對很多人而言,在2016年10月下旬,美國許多重要的網路服務業者,例如Twitter、Amazon、Netflix等業者的服務中斷長達2小時,事後追查才發現,原來是提供這些網路服務業者的DNS(域名服務)供應商Dyn遭到大規模的DDoS攻擊,而發動DDoS攻擊的竟然是許多網路監控攝影機(IP Cam)形成的傀儡網路(Botnet)大軍的攻擊。
除了越來越普遍的網路監控攝影機帶來的風險,也有查理米勒等兩位資安研究人員,參透克萊斯勒吉普車的車用資訊系統的存取授權限制,順利控制吉普車的方向盤、煞車等功能。
我們很榮幸邀請專精物聯網硬體設備安全的銓安智慧科技執行長鄭嘉信,於1月31日中午12點,來到「大話資安」節目現場,以「從IP Cam到車聯網:談硬體安全的重要性」為題,跟我們分享他從事硬體安全超過20年經驗的觀察。
鄭嘉信表示,不論是IP Cam或者是駭入車用資訊系統進而控制吉普車的駕駛功能,最終的原因都是,這些商品在進行硬體產品設計時,往往都沒有將「安全」納入設計的預設值,輕忽安全議題的下場,就是讓這些連網的物聯網裝置,成為駭客操控的玩具。
他也說,很多安全的漏洞其實是很「愚蠢」的,像是使用萬年不變的帳號、密碼,甚至將預設密碼直接內建在晶片中,或者是使用過期的、不安全的晶片等等。而這些的安全議題,往往只需要在設計思維上多一點用心思,就可以避免。
若以Arm晶片業者提出的TrustZone的文件來看,鄭嘉信表示,目前要駭入設備端的方式,可以從目前常見的軟體漏洞入侵的Hack Attack,以及可以從便宜硬體元件組合的攻擊工具的低成本實體攻擊(Shack Attack),以及到必須要使用專業實驗室或業者等級設備才能順利駭入裝置的Laboratory Attack等,其中,旁路攻擊(Side Channel Attack)已經成為目前越來越常見的低成本實體攻擊(Shack Attack)的一種攻擊方式,他也呼籲各界應該要關注這類的攻擊行為。
由於這類物聯網裝置的安全威脅相當複雜,鄭嘉信認為,透過設備端的硬體攻擊已經被證明是符合「駭客經濟學」的一種有效攻擊手法,他也呼籲所有的物聯網裝置業者應該要提供安全意識,從安全設計著手,一直到設備出廠後的生命週期的管理機制,包括掌握韌體的版本與更新等,能降低多數人使用物聯網裝置時,所面臨的資安風險。
時間:2019年1月31日(四)中午12點~13點
題目:從IP Cam到車聯網:談硬體安全的重要性
來賓:銓安智慧科技執行長 鄭嘉信(Albert Cheng)
背景簡介:臺大資工學士、臺科大資管碩士,專精電信、軟體工程、網路與資訊安全與硬體資訊安全等。
直播網址:https://r.itho.me/st0131
