趨勢科技全球核心技術部資深協理張裕敏於14日在2017臺灣資安大會演講主題為「2020資安大未來」,他預測未來2020年全球會面臨的資安五大威脅分別是,機器人、客製化程式裝置、USB裝置、無人機、IoT裝置。他認為,未來有很多系統會仰賴程式進行,例如供電系統、支付系統、工業系統等,程式只要有一小點失誤,就會造成嚴重的傷害,而且越方便的事物,駭客也越有興趣利用來發動攻擊。
近年來,人工智慧(AI)、物聯網(IoT)技術風潮盛行,機器人、自動駕駛車、駕駛控制系統、無人機、智慧家電等新興科技產品越來越多,不僅增加生活的便利,也提升工作得效率,人類逐漸倚賴科技產品所帶來的便利,然而,新興科技帶來了方便,同時創造了新的資安威脅。
2020年面臨五大資安威脅:機器人、自動車、USB插座、無人機、智慧電視
張裕敏首先指出,機器人是2020年最大的資安威脅,除了機器人未來可能會替代人類的工作,例如為金融機構提供業務服務、協助律師打官司和陪家裡小孩念故事等,也可能像電影情節那樣,突然叛變來攻擊人類,但不是機器人變聰明,而是寫給機器人的程式邏輯錯誤而製造了災難。
此外,現今小型機器人的零件售價便宜、購買方便、安裝容易,以及設計簡單的程式就可以控制機器人,出現很多小型機器人的產品。張裕敏認為,未來駭客經常會利用這些小型機器人,植入惡意軟體到目標裝置,竊取內部資料。他舉出一名中國哈爾濱理工大學大三學生,為了想要得到試卷內容,設計了一臺小型機器人,拿起含有惡意軟體的USB,安裝在出題教授的電腦,成功盜取試卷的電腦檔案的例子,表示機器人也成為協助駭客竊取資料的工具。
第二,張裕敏認為,隨著自動駕駛的技術趨於成熟,2017、2018年馬路上可能大部分汽車都是半自動駕駛或是全自動駕駛車。到了2020年,汽車製造業會設計一套類似現在防火牆設備的客製化程式規則,能依照使用者自身需求來改造車子,如煞車敏感度、油量控制或是照明設備等,而不需再分別利用電子控制單元(Electronic Control Unit,ECU)改造。
駭客也容易利用這項技術,改變汽車駕駛系統的規則。張裕敏舉出,自動駕駛車原本設定如果前方遇到障礙物時,就會啟動自動煞車的功能,防止衝撞物體而造成車禍,但是駭客也可利用該系統,改變原有自動煞車規則,例如多加一條規則設定遇到前方障礙物時,可忽略障礙物繼續前進,造成自動駕駛車失控而影響交通,甚至造成用路人傷亡。張裕敏認為,在2020年,所有生活周遭裝置的程式逐漸客製化,駭客也容易更改裝置的規則。
第三,因為現代人經常拿著手機在外面一整天,如果未攜帶行動電源或是行動電源的電量秏光時,就會在捷運站、百貨公司或是餐飲店等公共場合提供USB充電插座來充電應急。但是,張裕敏發現,現在駭客會植入惡意程式到USB插座裡面,使用者只要把行動裝置插入受惡意程式感染的USB插座,駭客就能夠利用3G、4G上網的訊號,竊取手機或電腦內部的資料,他認為,因為現代人充電的需求變大,未來駭客利用USB插座,竊取使用者行動裝置資料的犯罪方式也會越來越頻繁。
第四,張裕敏認為,2020年無人機逐漸變得氾濫,造成的資安威脅也會越來越嚴重,只有少數國家有針對無人機提出相關規範或防禦策略,例如日本開始制訂小型無人機國際標準、荷蘭和法國訓練老鷹抓無人機,以及英國發射電波干擾無人機。目前無人機應用很廣泛,許多企業利用無人機提供載送貨品的服務,例如美國7-11提供送貨服務、法國快遞公司提供郵寄服務,或是媒體利用無人機空拍戰爭區域和犯罪現場等,但是,有心人士也會利用無人機闖進禁區,影響國防與飛行安全。
張裕敏提到,有些無人機內建無線網路基地臺(也稱AP基地臺),駭客如果要竊取個人或企業資料,可利用無人機飛到特定地點,提供不設密碼的假AP給大眾上網,引誘使用者連線無人機AP基地臺,駭客鎖定已連線的無線裝置發動ARP spoof攻擊,就能夠接管無線裝置,並且順利取得使用者裝置的內部資料。相反地,有些駭客刻意連線無人機,趁機搶劫正在載送的貨物。目前亞馬遜(Amazon)在2年前已經研發一項專利技術,無人機利用偵測接收數據訊息的內容,判斷是否為駭客入侵的訊號,來避免無人機在運送貨品過程中,遭到駭客中途攔截。
