隨著技術的演進,各式感測器與控制器的體積逐漸縮小,成本也不斷降低,使物聯網 (IoT) 裝置被廣泛的運用,而我們也能透過網路更簡單的收集感測器數據並控制裝置,實現智慧工廠與智慧家庭等應用。
但當所有裝置都可以藉由網路控制,意味著惡意攻擊者也能透過網路竊取裝置或組織內部的訊息,或是對裝置進行惡意的控制,嚴重時可能導致資料外洩或公共安全意外。
- 那些裝置屬於物聯網裝置?
- 常見如工業控制系統、智慧開關、智慧感測器(如溫度計與人員感應器)、智慧型家電(如掃地機器人)、網路型監視器、網路印表機、可透過網路設定的電子資訊等等各種可透過網路遠端使用或執行自動化作業的裝置。
- 此外網路分享器、網路磁碟機(NAS)、網路型監視攝影機與印表機等裝置,因為可能連上網路並獨立作業,因此也在物聯網攻擊盛行的環境下共同成為受害者。
- 不安全的物聯網裝置可能造成什麼資安問題?
- 攻擊者可以藉由脆弱密碼或漏洞取得裝置的控制權,進而取得裝置的內部資訊,或是直接操作控制裝置,可能造成攝影機畫面外洩、印表機列印勒索訊息、智慧門鎖失常或工控系統異常(如 2022 年伊朗鋼鐵廠事件)。除了取得裝置資訊或對裝置控制外,也可能將物聯網裝置做為攻擊跳板,再入侵組織內部的系統 (如 2018 年攻擊者經由魚缸智慧溫度計入侵資料庫取得客戶資料事件)。
- 應該怎麼做才可以強化物聯網裝置的安全?
- 不可以使用設備的預設密碼,必須修改為 12 碼以上的長密碼或設備支援的最長密碼,若能混合大小寫字母、數字或符號更佳。
- 若使用預設密碼,上網下載產品說明書就可以知道帳號密碼了。
- 不要使用以下容易被猜測到的密碼:學校電話、學校統編、P@ssw0rd (教科書上的密碼示範大小寫數字符號混用的密碼範例)、ji32k7au4a83 (“我的密碼”的注音排列)、與帳號一模一樣的密碼以及只有數字的密碼等等。
- 隨時關注設備的網站,確認是否有韌體更新訊息,並且更新到最新版本韌體。
- 設備韌體的安全漏洞會造成攻擊者不需要密碼就可以控制裝置。
- 限制網路連線,避免外人可以直接存取。若需要於校園環境內架設物聯網裝置,向資訊處申請物聯網專用 FCU-IoT無線網路,由校園防火牆做第一層阻擋。
- 可由 MyFCU/表單下載及簽核系統/物聯網裝置連線申請表 進行申請。
- 不可以使用設備的預設密碼,必須修改為 12 碼以上的長密碼或設備支援的最長密碼,若能混合大小寫字母、數字或符號更佳。
過往物聯網資相關安事件新聞