信息來(lái)源：51cto

一般認(rèn)為家庭網(wǎng)絡(luò)沒(méi)有任何值得黑客攻擊的目標(biāo)，但2016年發(fā)生的Mirai僵尸病毒攻擊事件，大大地改變了所有人對(duì)智慧居家的安全認(rèn)知。

以Mirai為例，病毒通過(guò)不斷掃描家用物聯(lián)網(wǎng)設(shè)備，例如無(wú)線路由器或攝像機(jī)等，第一代病毒只是利用連網(wǎng)設(shè)備默認(rèn)的賬號(hào)密碼嘗試登錄，就可順利地感染了數(shù)以百萬(wàn)計(jì)的家用設(shè)備，并且利用這些被感染的設(shè)備，成功對(duì)電信運(yùn)營(yíng)商發(fā)起大型分布式阻斷服務(wù)攻擊(DDoS攻擊)。過(guò)去的DDoS攻擊，通常黑客只能使用數(shù)千至數(shù)萬(wàn)臺(tái)僵尸服務(wù)器來(lái)攻擊，只要運(yùn)營(yíng)商逐一將IP隔離，便可順利阻擋;但Mirai卻可輕易地發(fā)動(dòng)數(shù)百萬(wàn)臺(tái)設(shè)備，發(fā)起超過(guò)1TB流量的攻擊，以致許多運(yùn)營(yíng)商束手無(wú)策。

有鑒于此，各國(guó)開(kāi)始重視物聯(lián)網(wǎng)設(shè)備的安全，從美國(guó)前總統(tǒng)奧巴馬提出的“國(guó)家網(wǎng)絡(luò)安全行動(dòng)計(jì)劃(Cybersecurity National Action Plan)”，所衍生出的UL2900安全標(biāo)準(zhǔn)，到OWASP的IoT安全十大漏洞，而臺(tái)灣工業(yè)局跟資策會(huì)匯集產(chǎn)業(yè)界意見(jiàn)后推出的《視頻監(jiān)控系統(tǒng)網(wǎng)絡(luò)攝像機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)》也在今年正式上路。另一方面，網(wǎng)絡(luò)攝像機(jī)被植入后門以及家用路由器中毒等安全事件層出不窮，智慧居家安全逐漸上升為國(guó)土安全議題，如2017年初D-Link跟華碩的路由器便曾遭美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)控告，后來(lái)雖達(dá)成和解，但美政府重視智慧居家安全的程度可見(jiàn)一斑。

IoT設(shè)備將成黑客主要攻擊目標(biāo)

連網(wǎng)設(shè)備使威脅無(wú)所不在，為何黑客開(kāi)始以IoT設(shè)備作為目標(biāo)呢?原因有以下幾點(diǎn)：

• 同構(gòu)型設(shè)備數(shù)量眾多，且遍布全球，例如：一旦破解某品牌攝像機(jī)，其他攝像機(jī)駭入方法大同小異，可快速擴(kuò)散病毒。
• IoT設(shè)備永遠(yuǎn)連網(wǎng)，所以易攻擊，也是擔(dān)任跳板的絕佳目標(biāo)。
• IoT設(shè)備運(yùn)算資源少，因此無(wú)法安裝傳統(tǒng)防毒或安全防護(hù)軟件。
• IoT設(shè)備大多沒(méi)有自動(dòng)更新軟件的功能，舊款軟件上的漏洞容易被滲透。
• 多數(shù)IoT設(shè)備支持云端及App聯(lián)機(jī)，造成黑客更易從App去逆向破解或云端滲透。

讀者接下來(lái)可能要問(wèn)，為什么這么多網(wǎng)絡(luò)安全公司，卻無(wú)法提供適當(dāng)?shù)陌踩雷o(hù)呢?事實(shí)上，目前絕大多數(shù)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，仍建立在非常古老的特征碼掃瞄基礎(chǔ)下，原理是將已捕捉到的病毒樣本行為特征萃取出來(lái)成為病毒數(shù)據(jù)庫(kù)，再比對(duì)進(jìn)來(lái)的網(wǎng)絡(luò)流量及封包。舉例來(lái)說(shuō)，就像是進(jìn)出機(jī)場(chǎng)海關(guān)時(shí)，海關(guān)人員比對(duì)通緝犯照片，如果長(zhǎng)相跟通緝犯神似，就會(huì)被攔下;但若尚未被登錄在通緝犯名單中，或是經(jīng)過(guò)整形易容，便可以順利通關(guān)。