第五,現在大部分家庭已經換掉傳統電視,改用可連網的智慧電視(Smart TV),因為智慧電視現在比傳統電視更便宜,以及增加收看電視以外的功能。但是,張裕敏指出,很多人購買智慧電視時,沒有發現螢幕上方有內建攝影機,駭客可入侵電視系統操控攝影機,竊聽或是監看使用者,智慧電視在未來也會是主要的資安威脅。他同時提醒使用者,如果發現智慧電視上攝影鏡頭突然左右轉動,使用者就要警覺智慧電視可能已遭到駭客入侵。此外,張裕敏認為,未來到處會有很多小型智慧裝置,可以傳輸聲音、影像和文件,這些資料可能同時會被傳到雲端,容易造成資料外洩,或是被駭客竊取。
預測未來3年重大資安事件:破解電子鎖竊盜、無人車自行解體、東京奧運遭勒索攻擊
現在大部分公司、家庭和汽車逐漸拋棄過去傳統門鎖,轉而使用電子鎖來管理門禁。但是,駭客一旦破解了其中一個電子鎖,就可能會同時破解內部其它電子鎖,形成門戶大開的情形,駭客之後再利用機器來竊取物品。這種偷竊方式,不但可以直接在遠端遙控,偷盜效率更高、時間縮短,還難以讓警方查到犯罪者的身份。
張裕敏認為,因為他發現最近美國地下論壇,駭客已經公開徵求會寫電子鎖程式的駭客來破解電子鎖,共同策劃在夜間入侵某企業內部的竊盜計畫,並且還拍了各種電子鎖照片,詳細說明電子鎖按鈕形狀、感測距離等,所以2018年會開始出現這類科技竊盜的案件,甚至今年就會發生。
再者,張裕敏預計在2019年會有很多駭客跟無人車結合的竊盜事件,他舉出,未來駭客只要鎖定大量汽車的內部系統來發動攻擊,然後破解車庫電子鎖來打開車庫門,之後遠端操控這些汽車到回收廠,並且下達解體車體的指令,汽車就會自行解體變成一堆汽車零件,駭客就能夠高價販賣這些零件來獲取利益。
他認為未來自動駕駛技術會開始盛行,汽車駕駛系統、安全系統和車門系統都可由遠端來操控,駭客不僅可以利用自動駕駛系統來竊盜,還能夠利用車門系統來關閉汽車門鎖,或是操控駕駛系統引導自動駕駛車到荒郊野外,來綁架特定人士。
最後,2020年奧運在東京舉辦,日本政府已經宣稱東京奧運要全面自動化、IoT化,包括運動員身上會配戴各種偵測裝置、無人車會載觀眾或是貴賓到指定旅館入住,以及利用IoT裝置操控飯店設備等。張裕敏預測,駭客可以鎖定這些自動化裝置、偵測裝置和IoT裝置發動勒索攻擊,要求奧運主辦單位勒索比特幣,否則就癱瘓這些裝置,干擾奧運活動的進行。
企業需重新界定新的網路邊界
張裕敏認為,未來這三年的資安事件會有劇烈變化,這些變化大部分都跟駭客技術、IoT技術、遠端遙控技術,以及訊息偵測後傳輸到雲端有關,這些技術環繞著現代人們所生活的科技社會,影響著企業與一般個人。
從企業角度而言,過去還可以用防火牆阻擋駭客利用網路線入侵公司內部的網路攻擊,但是,現在人們可以利用無人機、機器人和無線網路等來連上網路。企業必須重新思考網路邊界的新界定,以及資料儲存的位置,才可以防範資料遭駭客竊取的機會。此外,企業要調整資安心態,以前企業只要在閘道器(gateway)端建立資安防禦,來防止駭客侵入,但是,現在任何裝置都可能存在著資安風險,例如駭客只要把USB插進電腦,就能竊取資料。所以,資安一定會有漏洞,降低反應時間和資料損失才是重點。
另外,從個人角度來看,人們必須隨時觀察周遭事物,例如地上USB不隨便撿起、檢查USB充電插座是否有額外裝置、是否有無人機在上頭偷拍,以及在購買智慧產品前仔細檢查說明書內容,了解產品有哪些傳輸工具,會把哪些資料傳回到雲端,這些都是人們平常就需要做的功課,就能夠避免自己資料遭到外洩。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19