物联网崛起 信息安全威胁从谋财发展到害命

　　早在2014年的Black　Hat黑客年会，即曾演示如何借助远程操控方式，成功入侵真实的汽车。

　　无庸置疑，物联网(Internet of Things;IoT)绝对称得上是炙手可热的科技议题，Gartner预估，待至2020年，全球物联网硬件数量上看250亿个，届时不管消费市场或商业活动，都将被物联网广泛覆盖，此对于黑客而言，简直是肥滋滋的大饼，岂有坐壁上观之理?

　　事实上，早在几年前，即出现了物联网硬件可能成为谋杀工具的论调，尽管听来仍有些骇人听闻，甚至给人天方夜谭之感;但随着物联网硬件数量急速攀升，与人类食、衣、住、行、育乐等生活需求，乃至生产制造、医疗保健乃至交通运输等关键场域，全都产生了前所未见的紧密链结，届时讲究经济利益的黑客，必然蜂涌而至，出现各式作恶行径，其间稍有不慎，导致人命危殆并非不可能之事。

　　曾于2010年全美黑客年会大放异采的知名黑客Barnaby Jack，在2013年以35岁的年纪离奇猝逝，否则他是最有机会提早印证物联网硬件可能成为谋杀工具论调的人。先说Jack如何在2010年大放异采，他历时2年的研究，发现至少有两种手法，可以侵入自动柜员机(ATM)，并迫使ATM吐出钞票;在黑客年会现场众人屏息以待的场景中，Jack展现神乎其技，让两台ATM吐尽内部所有钞票，即便这个表演相当惊悚，但他强调此举并非教人如何侵入ATM，而是对ATM制造商提出善意提醒。

　　物联网硬件可能沦为谋杀工具

　　继成功演绎侵入ATM之后，后续Jack试图侵入的对象，与人命的关联度越来越大，例如在2011年，他曾展示如何入侵糖尿病患者使用的胰岛素注射硬件，改变其注射频率与安全提醒功能，可能对患者造成难以逆料的危害;然而更惊悚的是，他曾预告将在2013黑客年会发表“植入式硬件：入侵人体”演说，示范如何利用信号传送器，在远程将恶意软件植入心脏病患体内的去颤器、心律调节器等医疗硬件，甚至声称在10公尺远的地方便可让对方心跳停止。

　　虽然Jack在2013黑客年会揭幕之前，即在住处离奇死亡，没能来得及向与会者做出如此惊惧的展示，但似乎也提前昭告世人，要想利用物联网硬件谋害人命，其实不难。

　　无独有偶，就在Jack死前，其实有一家名为Internet Identity的信息安全公司，已针对物联网议题提出沉重警告，直指物联网硬件可能被用以执行实际犯罪行动，其中也包括了谋杀;这家公司接着指出，其之所以做出这个大胆假设，绝非无的放矢，而是看到了诸如交通运输、健康护理...等等越来越多硬件，皆可通过网络传送讯息与接受控制，这般特性看在歹徒眼里，就彷佛是从天上掉下的大礼，让他们无需进入险要境地(指被害者所在地)，便可远程关闭静脉注射硬件、调整心律调节器，抑或变更汽车操控系统，轻松取人性命。

　　令人担忧的是，综观物联网产品，多数医疗硬件采用较为老旧的软件，个中潜藏的漏洞更多，也更容易让黑客上下其手。

　　其实除了医疗硬件外，汽车所潜藏的危险因子更大!一个真实的例子，有两个黑客，借助远程入侵的方式，连手控制了一辆急驶在高速公路的吉普车，接着他们就从远程径自操控，先是开启了雨刷开关，接着将空调温度调至最低，同时还任意改变了收音机的播放频道，最后再把离合器给关闭，让这辆吉普车从原本的奔驰疾驶变成龟速爬行;黑客的举动，无异彰显了汽车可能面临的物联网安全威胁，连带引发若干汽车厂高度正视此风险，大举召回汽车进行计算机系统的升级，盼能借此降低汽车遭侵的可能性。