特征碼掃描也遇到相同的問(wèn)題，以現(xiàn)今病毒攻擊手法變化及散播之快，防毒公司往往來(lái)不及公布新的病毒特征，或者病毒特征不斷變形，還未拿到病毒樣本就已掃遍全球，此即為零時(shí)差攻擊。再加上物聯(lián)網(wǎng)裝置里面的CPU及內(nèi)存為了節(jié)省成本，大多配備僅足夠應(yīng)付設(shè)備使用的最低硬件規(guī)格，難以再容納一個(gè)龐大的安全防護(hù)軟件嵌入，更遑論有儲(chǔ)存龐大病毒數(shù)據(jù)庫(kù)的空間。雖然目前有安全廠商宣稱采用云端病毒數(shù)據(jù)庫(kù)，掃描引擎只需送上云端比對(duì)即可，但這種做法一方面增加了流量的延遲時(shí)間，再來(lái)增加使用者對(duì)自身隱私是否也被上傳云端的疑慮，且仍然無(wú)法解決零時(shí)差攻擊的問(wèn)題。

智慧居家的安全防護(hù)建議

究竟黑客是如何駭入這些成千上萬(wàn)的設(shè)備?通常他們會(huì)采購(gòu)一些目標(biāo)設(shè)備來(lái)測(cè)試漏洞，這些設(shè)備大多為保護(hù)機(jī)制較弱且有開(kāi)放外網(wǎng)連入，例如路由器或是網(wǎng)絡(luò)攝像機(jī)。一旦找到攻擊方法，幾乎同類型又保護(hù)不全的設(shè)備皆會(huì)列入攻擊名單中，黑客即可開(kāi)發(fā)出可自動(dòng)掃描此類IoT裝置的爬蟲(chóng)程序，然后在網(wǎng)絡(luò)上四處掃描該裝置的外網(wǎng)漏洞;如果順利入侵家中路由器或攝像機(jī)，這些程序則會(huì)再透過(guò)內(nèi)網(wǎng)掃描來(lái)入侵其他設(shè)備，簡(jiǎn)直防不勝防。

針對(duì)智能居家使用者的自我防護(hù)，筆者建議如下：

• 盡量使用歐美品牌或臺(tái)灣品牌有外銷美國(guó)實(shí)績(jī)，有經(jīng)過(guò)認(rèn)證更佳，通常這些廠商不會(huì)建置后門，而且對(duì)于出現(xiàn)新的安全漏洞時(shí)，也較快釋出更新的軟件或韌體。
• 更改家中所有設(shè)備的默認(rèn)密碼成為強(qiáng)密碼，如能定期更新密碼會(huì)更加安全。
• 定期更新軟件。
• 家中筆記本電腦及手機(jī)應(yīng)盡量安裝封閉式的操作系統(tǒng)，避免使用開(kāi)放系統(tǒng)。
• 務(wù)必將不必要的云服務(wù)以及在外遠(yuǎn)程透過(guò)App連回家中設(shè)備的服務(wù)關(guān)閉，因?yàn)檫@些服務(wù)極可能成為黑客程序滲透的漏洞。
• 勿隨便開(kāi)啟及回復(fù)不明電子郵件，尤其要確認(rèn)寄件人的郵件地址，因寄件人名稱可以被偽冒，一定要在寄件人字段上按鼠標(biāo)右鍵確認(rèn)寄件人地址，筆者就常收到偽裝成微軟或蘋果公司寄來(lái)，要求輸入密碼確認(rèn)的釣魚(yú)郵件。

除把握上述要點(diǎn)之外，現(xiàn)在也有許多新創(chuàng)網(wǎng)絡(luò)公司在研究新的物聯(lián)網(wǎng)防護(hù)技術(shù)。以美國(guó)新創(chuàng)公司Forceshield發(fā)明的動(dòng)態(tài)變形網(wǎng)頁(yè)(Dynamic Transformation)技術(shù)為例，當(dāng)使用者用瀏覽器瀏覽經(jīng)由Forceshield網(wǎng)關(guān)軟件保護(hù)的網(wǎng)頁(yè)，所看到的網(wǎng)頁(yè)原始頁(yè)為亂碼，而且每次皆不同 (如圖一)，因此將它利用在物聯(lián)網(wǎng)設(shè)備的管理頁(yè)面時(shí)，黑客的病毒程序無(wú)法讀懂網(wǎng)頁(yè)原始碼內(nèi)容(如圖二)，只能放棄攻擊。此種技術(shù)不但輕薄短小( 小于2MB)，可輕松嵌入IoT設(shè)備、不須更新特征碼，相同技術(shù)可運(yùn)用在App及云端運(yùn)用上，能擋住大多數(shù)僵尸病毒的自動(dòng)化攻擊，已獲得許多大型網(wǎng)站及IoT設(shè)備使用。

隨著IoT裝置持續(xù)增加，強(qiáng)化智能裝置的連網(wǎng)安全已經(jīng)刻不容緩，期望未來(lái)有愈來(lái)愈多的新創(chuàng)公司投入IoT安全防護(hù)，以滿足用戶安心使用智能居家設(shè)備的需求。