物聯網的資安攻防大戰!臺灣該如何見招拆招?
110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪
5G 科技讓萬物聯網的新紀元已經來臨,代表著機器與機器溝通,人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中,邪惡駭客組織攻占重要機關的主機系統,引發一連串資安問題,甚至攸關社會國家安危的重大事件,也可能在現實中發生!
科技帶來的便利與風險並存的這個世代,來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享,一起思考 5G 物聯網下面對的資安挑戰。
一起跟資安達人瞭解 5G 如何翻轉我們的生活!
「16 年前一個月黑風高的夜晚,博士班學姐的一通電話,讓我踏上資安這條不歸路……」
問起投入資安領域的契機,王總監用打趣的口吻開場。當時在學姐的建議下,他參與了設計國内第一個資安指標的工作,從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監,雖非一般人熟悉的另一位仁甫兄,但他對科技資安研究的敏銳觀察與豐富經驗,肯定令人甘拜下風。
他談到,4G 網絡的發展令網紅經濟崛起,你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網,將帶來更大的轉變與衝擊。
為什麽比起 4G,5G 有「大頻寬、高速率、低延遲」的特性?這是因為目前 4G 所在電磁波區間(約 450 MHz ~ 3800 MHz)已塞滿用戶,讓網速變得越來越慢,因此人類便把腦筋動到頻率更高的毫米波頻段(約30 GHz ~ 300 GHz)。增加了 5G 的區段,就像從塞爆的車流中,移到空曠的新路上。而頻率越高,頻寬也越寬,這條道路不止空曠而且比原先的更寬闊,於是訊息的傳遞能暢行無阻,理論上可比 4G 快一百倍!
「5G 最重要的,就是可以達成邊緣運算(Edge Computing)。」
王總監舉例,自動駕駛和遠距醫療還未普及,是因為傳統仰賴的雲端運算(Cloud Computing),傳輸訊息的速度不夠快,且成本高。雲端運算可以比喻作中央集權制,凡事都要經過朝廷皇上批閲議決,效率自然較低;但邊緣運算就像地方分權,讓數據可以直接在收集端附近實時處理和分析,無需先上報到雲端進行存儲、管理和分析運算,節省了上傳等待運算的時間,也減輕網絡和服務器的負擔。
在高速公路和手術檯上,微秒之差就是生死關頭。而 5G 搭配邊緣運算,大大提高的數據傳輸速率與極低的延遲,讓自動車之間可以維持安全的相對距離,遠端控制的手術刀可以精準無差地落在正確的部位。
也有賴於 5G 科技,需要大量運算資源的人工智慧(Artificial Intelligence,AI)也可以實現。這些發展促成物聯網(Internet of Things, IOT)的建立,機器和機器之間可以達成溝通,整合各方數據資訊,迅速有效率地完成各種指令。小至個人智能家居,大至工廠機械、重要基礎設備如水壩、發電廠等等,都能踏入數位自動化的新境界。
越方便就越危險?機器與機器的連接也要小心
不過,5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統,由電信商自上而下提供網絡,再經由應用程式界面(Application Programming Interface,API)提供服務給用戶,存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G(注1), 則是由邊緣端、應用裝置及用戶組成,數據傳輸相互往來的三角形體系,不再有上下權限差別的限制。為了形成物聯網提供更多應用,5G 網絡也變得更對外開放,被駭入的風險也會提高。
研究專長為駭客行爲的王總監提到,如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行,還要擔心實體鈔票金條太重,扛不動。現在駭客只要動一動手指,就能利用惡意程式讓銀行的上億元瞬間消失;或使用勒索病毒,鎖定廠商的資料庫,再以巨額款項要挾,否則就把重要生產機密銷毀或公諸於世。
「5G 應用得越深,危害的情境就越高。」
未來 5G 物聯網可能面對的兩大資安威脅,包括用戶 IP 可能被駭入後,可能被用作惡意中繼站或跳板繼續攻擊另一方,讓受害者同時也成了加害者。再來,當物聯網涉及的層面越來越廣,假如被不法分子入侵掌控的是自駕車、基地台,甚至是重大國家基礎建設如水壩、發電廠等等,造成的損失傷害不堪設想!
網絡戰資訊戰開打,台灣如何接招還擊?
