,在未来物联网大趋势下,与之相关的互联网安全意识,在大众间获得相应关注吗?
“瑞士军团”
今年3月,一个来自瑞士的黑客组织APT-69420,宣称成功入侵来自美国的云端保安镜头新创公司Verkada内部系统,窃取超过15万个闭路电视的资料资料,涉事地点包括Tesla工厂及装车仓库、云端业务供应商Cloudflare办公室,以及美国国内一些健身室、医院、监狱、学校、警察局等社会设施。连Verkada堂堂硅谷办公室,也遭“瑞士军团”轻易入侵。
不过,黑客组织此次行动的终极目标似乎不是勒索金钱。
根据执行这次任务的其中一个著名黑客Tillie Kottmann(她目前已被美国政府落案起诉),她不讳言地公开表示,这次行动矢在为了展示Verkada“几近不存在且不负责任”的资料系统之脆弱程度。在云端镜头如此普及同时,原来这些镜头很容易便能被入侵──更重要的是,这些镜头仍正被安装在各处“高度敏感”(highly sensitive)的地方。
在万物互联的时代,一旦有不法份子找到了互联网缺口,所有连带资料都会一同被公开。
※ 瑞士黑客组织APT-69420获得的影片包括美国监狱内的囚房情况
Verkada标榜自己提供的云端镜头保安服务,是“来自硅谷的首选”,客户能够在网页操作介面上遥距操作云端镜头,监控实时影像。Verkada云端镜头产品也有为客户提供人脸识别功能选项,走在业界技术前沿。
不过,这次黑客入侵行动让Verkada被狠狠地打了一巴。Tillie Kottmann坦言,今次入侵行动实在“不需要很高的技术程度”。
“奇怪装置”无故连上网了?
“我们有很多客户意识到,原来这几年公司内部突然多了许多connected device(联网装置),包括影印机、IP Phone、员工自己的智慧电话、游戏装置、健身装置、智慧手表等,皆无限制地连上了互联网──这不应该是这样的。” 互联网安全服务公司Palo Alto Networks香港及澳门区总经理冯志刚(Wickie Fung)说道。
根据Palo Alto Networks去年发表有关世界物联网现况的安全报告指出,香港本地机构“最常连线到企业互联网的奇怪装置”,依次包括有小型厨具、可穿戴健康装置、运动装置等。
在同一份安全报告,Palo Alto Networks访问了来自亚洲、欧洲、中东和北美14个国家或地区,合共1,350名IT业务管理层人员,超过三成受访者指出他们需要大幅加强其企业的物联网保安措施,接近四成受访者更表示需要一次“大翻新”的改动。
冯志刚提到,这些装置各自都有自己的作业系统(OS),坊间有很多针对这些作业系统漏洞的组织,他们可以操控、入侵或针对目标实施“阻断服务攻击”(DoS Attack)。
冯志刚举例,他们公司其中一个客户是提供医疗服务的机构,他们发现有部分医疗装置,本来不应该连线到内联网,但它就不寻常地连上了,这是可被外部装置入侵的重大漏洞。一旦医疗机构的联网系统遭入侵,由此衍生出来的后续影响可大可小。
所以,企业需要为联网装置行为定立标准,给予措施阻止任何互联网恶意活动。例如,当连线互联网的某项器材,开始向不明网站传送数百GB的资料,企业安全系统理应发出警报,作出防御或截断互联网的工作。
号称将“汽车软件化”的电动车大厂Tesla,一样逃不过物联网漏洞攻击。今年4月初,有黑客入侵一架Tesla Model 3的车内镜头,并将拍摄画面放上YouTube,乘客的私隐荡然无存。
Tesla在前排座位前方设定镜头,原意是为改善自动驾驶系统。不过,正正由于车联网出现漏洞,导致黑客组织得以借此实施互联网攻击。
其实不只车内镜头,过去一两年已有不少人尝试入侵Tesla车辆内的软件系统,更改原厂设定,以改变车辆内部的某些功能指令,并将这些“示范短片”上载至YouTube,供各地网民任意观看。
“你和我,大家现今都正在适应一个智慧生活的时代。”冯志刚认为,当连家居都充满联网装置的今天,我们应该同时要培养良好的基本互联网保安意识。
也许普罗大众没法动辄便可为智慧家居建设起强大的防火墙,但一般加密管理行为,如设定端点保护(endpoint protection)、双重认证(two-factor authentication)、定期更新修补程式(patch update),单凭自身能力仍然可以办得到。
节点互联网的脆弱性
在高度资料化时代,未来都市面貌将会以无分国界的多个节点联通组成,配合云端技术,节点与节点之间将会实现极低延时的同步化。不过,假设这个庞大互联网当中,有某一节点被黑客入侵,那么整个同一化、同步化的互联网不就陷入瘫痪状态?假若瘫痪的是电力互联网、油管(今年5月美国油管商Colonial Pipeline瘫痪事件的影响已经显而易见)等公用事业,整个社会不就是要“停止运作”了?
在这些“智慧灾难”到来之前,作为普罗大众,我们应该要装备自己,锻炼自己的互联网保安危机意识,做好充足准备,甚至可以筹思应急后备方案,尽可能减低“智慧灾难”可能造成的负面影响。