物聯網時代的安全挑戰與防護

吳建興

105/12/20

2

M2M Security(智慧聯網安全)

Cyber Physical Security

Context Aware Threat Detection

(情境感知威脅偵測)

Mobile Security(行動安全)..

Web Service Security

Ubiquitous / IoT Security

Inter-networking Security

2004 2008 2012

Cloud Security(雲端安全)

Data Security (資料安全)

Security Governance (資安治理)

Privacy Preserving (隱私管理)

Web App Firewall (威脅管理)

Web DB Security Monitor (威脅管理)

SIEM/Taint Analyzer (內容安全/ 弱點管理)

DRM

Anti-spam Mail, (內容安全)

VA, F/W, IDS, IPS (威脅管理)

PKI, VPN (身分辨識)

科技演進資安新挑戰

Cloud & Data Security

2016

影響範圍更為擴大 – 邊界解構、行動寬頻 – 雲端服務、智慧聯網 – 虛實整合..

Smart Living

Healthcare Critical infra

Smart City

3

駭客攻擊影響民生經濟

2013

3/20

2013

5/24

2013

12/19

2014

12/15

2014

12/22

2015

12/28

2016

2/5

駭客入侵孟加拉央行電匯系統，盜轉0.81億美元

美國Target 被駭潛伏18月，竊資1.1億筆，損失4.2億美元

韓國史上DarkSeoul最大駭客攻擊事件

德國煉鋼廠控制系統遭入侵，致使熔爐失控並嚴重損害設施

中國酷派手機、路由器設備及電腦相繼被發現藏有木馬後門

2013 我國電子公文系統被入侵事件

美國油電及水廠等遭到駭客當年攻擊257次

「勒索軟體肆虐台灣」公認為當年最驚世駭俗的資安攻擊事件

ec-council 網站被駭，不道德駭客公布用戶個資

台灣18個購物網洩個資 詐9千萬

2013

12/31

2014

2/6

2014

2/24

2016

7/10

第一銀行ATM遭駭客潛伏攻擊、無卡盜領新台幣8,390萬

4

Source: Frost & Sullivan

物聯網時代資安挑戰構面

5

物聯網裝置易被駭進利用

• 7 x 24小時長期運作

•大多未具防毒機制

•預設或簡易登入密碼

•用對外 IP固定網址

•多開放Internet上服務

source: synopsys

6

物聯網普及 更多安全疑慮

智慧建築、能源、影音、居

家、保全、交通及工控等，

衍生安全疑慮：

• 軟體修補機制不足

• 裝置可能遺失或被偷

• 未有內建加密引擎

• 認驗證沒有定期更新

• 裝置可能移動跨界使用

• 資料被來自多個管道讀取

• 涉及實體及人身安全

DEFCON 22, 2014 Demo Hacking IoT Devices

Smart printer: Epson Artisan 700/800 printer

Smart Plug: Belkin Wemo

Greenwave Reality Smart

Bulbs

Smart media stream player: Vizio CoStar LT (ISV-B11)

Home Automation Hub: Staples

Connect

Amazon FireTV Hisense Android TV (Google TV)

LG Smart Refrigerator

(LFX31995ST)

Vizio Smart TVs (VF552XVT)

Sony BDP-S5100, Panasonic DMP-

BDT230 (Blu-Ray Player)

LG BP530 (Blu-Ray Player)

Motorola RAZR

LTE Baseband

A-Brand Cube (Google TV)

Netgear Push2TV (PTV3000)

Wink Hub Smart home "gateway"

Ooma Telo VOIP

Router

Samsung SmartCam

日本 ICT-ISAC分析統計(2016.4-2016.7)

150,000 攻擊來源IPs

361種型號設備遭駭挾持

物聯網裝置遭駭遽增

8

Source : Trend micro

中國雄邁科技生產的IoT設備

DDoS攻擊 Amazon Twitter Reddit

美國大量的網路攝影機、DVR 攝影機

裝置設備不安全被當「肉雞」

2016/10/21 病毒感染中國設備，發動肉雞大軍攻擊癱瘓知名網站 駭客利用通用的帳戶和密碼，輕鬆地控制了這超過 100 萬台設備 大規模 DDoS 攻擊事件

Mirai 病毒

癱瘓 root/xc#### 100 萬肉雞(zombie)

MIRAI 病毒針對IP Cam攻擊

9

• The Trojan also targets only

a specific set of platforms,

such as ARM, ARM7, MIPS,

PPC, SH4, SPARC, and x86,

on which IoT devices are

usually built

Mirai DDoS Trojan Is the Next Big Threat to IoT Devices and Linux

Servers (Mirai 病毒自帶 60 個通用密碼進行入侵)

Source :Softpedia/Virus Alert Sep 5, 2016

10

駭客另一手法 - 實體拆解

• PowerPC Embedded Device

• SSH server on startup, password was unknown.

"Smart" lighting system

115200 8n1 – Console Login

• Root via changing U‐Boot command line.