從個人角度,平時養成謹慎小心的習慣,不隨便亂點不明連接,隨時留意最新的網絡犯罪手法,是保護自己的不二法門。但在通訊科技發達的今時,第三次世界大戰很可能就在網路上發生,資安可是攸關國家安危的重大議題。
自 2016 年起,台灣便喊出「資安即國安」的口號,而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中,首要步驟就是將資安鐵三角(資訊安全、通訊安全、國家安全)正規化。政府也修訂相關法規,將資訊和網際空間延伸為國家主權的一環,並把駭客攻擊與竊取智慧財產,納入情報蒐集的工作,才能為網絡戰做好準備。
「守護要自己來,就需要有人才。沒有資安人才,就沒有基礎的資安;沒有錢投入,也不會有資安人才。」
王總監强調,一個國家的資安要做好,最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展,資安人才缺乏,就必須仰賴國外的產品。若系統程式都不是由自己人開發,而是假手於他人,便難以確保檢測過程的可靠性,往往等到資安事件發生後,才驚覺漏洞的存在。因此,政府也編組了多支專業團隊,培訓資通電軍與資安產業人才,為國内資安把關。
而「資安即國安 2.0」的重點,除了規劃新設數位發展部、成立專責的資通安全署,就是主動式防禦(注 2)——與其乖乖等著被人打,不如自己先請外部團隊攻擊自己,作資安測試,去找出資安漏洞和弱點!舉例來說,業界為了找出系統防禦上的漏洞盲點,常會委外進行紅隊演練(Red Teaming)。就像在進行軍事演習,紅隊扮演進攻方,以無所不用其極的方法嘗試入侵,同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低,一次就要三五百萬臺幣起跳。
但台灣不用付錢,就有免費的資安攻防演練!王總監如此笑言。這是因為,在全球最常受駭客攻擊的國家排行榜上,台灣可是位居前列。根據網路資安商 Fortinet 的報告,2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊,平均每分鐘就會遭遇逾 15 次的攻擊!所謂危機就是轉機,這些源源不絕的攻擊,也讓台灣深具適合發展資安產業的龐大潛力。王總監認為,資安產業要像台灣未來的台積電,扮演護國神山般的角色。
想投身資安產業?不需要獻出心臟,只要有一顆熱忱的心
「投入資安產業不要限科系,但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人,王總監給出這樣的建議。
雖非資訊科學出身,但大學的工程背景,讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士,前者使他瞭解產業界的趨勢走向,法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中,他則從社會學、科技研究的方法分析駭客行為。他表示,跨領域的學習可以讓他從更廣濶的視角,釐清各方問題之後,找到痛點,來提供更好、更全面的科技與資安政策。
王總監指出,這一代除了要與人溝通,還要學會與機器溝通,所以掌握好程式語言的邏輯基礎是重要的,因此王總監所在的資策會資安所,除了研發研發資安監控平臺,將研發的成果技轉給業界,同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事,推展培育資安人才的各項活動,未來希望能舉辦小朋友駭客營,讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人,能力好的可以負責找漏洞和抵禦攻擊,站在資安攻防戰最前線;即使程度不夠拔尖,也可肩負資安維運的工作,在各自的崗位上適才所用,都能為守護資安和國安,盡一份心力。
根據光速等於波長乘以頻率(c = f × λ)關係式,我們知道頻率越高的波段,波長越短,穿透能力強。所以 5G 電磁波訊號遇到障礙物時,會想强行穿越而非「繞」過,繞射能力弱,造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢,弱點就是訊號覆蓋範圍小,故需要設置夠多的基地台方可實現,而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網,而是擁有特地目的、獨立運作的網絡系統。
此外,主動式防禦也包含三要素:歸因、阻斷、減災。歸因便是找出攻擊的背後原因,釐清駭客的犯案動機,才能對症下藥。再來,對惡意程式來源進行阻斷,往後才可以減少再次被入侵的風險。
附圖:王仁甫
和台灣知名藝人同名同姓的王總監,説話風趣幽默,整個採訪過程充滿笑聲。圖/台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是,資料將改放在網際網路和本地網路之間的邊緣運算層作處理,等資料變少了,再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊,源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖/pexels
資料來源:https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg
同時也有1部Youtube影片,追蹤數超過43萬的網紅Carl Ho卡爾 頻道,也在其Youtube影片中提到,這影片只是作講解及示範測試 如因模仿測試而得到任何損失 本人絕不負責 o_Ov ▷ 更多資訊、科技相關的影片 ◁ https://goo.gl/E43kr6 註1: “甘寧” 是 “X你” 的諧音…懂嗎? 英文就是 F U…還是不懂就算了 ^-^ 靈感: https://youtu.be/iX...
