NO.57 | 2019.07.31
banner
title有備而來 友善列印>>
【情資案例調查報告】不知不覺成了「全民公敵」男主角,你不擔心嗎?_資通安全組 黃天祥經理

  在1998年上映的「全民公敵」電影中,美國國家安全局的探員使用高科技間諜衛星,企圖嚴密監控Will Smith Jr.所飾演的勞動律師Robert Clayton Dean,以及Gene Hackman所飾演的退休探員Edward Lyle,在最終還利用電視機傳訊息給男主角的這一幕,均是該片當時作為人民隱私權被侵犯的前衛科技場景。二十年後的今日,由於家用物聯網設備的普及化,入侵家庭隱私反而不需要太過複雜的技術就可以做到,於是你我都可能在不知不覺中成了「全民公敵」男主角。

  排除因使用者沒有修改預設帳密而讓駭客入侵物聯網設備的情況外,還存在著因物聯網設備廠商的疏失而導致帳密資料外洩,或設備運作程式之漏洞致使駭客輕易入侵的諸多實際案例。例如:今年六月vpnMentor公司在公開網路上發現一個記錄了20億筆用戶名稱、裝置名稱、密碼與精確定位座標等詳細資料的資料庫[1]。該資料庫屬於中國智慧家庭設備廠商Orvibo,受害者遍佈全球,所幸該資料庫已於七月二日關閉。

  其中值得一提的是,儘管Orvibo公司對於使用者密碼已作了加密處理,但由於加密過程中省略了「加鹽(salt)」[2]的步驟,因此可以很容易地被破解。而Orvibo的其中一項產品是智慧鏡子(smart mirror),可顯示天氣與行事曆,因此特定使用者的行事曆可輕而易舉地被洩漏。而另一項產品是智慧攝影機(smart camera),使用者的家用攝影機可能在其不知情的情況下被陌生人遠端操縱。

  提到網路攝影機,很多年輕父母喜歡用來遠端監看睡覺中的小嬰兒(如圖1所示),在此分享另一個案例,是由D-Link所出產的Wi-Fi baby camera,其設備型號為DCS-930L。於美國國家漏洞資料庫[3] 可找到在今年5月6日所發佈之編號CVE-2019-10999漏洞訊息,顯示此型號攝影機之網頁伺服器,存在著一個基於堆疊緩衝區溢位漏洞(stack-based buffer overflow)[4]。此漏洞允許遠端認證攻擊者利用長字串於WEPEncryption參數執行任意代碼。經由查詢Shodan[5]網站可發現,全台灣至少有49台以上此類型網路攝影機正持續運作中(7月23日查詢,如圖2所示);於是,某個睡覺中的小嬰兒可能成為了「全民公敵」的男主角。
 
圖1:Wi-Fi baby camera所拍攝之沉睡中的小嬰兒
(資料來源:Avira Blog[6]
 
圖2:7月23日於Shodan資安情資網站搜尋之結果
(資料來源:Shodan)

  以上分享之案例,雖然錯誤並不是發生在使用者端,但建議使用者仍須秉持資訊安全須防患於未然的觀念進行自我保護,例如:
  1. 設備皆須採用適當的存取規則
  2. 千萬不要讓沒有認證機制的設備連上網際網路
  此外,就是須慎選設備製造廠商,所幸TTC目前正在建置的IoT-ISAC網站,除致力於豐富網站內容,以提供使用者學習物聯網相關之資安知識外,更提供已註冊之物聯網設備商相關情資分享。期望透過推廣,能邀請更多廠商註冊IoT-ISAC網站帳號,讓相關設備廠商更容易掌握資安情資,我們才可享用安全無虞的物聯網設備。
 

[2] 加鹽(salt):意指加料式雜湊法(Salted Hash),是將想要加密的明碼加上特定的字串(也就是所謂的「鹽」),再經過雜湊法形成加密。若是省略了加鹽的步驟,加密後的字串看似亂碼,卻可能會經由大量的對照表而還原成原始明碼,而隨著「鹽」的複雜度增加,被破解的時間也將大幅增加。
可參考網址: https://blogs.technet.microsoft.com/twsecurity/2014/02/10/163/
[3] 美國國家漏洞資料庫,https://nvd.nist.gov/vuln/search
[4] 基於堆疊的緩衝區溢位漏洞(stack-based buffer overflow):意指利用程式設計師未檢查外部輸入變數長度漏洞的疏失,製造緩衝區溢位(buffer overflow),然後讓變數的buffer內涵惡意程式機器碼。
可參考網址: https://en.wikipedia.org/wiki/Stack_buffer_overflow