毋庸置疑，說(shuō)到物聯(lián)網(wǎng)(IoT)或萬(wàn)物聯(lián)網(wǎng)(IoE)，都是近年來(lái)炙手可熱的議題，也成為廠商亟欲搶攻的商機(jī)灘頭堡;但人們?cè)谙碛梦锫?lián)網(wǎng)IoT高度連結(jié)效益，繼而讓工作與生活變得更具智慧便利之余，似乎也承受較以往更大的隱私與安全威脅。

在去年底(2016)，一支名為Mirai的僵尸病毒，釀成多起兇猛的分布式阻斷服務(wù)攻擊(DDoS)，無(wú)疑像是震撼教育，使大家幡然醒悟，總算明白當(dāng)今被喊得震天價(jià)響的物聯(lián)網(wǎng)，原來(lái)如此弱不禁風(fēng)。

回顧Mirai歷史，最早是在去年8月遭人發(fā)現(xiàn)，它意在攻擊諸如網(wǎng)絡(luò)路由器、打印機(jī)、攝影機(jī)或數(shù)字監(jiān)視錄像機(jī)(DVR)等植基于Linux固件的物聯(lián)網(wǎng)設(shè)備，至于具體入侵手法，病毒會(huì)先選擇一個(gè)隨機(jī)IP地址，接著試圖運(yùn)用一些預(yù)設(shè)的管理用帳密，看看能否登入裝置;只可惜不少物聯(lián)網(wǎng)設(shè)備供貨商、用戶都太過(guò)輕忽大意，沿用預(yù)設(shè)帳號(hào)與密碼的情況比比皆是，以致Mirai攻擊者如入無(wú)人之境，接連攻陷各大網(wǎng)站，包括Twitter、Paypal、Spotify等網(wǎng)站都淪為苦主。

時(shí)至2017年，Mirai更優(yōu)化了它的體質(zhì)，不再只懂得利用殭尸程序與暴力破解來(lái)發(fā)掘潛在受害者，而進(jìn)一步擅用新的Windows木馬程序，幫忙搜尋潛在攻擊對(duì)象，期以擴(kuò)大Mirai殭尸病毒的感染范圍。

這支Windows木馬程序會(huì)根據(jù)C&C服務(wù)器的指示，負(fù)責(zé)掃瞄被指定的IP地址，假使成功入侵目標(biāo)裝置，會(huì)立即檢視裝置所用的作業(yè)平臺(tái)為何，如果是Linux，便二話不說(shuō)直接植入Mirai病毒，如果是Windows，就會(huì)將木馬程序復(fù)制一份到裝置上，接手搜尋其他Linux目標(biāo)裝置。

可怕的是，Windows木馬程序比起原先的Linux版本，可掃瞄的端口數(shù)量更多、型態(tài)更廣，簡(jiǎn)直把所有可能感染裝置的途徑，全都納入其中，得以有效擴(kuò)大Mirai活動(dòng)范圍。不禁讓人憂心，用戶在歷經(jīng)2016年底的Mirai震撼教育后，是否亡羊補(bǔ)牢，趕緊改正了采用預(yù)設(shè)帳密的壞習(xí)慣?如果不能，縱使2016年僥幸未淪為受害者，如今仍可能在搭配Windows木馬程序的強(qiáng)大攻勢(shì)下難逃劫數(shù)。

民眾也許有所不知，有一個(gè)堪稱是智能物聯(lián)網(wǎng)IoT裝置超大型目錄的搜索引擎-Shodan，只要全球的任何用戶未對(duì)裝置更改默認(rèn)密碼，就會(huì)被Shodan網(wǎng)站納入統(tǒng)計(jì)，迄至目前，臺(tái)灣符合Default Password的物聯(lián)網(wǎng)裝置，恒常維持在逼近1萬(wàn)臺(tái)的高水平，名列世界第一位，占全球總數(shù)的10余百分點(diǎn)，更始終比美國(guó)高出約3,000臺(tái)。

看到這份數(shù)據(jù)，理應(yīng)讓不少安全專家冷汗直流，直呼人民對(duì)于物聯(lián)網(wǎng)安全的認(rèn)知程度，竟然如此之薄弱，這般“低級(jí)失誤”，恐讓我們蒙受極高安全風(fēng)險(xiǎn)。

值得一提的，一個(gè)聲稱已匯集數(shù)萬(wàn)支網(wǎng)絡(luò)攝影機(jī)畫面的網(wǎng)站-Insecam，里頭也有超過(guò)340個(gè)來(lái)自臺(tái)灣的監(jiān)視器畫面;其中最讓安全專家津津樂(lè)道的，是某家藝品店，黑客已成功換置該店的系統(tǒng)，而且還在監(jiān)視器畫面上貼上一行紅色，表明店家的網(wǎng)絡(luò)攝影機(jī)已經(jīng)被入侵，但幾個(gè)月過(guò)去了，這行紅字始終呈現(xiàn)于畫面上，意謂店家對(duì)于自己的攝影機(jī)遭到入侵一事，依舊渾然不覺(jué)，更不論采取任何應(yīng)對(duì)措施，物聯(lián)網(wǎng)安全問(wèn)題之嚴(yán)重，借助此例即可充分表露無(wú)遺。

有人說(shuō)，展望未來(lái)，人們現(xiàn)在所倚靠的一切開關(guān)按鍵都會(huì)消失，不再需要借助遙控器來(lái)轉(zhuǎn)臺(tái)，也不必透過(guò)開關(guān)來(lái)關(guān)閉照明設(shè)備，這些裝置都將依預(yù)先設(shè)計(jì)的情境模板來(lái)自動(dòng)運(yùn)作，譬如說(shuō)，當(dāng)家庭的所有成員都確定外出之際，假使廚房的瓦斯仍在繼續(xù)運(yùn)作，便會(huì)立即由系統(tǒng)自動(dòng)關(guān)閉瓦斯。

