智能生活「烏托邦」:世界會因黑客入侵而停頓?

撰文:伍振中
出版:更新:

時至今天,隨着物聯網、雲端數據技術急速發展,都市數碼轉型已成為沒法逆轉的趨勢。以往所謂的線下「實體」,如油管商、發電站、碼頭、銀行、汽車等,現不少已進入高度數據化階段,運用物聯網技術進行日常運作。
當未來物聯網覆蓋程度愈高,每個節點的網絡防禦力便愈加重要。然而,在未來物聯網大趨勢下,與之相關的網絡安全意識,在大眾間獲得相應關注嗎?

疫後萬物互聯時代:迫在眉睫的網絡安全風暴

「瑞士軍團」

今年3月,一個來自瑞士的黑客組織APT-69420,宣稱成功入侵來自美國的雲端保安鏡頭新創公司Verkada內部系統,竊取超過15萬個閉路電視的數據資料,涉事地點包括Tesla工廠及裝車倉庫、雲端業務供應商Cloudflare辦公室,以及美國國內一些健身室、醫院、監獄、學校、警察局等社會設施。連Verkada堂堂矽谷辦公室,也遭「瑞士軍團」輕易入侵。

不過,黑客組織此次行動的終極目標似乎不是勒索金錢。

根據執行這次任務的其中一個著名黑客Tillie Kottmann(她目前已被美國政府落案起訴),她不諱言地公開表示,這次行動矢在為了展示Verkada「幾近不存在且不負責任」的數據系統之脆弱程度。在雲端鏡頭如此普及同時,原來這些鏡頭很容易便能被入侵──更重要的是,這些鏡頭仍正被安裝在各處「高度敏感」(highly sensitive)的地方。

在萬物互聯的時代,一旦有不法份子找到了網絡缺口,所有連帶數據都會一同被公開。

※ 瑞士黑客組織APT-69420獲得的影片包括美國監獄內的囚房情況

Verkada標榜自己提供的雲端鏡頭保安服務,是「來自矽谷的首選」,客戶能夠在網頁操作介面上遙距操作雲端鏡頭,監控實時影像。Verkada雲端鏡頭產品也有為客戶提供人臉識別功能選項,走在業界技術前沿。

不過,這次黑客入侵行動讓Verkada被狠狠地打了一巴。Tillie Kottmann坦言,今次入侵行動實在「不需要很高的技術程度」。

「奇怪設備」無故連上網了?

「我們有很多客戶意識到,原來這幾年公司內部突然多了許多connected device(聯網設備),包括影印機、IP Phone、員工自己的智能電話、遊戲裝置、健身設備、智能手錶等,皆無限制地連上了互聯網──這不應該是這樣的。」 網絡安全服務公司Palo Alto Networks香港及澳門區總經理馮志剛(Wickie Fung)說道。

根據Palo Alto Networks去年發表有關世界物聯網現況的安全報告指出,香港本地機構「最常連接到企業網絡的奇怪設備」,依次包括有小型廚具、可穿戴健康裝置、運動設備等。

在同一份安全報告,Palo Alto Networks訪問了來自亞洲、歐洲、中東和北美14個國家或地區,合共1,350名IT業務管理層人員,超過三成受訪者指出他們需要大幅加強其企業的物聯網保安措施,接近四成受訪者更表示需要一次「大翻新」的改動。

Palo Alto Networks香港及澳門區總經理馮志剛。(Palo Alto Networks提供)

馮志剛提到,這些設備各自都有自己的操作系統(OS),坊間有很多針對這些操作系統漏洞的組織,他們可以操控、入侵或針對目標實施「阻斷服務攻擊」(DoS Attack)。

馮志剛舉例,他們公司其中一個客戶是提供醫療服務的機構,他們發現有部分醫療設備,本來不應該連接到內聯網,但它就不尋常地連上了,這是可被外部裝置入侵的重大漏洞。一旦醫療機構的聯網系統遭入侵,由此衍生出來的後續影響可大可小。

所以,企業需要為聯網設備行為定立標準,給予措施阻止任何網絡惡意活動。例如,當連接網絡的某項器材,開始向不明網站傳送數百GB的數據,企業安全系統理應發出警報,作出防禦或截斷網絡的工作。

企業內部現有很多聯網裝置,一不小心將成網絡攻擊漏洞。(Getty Images)

號稱將「汽車軟件化」的電動車大廠Tesla,一樣逃不過物聯網漏洞攻擊。今年4月初,有黑客入侵一架Tesla Model 3的車內鏡頭,並將拍攝畫面放上YouTube,乘客的私隱蕩然無存。

Tesla在前排座位前方設置鏡頭,原意是為改善自動駕駛系統。不過,正正由於車聯網出現漏洞,導致黑客組織得以藉此實施網絡攻擊。

其實不只車內鏡頭,過去一兩年已有不少人嘗試入侵Tesla車輛內的軟件系統,更改原廠設定,以改變車輛內部的某些功能指令,並將這些「示範短片」上載至YouTube,供各地網民任意觀看。

「你和我,大家現今都正在適應一個智能生活的時代。」馮志剛認為,當連家居都充滿聯網設備的今天,我們應該同時要培養良好的基本網絡保安意識。

也許普羅大眾沒法動輒便可為智能家居建設起強大的防火牆,但一般加密管理行為,如設置端點保護(endpoint protection)、雙重認證(two-factor authentication)、定期更新修補程式(patch update),單憑自身能力仍然可以辦得到。

無可否認,我們已正式進入智能生活的時代。數據化和我們日常生活密不可分。(Getty Images)

節點網絡的脆弱性

在高度數據化時代,未來都市面貌將會以無分國界的多個節點聯通組成,配合雲端技術,節點與節點之間將會實現極低延時的同步化。不過,假設這個龐大網絡當中,有某一節點被黑客入侵,那麼整個同一化、同步化的網絡不就陷入癱瘓狀態?假若癱瘓的是電力網絡、油管(今年5月美國油管商Colonial Pipeline癱瘓事件的影響已經顯而易見)等公用事業,整個社會不就是要「停止運作」了?

在這些「智能災難」到來之前,作為普羅大眾,我們應該要裝備自己,鍛鍊自己的網絡保安危機意識,做好充足準備,甚至可以籌思應急後備方案,儘可能減低「智能災難」可能造成的負面影響。

疫後萬物互聯時代:迫在眉睫的網絡安全風暴