「駭 客 指令」的推薦目錄:
- 關於駭 客 指令 在 台灣物聯網實驗室 IOT Labs Facebook 的最讚貼文
- 關於駭 客 指令 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳解答
- 關於駭 客 指令 在 Facebook 的精選貼文
- 關於駭 客 指令 在 Carl Ho卡爾 頻道 Youtube 的最佳解答
- 關於駭 客 指令 在 cmd駭客指令的推薦與評價,PTT、MOBILE01、GITHUB 的評價
- 關於駭 客 指令 在 cmd駭客指令的推薦與評價,PTT、MOBILE01、GITHUB 的評價
- 關於駭 客 指令 在 cmd駭客指令的推薦與評價,PTT、MOBILE01、GITHUB 的評價
- 關於駭 客 指令 在 駭客教學2022-在Facebook/IG/Youtube上的焦點新聞和熱門 ... 的評價
- 關於駭 客 指令 在 駭客教學2022-在Facebook/IG/Youtube上的焦點新聞和熱門 ... 的評價
- 關於駭 客 指令 在 本人的拙作《職業駭客的修練:機械碼與底層的把玩藝術》一書 ... 的評價
駭 客 指令 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳解答
Realtek晶片10多項安全漏洞可導致系統被接管,影響至少65家IoT廠商
文/林妍溱 | 2021-08-17發表
安全廠商IoT Inspector本周公布瑞昱半導體的一款無線裝置晶片,有10多項漏洞,可使駭客執行任意程式碼,最嚴重可導致系統被接管。瑞昱已經完成修補。
研究人員是在研究一臺雙SoC設計的網路數據機時發現問題,最後在其中所用的Realtek SoC晶片發現安全漏洞。這臺裝置主要SoC跑的是Linux,另一顆SoC是瑞昱的Realtek RTL819xD。這塊晶片所屬的RTL8xxx SoC系列是IoT裝置常用的無線晶片。在這次的系統上,它負責裝置上所有的AP(Access Point)功能,跑的是瑞昱寫的精簡版Linux系統。
研究人員發現RTL819xD使用的Realtek SDK可能導致服務曝露在網路上,而使IoT裝置有安全風險。經過分析,該SDK當中的二進位檔存在10多項漏洞,從指令注入、到記憶體毁損,影響UPnP、HTTP介面,以及Realtek開發的網路服務。
有問題的SDK包括Realtek SDK v2.x、Realtek “Jungle” SDK v3.0到v3.4,以及Realtek “Luna” SDK 1.3.2以前版本。
所有使用RTL8xxx系列SoC的IoT裝置都因此曝險。研究人員表示,若是讓攻擊者開採這些漏洞,他們可以以最高權限執行任意程式碼,最嚴重是完全接管受害裝置。
研究人員評估至少65家廠商受影響,包括Netgear、LG、ZTE、Zyxel,涵括將近200個不同產品。受影響的裝置涵括多種IoT裝置,包括家用閘道、旅行用路由器、Wi-Fi 訊號放大器、IP攝影機、或智慧照明閘道,甚至可連網的兒童玩具。
研究人員今年5月通報瑞昱後,該公司已經釋出新版SDK,修補Realtek Jungle SDK及Luna SDK,並釋出安全公告。但Realtek SDK v2.x已經是11年的舊軟體,現在瑞昱已不支援,廠商應考慮升級版本。
附圖:
IoT裝置常用無線晶片Realtek RTL8xxx SoC系列有多項漏洞,可使駭客執行任意程式碼,瑞昱接獲安全業者IoT Inspector通報後,已發布安全公告進行修補
資料來源:https://www.ithome.com.tw/news/146236
駭 客 指令 在 Facebook 的精選貼文
#近期許多社福團體被詐騙集團駭入,取得捐款人資料,再假冒是社福團體員工,進行捐款遊說。
請大家貼提高警覺,有疑慮都記得不要立刻「照著指令做」,先停、爭取可以查證的時間、不要用對方提供的電話查證、自行洽詢相關單位或主管機關。
詐騙集團有幾個特色:步步進逼、得寸進尺、引發你的恐懼和焦慮、不耐煩(多繞幾次,對方就沒耐心掛電話及通訊)。如果發現對方用「洗腦式」的方式,更要注意‼️因為他們不希望你思考,所以不會給你思考的空間和時間。
但無論如何,詐騙集團的成員都彷彿有受過心理操控的訓練,身為民眾的我們就更要進步,也多瞭解一下他們會用的話術和套路。
請參考新聞:
駭 客 指令 在 Carl Ho卡爾 頻道 Youtube 的最佳解答
這影片只是作講解及示範測試
如因模仿測試而得到任何損失
本人絕不負責 o_Ov
▷ 更多資訊、科技相關的影片 ◁
https://goo.gl/E43kr6
註1: “甘寧” 是 “X你” 的諧音…懂嗎?