　　物联网创新产品 保护机制相对脆弱

　　有鉴于此，已经有信息安全业者大声疾呼，为了避免黑客利用物联网开启全新经济模式，借此攻击物联网硬件取人性命、或者从事敲诈行为，物联网制造商理应想方设法，采取必要的安全措施，以期提高恶意人士入侵的门坎，达到保护这些硬件之目的，毕竟数量急速增加的物联网硬件，活脱脱就是黑客赖以滋养高杀伤力新型威胁的温床。

　　信息安全业者认为，今时今日，已是一个唯创新是问的年代，任何小型的新创企业、工作室甚或创客，皆有可能凭借惊世骇俗的创意，撼动已经存在百年的传统市场游戏规则，进而席卷大量使用者，彻底颠覆人类的生活与工作模式，而物联网正是触发创意的重大题材之一。

　　因此有朝一日，员工穿戴着智能运动鞋、智能服饰、智能手表上班，而企业办公室环境内部，也充斥着诸如智能温度调节器、智能卫生纸架...等新颖硬件，绝对不是梦;但问题来了，综观孕育这些创新硬件的推手，固然不乏名声响亮的大型供货商，但也有为数不少的新创企业，这些积极抢市的新创企业，并无强大的动机、也无足够的能力，将硬件的安全防护列为第一优先顺位，顶多只能通过账号密码等简单机制，施以较为低度的保护，如此一来，这些看似富含智慧的物联网设备，都可能沦为黑客痛下毒手的管道。

　　归纳物联网时代的潜在信息安全威胁，若与前端设备较具关联者，大致可分为几种类型：首先是锁定物联网硬件本身的弱点，直接对此发动攻击;其次是先行潜入后端云端数据中心，掌握某些控制机能，再回头操控前端物联网硬件;再者则是入侵前端物联网硬件，然后循着前后端链接路径，逐步攻进后端云端数据中心，借以满足窃取机敏数据之目的。

　　找出难以防守的硬件 从企业网络中移除

　　持平而论，对于企业而言，单就云端数据中心的安全防护，纵使仍旧存在莫大挑战，但至少依然算是IT部门相对熟悉与擅长的战场，在这个战场之中，不管黑客锁定的目标是计算机、服务器、储存设备或网络设备，IT人员都有很大的机会提出反击;然而面对一些连上网络的非IT硬件，也就是前段所提到的种种前端物联网硬件，显然不在IT人员的专长范畴内，一些前所未见的信息安全弊端，也就因此应运而生。

　　比方说，曾有国外专业机构通过研究发现，有数以万计的抽风机、加热器及空调系统链接互联网，在大多数的情况下，这些设备都蕴含一些基本的安全漏洞，只要黑客善加运用，确实很有机会借此潜入企业内部网络。具体来说，当企业落脚在一栋全新的建筑物，与这栋建筑物的其他住户，共同享用相同的监视摄影机、空调系统乃至电梯，而这些设施与自己的内部网络之间，也有某些连结性，如此一来，无异是平白增添了一些逾越IT部门掌控范围的节点，因而埋下莫大信息安全隐患。

　　不过可惜的是，企业IT部门通常很懂得运用一些信息安全解决方案，据以捍卫云端数据中心内部的虚拟服务器与应用程序安全，但对于亟需纳入整体安全构面之一环的前端防护部份，着力空间却相对有限，此乃由于，前端物联网硬件的安全系数高低，有很大一部份取决于产品制造商自身的设计能力，比较难以借由附加(Add-on)方案，做事后补强，因此企业能够使得上力的，一是尽可能慎选相对安全的联网硬件，二是着眼于不想与难以防守的敌人对垒，设法找出存在于自己网络上的所有设备、尤其是非IT硬件，接着加以移除。