2018年3月21日 星期三

科技創新(一百零五):AIoT產業-AIoT 服務沒有資安,會出這三個大問題

[AIoT服務越來越被重視]
人工智慧中的深度學習,近年屢創佳績,首先是 Alpha Zero 在三大棋類(圍棋、西洋棋及日本將棋)成為世界第一,不但打敗人類,還遠遠把人類棋手拋在後面,更打敗其他的人工智慧棋手(包括自家兄弟 AlphaGo Zero)。此外,在視覺辨識與語音辨識更是超出人類辨識的水準,就連微軟最近也宣布中翻英的語意辨識(自然語言處理)能力也達成跟人類能力接近的水準,而這些佳績大大的震驚了人類,人工智慧近幾年被大量重視。

圖:AIoT的架構

深度學習需要大量的數據與強大的運算力才可能達成高準確度模擬模型,而大量的數據,在很多方面就必須依靠物聯網的感測器收集,透過網路即時的傳輸集中到伺服器;物聯網的系統,也需要靠人工智慧做到正確的辨識、發現異常、預測未來,以提供好的服務。這也是為什麼工研院 IEK 與電子時報的研究單位都談到人工智慧結合物聯網(AIoT)是接下來的重大發展,而這樣的發展,影響到各行各業,甚至會進行產業顛覆,也就是說,接下來 AIoT 服務,將在我們身邊大量出現。

[AIoT的資安問題 從三大層面解析]
服務一多,AIoT 在各個層面(物-終端設備/聯-網路連線/網-雲端設備)資安的重要性就更加提高,必需處理或預防,以減少問題發生時造成的損失。接下來,本文將從三個層面(物-終端設備/聯-網路連線/網-雲端設備)來分別切入看可能造成的問題:

1. 終端設備在資安上有傳輸資訊被看光光、設備被操控兩大問題。

在終端設備上,很多使用者因為沒有修改設備商提供的原有管理員帳號/密碼(如 admin/admin、 root/r00t…等等),或是管理員的帳號/密碼很容易被猜出來,在被駭客在找到這台設備後,以管理員登入而擁有控制權,得到消費者的所有數據,可能讓消費者的相關隱私蕩然無存,例如,在家中穿得很少的清涼裝扮,就可能透過聯網攝影機傳到駭客家的機器上了。
駭入之後,此機器也被控制,可以達成其他目的。例如 2016 年 Dyn 公司的 DNS(由英文網域查到真正數字網域功能)被大量被操控的終端設備攻擊後,讓很多公司的網站(Twitter、Netflix、Airbnb…等等),因為 DNS 資訊無法被終端設備及時查知而無法服務。
去年因為比特幣挖礦盛行,也讓駭客開始駭入這些終端機器與雲端機器,運用其運算力幫忙挖比特幣,至少造成設備異常大量耗電與通訊傳輸量大增。
駭客能控制或干擾終端設備的方法還有以下幾種:
(1)終端設備的韌體,廠商明明更新了,但終端使用者並不知道要更新,或懶得更新。這也給了駭客可趁之機,利用舊有韌體的已知資安問題駭入這台機器,獲得操控權。這也說明買會不定時升級新的韌體的廠商生產的設備,並常常對此設備做韌體升級是比較安全的,不然設備被操控後,就等於養了駭客的間諜在身邊。
(2)設備沒有驗證收到的資訊或命令,就如之前傳出的某些智慧音箱會因為駭客發出的人耳無法聽出的超音波被控制而誤動作。
(3)設備本身的物理安全防護不夠,不必要或外露的接頭被駭客使用入侵,或是容易被駭客取下來,讓駭客竄改韌體後再放回,這個風險存在已久,這也反映出設備廠商硬體在資訊安全相關的設計考量很重要。


2. 網路連線的資訊安全力不夠,讓駭客可以攔截。

這種連線的資安出包,輕則得出所有通訊清楚內容(如公司機密被獲取),更甚者則竄改傳輸內容,讓終端設備們以及雲端設備們彼此誤認對方的訊息,而做出錯誤動作:更甚者機器因此被完整操控。
例如使用的網路未加密,當使用時,同在一個場域的駭客就可以透過這個網路攔截到終端設備與雲端設備之間傳輸的資訊,讓駭客可以直接抓取出以分析讀取,甚至竄改後再回送,造成系統誤動作。
另外網路連線配對不安全,讓駭客找出漏洞破解;或是使用已被攻破或本身被證實不安全的加密演算法,都會造成同樣的問題。例如 2016 年傳出的安全連線協定 Open SSL 的大漏洞,此漏洞會允許駭客執行任何程式,就造成了很多大網站(如 Google、臉書、Yahoo…等等)受害,所以 AIoT 的通信協定就不能用這類被證實有問題的協定。
為了解決消費者自行升級終端設備韌體的不便性,讓終端設備能自動更新韌體是一種新的趨勢。也就是讓終端設備會進行從網路下載韌體升級(Over The Air,簡稱 OTA),但如果被駭客找出網路漏洞,而讓此設備升級了有問題的韌體,反而會讓駭客取得終端設備控制權,這個資訊安全風險不得不考慮。


3. 雲端設備:駭客利用資安弱點駭入雲端設備。

駭客在獲得雲端設備的控制權後,得到重要資訊(特別是公司機密),或被操控後送出錯誤資訊誤導終端設備。
缺乏設備驗證、或脆弱的使用者密碼/常用密碼,造成駭客直接登入是常見資安風險。不過,這個部分已經隨著網際網路的發展至今,有二十年以上的歷史,相對的駭客的攻擊方法與資安對應的解決方案也多元。
在現在較新面對的資安問題,是人工智慧深度學習的介入:駭客可以透過深度學習在虛擬世界中找出網站與設備新的弱點,而做進階持續威脅(APT)的攻擊。一般的人類資訊安全專家,要對抗這種攻擊,會有處理速度太慢的問題,也唯有藉助人工智慧深度學習的力量強化,例如從定義正常的網路行為模式,再用人工智慧及時發現可能異常行為並因應處理,才有可能達成防範效果。

[AIOT服務的資訊安全沒做好 問題將非常嚴重]
由以上可知,AIoT 服務,如果沒有在資訊安全做好防護,將會被駭客利用造成重要資訊被獲取,有的甚至操控設備:終端設備被操控後,變成客戶身邊的間諜,讓客戶有重大傷害或損失:例如隱私被曝光,不雅照讓名譽受損,人身傷亡或被綁架…等等;雲端設備被操控,造成商業機密被獲取,客戶公司因而損失重大。
也因為 AIoT 服務在我們身邊的興盛,已經是必然的趨勢,這些引發的風險,接下來必須好好預防與及時處理,以避免問題產生時造成的重大損失。

沒有留言:

張貼留言