智能生活“乌托邦”:世界会因黑客入侵而停顿?
时至今天,随着物联网、云端数据技术急速发展,都市数码转型已成为没法逆转的趋势。以往所谓的线下“实体”,如油管商、发电站、码头、银行、汽车等,现不少已进入高度数据化阶段,运用物联网技术进行日常运作。
当未来物联网覆盖程度愈高,每个节点的网络防御力便愈加重要。然而,在未来物联网大趋势下,与之相关的网络安全意识,在大众间获得相应关注吗?
“瑞士军团”
今年3月,一个来自瑞士的黑客组织APT-69420,宣称成功入侵来自美国的云端保安镜头新创公司Verkada内部系统,窃取超过15万个闭路电视的数据资料,涉事地点包括Tesla工厂及装车仓库、云端业务供应商Cloudflare办公室,以及美国国内一些健身室、医院、监狱、学校、警察局等社会设施。连Verkada堂堂矽谷办公室,也遭“瑞士军团”轻易入侵。
不过,黑客组织此次行动的终极目标似乎不是勒索金钱。
根据执行这次任务的其中一个著名黑客Tillie Kottmann(她目前已被美国政府落案起诉),她不讳言地公开表示,这次行动矢在为了展示Verkada“几近不存在且不负责任”的数据系统之脆弱程度。在云端镜头如此普及同时,原来这些镜头很容易便能被入侵──更重要的是,这些镜头仍正被安装在各处“高度敏感”(highly sensitive)的地方。
在万物互联的时代,一旦有不法份子找到了网络缺口,所有连带数据都会一同被公开。
※ 瑞士黑客组织APT-69420获得的影片包括美国监狱内的囚房情况
Verkada标榜自己提供的云端镜头保安服务,是“来自矽谷的首选”,客户能够在网页操作介面上遥距操作云端镜头,监控实时影像。Verkada云端镜头产品也有为客户提供人脸识别功能选项,走在业界技术前沿。
不过,这次黑客入侵行动让Verkada被狠狠地打了一巴。Tillie Kottmann坦言,今次入侵行动实在“不需要很高的技术程度”。
“奇怪设备”无故连上网了?
“我们有很多客户意识到,原来这几年公司内部突然多了许多connected device(联网设备),包括影印机、IP Phone、员工自己的智能电话、游戏装置、健身设备、智能手表等,皆无限制地连上了互联网──这不应该是这样的。” 网络安全服务公司Palo Alto Networks香港及澳门区总经理冯志刚(Wickie Fung)说道。
根据Palo Alto Networks去年发表有关世界物联网现况的安全报告指出,香港本地机构“最常连接到企业网络的奇怪设备”,依次包括有小型厨具、可穿戴健康装置、运动设备等。
在同一份安全报告,Palo Alto Networks访问了来自亚洲、欧洲、中东和北美14个国家或地区,合共1,350名IT业务管理层人员,超过三成受访者指出他们需要大幅加强其企业的物联网保安措施,接近四成受访者更表示需要一次“大翻新”的改动。
冯志刚提到,这些设备各自都有自己的操作系统(OS),坊间有很多针对这些操作系统漏洞的组织,他们可以操控、入侵或针对目标实施“阻断服务攻击”(DoS Attack)。
冯志刚举例,他们公司其中一个客户是提供医疗服务的机构,他们发现有部分医疗设备,本来不应该连接到内联网,但它就不寻常地连上了,这是可被外部装置入侵的重大漏洞。一旦医疗机构的联网系统遭入侵,由此衍生出来的后续影响可大可小。
所以,企业需要为联网设备行为定立标准,给予措施阻止任何网络恶意活动。例如,当连接网络的某项器材,开始向不明网站传送数百GB的数据,企业安全系统理应发出警报,作出防御或截断网络的工作。
号称将“汽车软件化”的电动车大厂Tesla,一样逃不过物联网漏洞攻击。今年4月初,有黑客入侵一架Tesla Model 3的车内镜头,并将拍摄画面放上YouTube,乘客的私隐荡然无存。
Tesla在前排座位前方设置镜头,原意是为改善自动驾驶系统。不过,正正由于车联网出现漏洞,导致黑客组织得以借此实施网络攻击。
其实不只车内镜头,过去一两年已有不少人尝试入侵Tesla车辆内的软件系统,更改原厂设定,以改变车辆内部的某些功能指令,并将这些“示范短片”上载至YouTube,供各地网民任意观看。
“你和我,大家现今都正在适应一个智能生活的时代。”冯志刚认为,当连家居都充满联网设备的今天,我们应该同时要培养良好的基本网络保安意识。
也许普罗大众没法动辄便可为智能家居建设起强大的防火墙,但一般加密管理行为,如设置端点保护(endpoint protection)、双重认证(two-factor authentication)、定期更新修补程式(patch update),单凭自身能力仍然可以办得到。
节点网络的脆弱性
在高度数据化时代,未来都市面貌将会以无分国界的多个节点联通组成,配合云端技术,节点与节点之间将会实现极低延时的同步化。不过,假设这个庞大网络当中,有某一节点被黑客入侵,那么整个同一化、同步化的网络不就陷入瘫痪状态?假若瘫痪的是电力网络、油管(今年5月美国油管商Colonial Pipeline瘫痪事件的影响已经显而易见)等公用事业,整个社会不就是要“停止运作”了?
在这些“智能灾难”到来之前,作为普罗大众,我们应该要装备自己,锻炼自己的网络保安危机意识,做好充足准备,甚至可以筹思应急后备方案,尽可能减低“智能灾难”可能造成的负面影响。