– Connecting to UART and accessing boot loader shell.

– Adding init=/bin/sh into kernel cmdline

• Now we have a root shell over our UART.

• To maintain access, cracked the root password: "thinkgreen”

UART (Universal Asynchronous Receiver/Transmitter)

(DEFCON 22, 2014)

更多物聯網攻擊情境

11

智慧電表 ━ 實體拆解電表，以工具與電路板IC界接，取得

內存資料並找出系統金鑰 (Justin Searle , Managing Partner – UtiliSec 4)

智慧醫療 ━ 透過無線通訊入侵胰島素泵，可隨機攻擊將胰

島素注入人體 (Shambhu Upadhyaya, 2014)

智慧交控 ━ 入侵無線sensor及repeater，可控制紅綠燈號

、竄改流量資訊及癱瘓服務(DoS) (DEFCON 22)

智慧建築 ━ 透過iPAD入侵Home Automation Protocol

，可控制旅館所有房間的門禁與燈光(Blackhat 2014)

物聯網資安風險與對策

IoT防火牆 網路防火牆

資料明碼傳輸、運算能力有限 控制命令開放、無法阻絕IoT外部

非正常或違反政策之命令要求 易遭指令氾濫之DoS與偽冒攻擊

設備可能潛藏惡意軟體 未知威脅持續增加 系統潛藏後門與弱點

IoT網路協定

TCP/IP

閘道

• 資料傳輸加密(輕量) • M2M身分驗證、

IoT防火牆 • IoT入侵威脅偵測 • IoT 程式行為分析 • IoT Pot誘捕情蒐 • 設備資安漏洞檢測

12

物聯網安全第一防線 - Design-in

13

Device-level Security / Anti-tampering

End-to-End Data Encryption

Key Mgt. Encryption Light Weight PKI IoT App. API & Mgt.

Light Weight PKI / Authorization / Authentication

General Recommendations: • Ensuring valid user accounts can't be identified by interface error message • Ensuring strong passwords are required by users • Implementing account lockout after 3 - 5 failed login attempts

OSWAP Tester IoT

Security Guidance

裝置設備資安檢測要項 • 參考OSWAP IoT Security Guidance..

• 作業系統面向 – 機敏檔案(組態設定檔、用戶資料)存取控制

– 將不必要的網路服務連接埠關閉

– 遠端管理介面(Telnet, ssh)

– 本地管理介面(Console port)

– 管理介面的帳號及密碼強度(如8碼以上含大小寫及符號)

– 裝置預設密碼(相同產品的預設帳號及密碼可能會相同)

– 作業系統已知漏洞(CVE)

– 第三方函式庫已知漏洞(CVE)

• 網路傳輸面向 – 傳輸資料需加密

– 輕量加密機制

– 網路裝置之間應交互認證，避免中間人攻擊

14

基礎設施入侵威脅與偵測

15

場域層 控制層 監控層

民生工業與基礎設施聯網後，工業控制網路之駭客攻擊威脅遽增，發展Industry IDS提供入侵偵測，彈性支援各種工控協定

SCADA 人機介面 (HMI) 或監控與資料擷取 (SCADA) 系統

Typical Industrial Control System Feedback Control Loops

MTU: Master Terminal Unit

Industry IDS ━Modbus ━Profibus · ━OPC

解析各種協定之網路封包，偵測攻擊事件 ━ 偵察 ━ 回應注入 ━ 命令注入 ━ 癱瘓服務

限閱資料、禁止複製、轉載及外流

資安要更聰明 - 結合機器學習

資安弱點檢測

身分識別與內容安全

入侵偵測防禦

威脅監控分析

資料防漏 數位版權管理

隱私保護 身分權限管控

弱點掃描 滲透測試

原始碼檢測 App資安檢測

防毒軟體 防火牆/IPS 郵件過濾

資安監控 日誌管理 事件鑑識 風險管控

解決方案

目前 未來

專家經驗知識 機器智能學習

耗時、局部、後知後覺 快速、全面、及早發覺

攻擊特徵、威脅情資、防禦規則 偵防核心

16

資安核心發展及應用

工業園區

雲端服務 資安偵防

IoT/CPS 資安偵防

關鍵 資安核心

新興 應用資安

FinTech 資安防護

應用場域

資料安全與隱私技術

深度學習威脅防禦技術

機器感知弱點探析技術

政府單位 工業園區 企業機構

17

物聯網之資安新機會

• 設備資安加值

– 提供入侵偵測資安功能與自我防護能力，提升產品價值

• 威脅情資分析

– 蒐集威脅情資並建立分析鑑識服務，創新資安服務與產品，提供各領域資安應用

• 基礎設施及工控安全

– 提供物聯網安全產品及監控服務，增進工業製造、金融科技、智慧交通等安全

• 居家、社區安全

– 提供網路與實體融合之安全門禁、隱私保護等

– 異質設施安全整合

18

19