英文就是 F U…還是不懂就算了 ^-^
靈感: https://youtu.be/iXFREI66PDc
註2: “D槽” , 本來單純解作” D硬碟 (D Drive)”
後來因為某某事件被揭起 “迷片全都在D槽中”
國語讀音又與 ”低潮”同音 , 故後來引伸出大量的意思 ;
通常用來揶揄別人
常被指『你已經達到了人生“D槽” 所以要打開“D槽”來慰藉』
另外 『你才OO、你(們)全家都OO』也曾經是非常熱門的潮句呢!
註3: “你有Freestyle嗎?” 來自最近爆紅的 “中國有嘻哈”
因吳亦凡在節目中說出這句話
但卻被網友挖出他的Freestyle有多爛...
現在用作 “因為詞窮而用來引開話題“ 的語句
用法像:”今天天氣很好呢^_^”
來源: https://youtu.be/zdlxfoPCOOM
▷ 延伸閱讀 : 叉路炸彈 Fork Bomb - 駭客的服務阻斷攻擊 ◁
https://goo.gl/fc6JVL
▷ 更多實驗 More Experiments ◁
https://goo.gl/MzwL7f
▷ 更多趣味話題 More Funny Video ◁
https://goo.gl/SrmBPm
---------------------------------------------------------------
▷ 背景音樂資訊 BGM (Background Music) Info. ◁
BGM1: Toby fox - Undertale 003 - Your Best Friend
BGM2: "New Phantom" by Silent Partner
BGM3: TheFatRat - Infinite Power
Music Link : https://youtu.be/3aLyiI2odhU
~~~~~~~~~~~~~~~~~~~~~~~~~~
(゚∀゚) ノシ
更多關於我的 More About Me
實用 Useful:
▷ 生活妙招 Life skills ◁ https://goo.gl/ZTLG18
▷ DIY教學 DIYs Guide ◁ https://goo.gl/u4ENC7
搞笑 Fun:
▷ 趣味話題系列 Funny Video ◁ https://goo.gl/SrmBPm
▷ 惡搞混音曲 Parody Remix ◁https://goo.gl/sdbRM4
▷ 挑戰系列 Challenges ◁ https://goo.gl/IGt6Kg
▷ 智障劇場 ◁ https://goo.gl/RKDPQM
實測 Practice:
▷ 開箱系列 Unboxing ◁ https://goo.gl/CE6MpC
▷ 實驗系列 Experiments ◁ https://goo.gl/MzwL7f
寵物 Pet:
▷ 我的搞笑倉鼠 My Funny Hamsters ◁ https://goo.gl/8sNzHy
▷ 倉鼠養育教學 Hamster Care Guide ◁ https://goo.gl/zZWYF7
放鬆 Relax:
▷ ASMR系列 ◁ https://goo.gl/KSvmVF
---------------------------------------------------------------
▷ 臉書粉絲專頁 Facebook Fanpage ◁ https://goo.gl/699CdS
▷ Instagram ID ◁ CarlHo117
駭 客 指令 在 駭客教學2022-在Facebook/IG/Youtube上的焦點新聞和熱門 ... 的推薦與評價
駭客 教學2022-在Facebook/IG/Youtube上的焦點新聞和熱門話題資訊,找找駭客,灰帽駭客,駭客黑客在2022年該注意什麼?駭客教學在2022的熱門內容就在年度社群熱搜話題焦點 ... ... <看更多>
駭 客 指令 在 本人的拙作《職業駭客的修練:機械碼與底層的把玩藝術》一書 ... 的推薦與評價
各位同學們大家早,本人的拙作《職業駭客的修練:機械碼與底層的把玩藝術》一書即將 ... 機械碼指令集合:(在社團的檔案裡頭). 機械語言指令集與跳轉指令別名.doc. ... <看更多>
駭 客 指令 在 駭客教學2022-在Facebook/IG/Youtube上的焦點新聞和熱門 ... 的推薦與評價
駭客 教學2022-在Facebook/IG/Youtube上的焦點新聞和熱門話題資訊,找找駭客,灰帽駭客,駭客黑客在2022年該注意什麼?駭客教學在2022的熱門內容就在年度社群熱搜話題焦點 ... ... <看更多>