IoT殭屍網路引爆危機　未設防節點淪為攻擊跳板

物聯網裝置逐漸成為今天傀儡殭屍網路攻擊者的最佳「網路武器投射系統」。理由其實很簡單，世界上有數十億物聯網裝置，而且大多可以輕易存取（藉由Telnet）和駭入（因為欠缺安全管控）。當有那麼多裝置可以免費利用時，攻擊者何以需要投入昂貴的資源去構築他們自己的殭屍網路？

很難相信，僅僅三年前，有87%消費者表示從未聽過所謂的物聯網。今天，他們或許仍未能認識這個術語，但卻已熱情地擁抱它。很多人可以說出他們每天在物聯網裝置上的多種使用方法，例如命令Alexa設定鬧鈴、播放音樂或建立待辦事項；遙控家裡的燈光、門鎖和調溫器；從健康照護App上傳統計數據，如血壓或血糖的量測數值，以提供醫生觀察與診斷；掃描用完的食品雜貨以便自動下訂單，或者是吃驚地看著從監視攝影機傳來住家遭小偷闖入的即時視訊。

物聯網裝置的安全隱憂

從第一台天真的連網裝置（在Interop 1989接受一項半認真的挑戰而製造出的連網烤麵包機），到今天控制我們最關鍵基礎設施的感測器，物聯網可說是這個時代最具有創造性破壞的技術，它改變了商業和製造，以及消費者的生活、工作與玩樂方式，將實體世界連結到虛擬世界。

今天，正在使用中的物聯網裝置估計已達84億台，而預期這個數字在2020年將突破200億台。我們正快步邁向一個所有裝置全面連網的世界（圖1）而非只是連網世界，誰也無法阻擋。

然而，誘人的利益下總是潛藏危險，很多消費者將會震驚地發現他們的一些物聯網裝置（IP網路攝影機、DVR和家用路由器）或許已遭入侵，甚至可能已變成傀儡被使用於大型的殭屍網路，例如在2016年癱瘓DNS服務供應商Dyn以及網路巨人Twitter、Netflix、the Guardian、Reddit和CNN的Mirai。

關於IoT的一些嚴重事實：

‧ 攻擊者可以利用Smart TV進行許多惡意活動，包括偷窺乃至於中繼攻擊。

‧ 家用路由器的中間人攻擊（Mman-in-the-middle），可以收集個人資料以及線上帳戶和企業網路的使用者帳密。

‧ 醫療植入的儀器，例如心律調節器和電擊器一旦被駭，將危及人類生命。

‧ 專家已警告多年，指出今日製造的大多數汽車具有遭攻擊者完全遙控的風險。

‧ 主要的運輸例如地鐵、火車、飛機和船艦等仰賴多種物聯網感測器，它們若遭攻擊則可能導致毀滅性損害或人命損失。

‧ 控制公共基礎設施。例如水處理設施和電廠的物聯網系統已出現被駭事件。

‧ 未來的物聯網攻擊將包括垃圾郵件中繼伺服器、點擊詐欺（Pay-per-click廣告）、廣告詐欺（Banner、視訊和In-app廣告）、Bitcoin挖礦和地下網路基礎設施。

潛在風險將有增無減

當我們帶著物聯網裝置的革命性使用方式走入未知領域時，潛在的風險只會更加擴大。

目前，物聯網裝置所使用的感測器元件可以追蹤近80項量測數據，從體脂肪、心跳、體重到放射性、磁場強度與電阻等。這些元件使用不同的晶片組，而且全部都具有潛在的被駭風險。

▲圖1 物聯網的「物」連接著我們周圍的世界，並影響了我們現代的生活方式。

當這些搭載各種晶片組的一層又一層元件被使用於較大型的物聯網物件（例如汽車），其複雜性將隨之增加，而攻擊者可以接管個別的功能，例如速度、剎車、加速、轉向等。

▲圖2 物聯網的攻擊計畫就像1,2,3一樣簡單。

無疑地，今天物聯網的威脅態勢極其龐大，而造成這些裝置容易被駭的鬆散安全態度並沒有改善，短時間也看不出改善的跡象。原因在於，若要改善就需要立即變更現有的產品開發方法，以及為數億裝置進行韌體更新或產品召回，這些除非訴諸立法否則將不太可能實現。可以想見，短期間內，物聯網設備將繼續成為攻擊者網路兵工廠中最為可靠的工具之一。我們將繼續看到大量的殭屍物聯網正在建立，直到物聯網製造商被迫保護這些設備，召回產品，或屈服於拒絕購買易受攻擊設備的買家壓力。在此之前，攻擊三步驟（圖2）仍將會是簡單到讓人難以置信：先掃描具有安全弱點的裝置然後予以暴力破解，接著安裝惡意軟體和自動構築殭屍網路，最後展開攻擊。

＜本文作者為F5 Networks資安威脅理論分析師。＞