試想如果有一天，智能借助系統(tǒng)遭到黑客入侵，從而攪亂了情境控制功能，本該自動(dòng)關(guān)閉的瓦斯卻未關(guān)閉，甚至原已關(guān)閉妥當(dāng)?shù)耐咚褂直缓诳蛷倪h(yuǎn)程喚醒，那么信息安全不只帶來(lái)數(shù)字威脅，更危及實(shí)體安全，確實(shí)后患無(wú)窮。

那么終究該怎么做，才能遏止物聯(lián)網(wǎng)安全危機(jī)?去年底由美國(guó)國(guó)土安全部所發(fā)表的《物聯(lián)網(wǎng)安全策略準(zhǔn)則》(Strategic Principles for Securing the Internet of Things)，無(wú)疑相當(dāng)值得政府與產(chǎn)業(yè)界參考，該準(zhǔn)則的制定初衷，在于喚起物聯(lián)網(wǎng)生態(tài)體系中所有成員的安全意識(shí)，不論位居產(chǎn)品設(shè)計(jì)、生產(chǎn)制造或使用等不同角色，都有義務(wù)維護(hù)物聯(lián)網(wǎng)安全。

物聯(lián)網(wǎng)生態(tài)系成員 皆須肩負(fù)安全責(zé)任

深究美國(guó)之所以將物聯(lián)網(wǎng)IoT提升至國(guó)土安全等級(jí)，實(shí)為一般大眾對(duì)于連網(wǎng)裝置的倚重程度急遽增高所致，例如油、水、電等民生關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)作，乃至于自動(dòng)駕駛車應(yīng)用，都與物聯(lián)網(wǎng)息息相關(guān)，若不對(duì)此善加保護(hù)，任由相關(guān)設(shè)備商罔顧安全設(shè)計(jì)，繼續(xù)缺乏安全更新與漏洞管理機(jī)制，也放任使用者便宜行事采用預(yù)設(shè)帳密，因而向黑客敞開大門，勢(shì)必會(huì)造成不可逆料的巨大危害，因此必須訴諸法令規(guī)范，從根本上盡量解除物聯(lián)網(wǎng)安全威脅。

專家指出，論及物聯(lián)網(wǎng)安全防護(hù)，牽涉范圍頗廣，包括裝置的實(shí)體安全、網(wǎng)絡(luò)通訊、軟件設(shè)計(jì)、固件設(shè)計(jì)等不同構(gòu)面，皆需要面面俱到，此一特性，也導(dǎo)致物聯(lián)網(wǎng)安全防護(hù)的難度，明顯高于傳統(tǒng)計(jì)算機(jī)安全;姑且不論制造商或使用者對(duì)于物聯(lián)網(wǎng)風(fēng)險(xiǎn)的認(rèn)知是否足夠，也不管一味講求使用便利性的消費(fèi)者，是否有足夠耐心來(lái)接受必要的安全檢查程序，光是從物聯(lián)網(wǎng)、計(jì)算機(jī)兩類裝置在于運(yùn)算能力上的落差，也能顯而易見知道物聯(lián)網(wǎng)IoT設(shè)備難以支持太高階的加密技術(shù)，能夠用來(lái)?yè)踝阂夥葑尤肭值奈淦?，自然相?duì)疲弱。

但無(wú)論如何，物聯(lián)網(wǎng)的組成，可大致區(qū)分為終端裝置(End-device)、通訊媒介(Network Media)及后端系統(tǒng)(Backend System)等幾個(gè)關(guān)鍵環(huán)節(jié)，其間經(jīng)由網(wǎng)絡(luò)來(lái)交換彼此信息，因此如何把散布于不同環(huán)節(jié)的漏洞關(guān)連起來(lái)，肯定是物聯(lián)網(wǎng)安全防護(hù)的一大關(guān)鍵。

總括而論，借助上述重要環(huán)節(jié)所衍生的安全議題，至少分為六大項(xiàng)，其中屬于應(yīng)用層者有三項(xiàng)，依序是物聯(lián)網(wǎng)裝置本身的隱私數(shù)據(jù)保護(hù)、物聯(lián)網(wǎng)裝置身份認(rèn)證及訪問(wèn)權(quán)限控管，以及物聯(lián)網(wǎng)裝置本身的軟件漏洞更新與保護(hù)機(jī)制。

此外在網(wǎng)絡(luò)層部份，有兩項(xiàng)值得留意的安全議題，包含了物聯(lián)網(wǎng)裝置數(shù)據(jù)傳輸過(guò)程的加密及保護(hù)，乃至于物聯(lián)網(wǎng)裝置之間更趨復(fù)雜的網(wǎng)絡(luò)安全管控。至于位在IoT應(yīng)用架構(gòu)最底端的感知層方面，則需要防范感知設(shè)備攻擊，至少需要確認(rèn)工業(yè)控制系統(tǒng)(ICS)或SCADA所接收到的信息，確實(shí)100%與原始數(shù)據(jù)相吻合。

專家建議，有鑒于物聯(lián)網(wǎng)裝置為數(shù)眾多，且偏布在不同環(huán)境，若要倚靠人工逐一管理，肯定力有未逮、緩不濟(jì)急，故企業(yè)不妨援引人工智能(AI)或機(jī)器學(xué)習(xí)(Machine Learning;ML)等技術(shù)分析安全威脅情資，自動(dòng)產(chǎn)生對(duì)應(yīng)防護(hù)決策。