CLOUDSEC 趨勢安全研究副總談智慧城市:IoT 漏洞、隱私危機、物得其所的未來

趨勢科技 CLOUDSEC 2019 企業資安高峰論壇將於 8/21 展開,趨勢科技的全球安全研究副總 William Malik 也搶先與記者分享一些關於智慧城市的精彩內容,從概念到技術,細細拆解智慧城市的問題、解方,以及願景。
William Malik 說,智慧城市是「系統們的系統」,底下還有智慧交通、智慧建築、智慧醫療等領域,每個領域從資料、系統到應用端架構相當龐雜,更為駭客提供了大量的攻擊介面。
他舉例,今年 4 月中國一家航空的波音 787 發現儀表板異常,上面顯示日期為 1999 年 8 月 22 日,就是因為提供 GPS 訊號的衛星當初設計只考慮到留存信號 30 年,造成 30 年後遭到重置。衛星系統出問題,除了影響飛機,也影響到紐約交通警察,無法自動掃描闖紅燈的車牌。因為衛星的一個設計瑕疵,影響到所有與之相連的系統,甚至早在一年多前就有專家警告「衛星日期問題」,但大概太難想像後果,還是得等時間到期才發現錯誤一湧而出。
另外 Malik 也舉例知名的 Triton 和 Stuxnet 病毒,就曾被用在核能設施干擾感應器的判讀,足以威脅生命。
Malik 解釋, 5G 短程、即時傳輸的特性,有利於分散到個終端裝置的邊緣運算。因為短程這些資料不會用 5G 傳送到遙遠如衛星再送回來,而是在各種裝置中密集地交換資訊、喚醒程序。而裝置間更密集的溝通也展露很多弱點可受攻擊。
5G 基站和 4G 的蜂巢式網路不同,像這樣的新機制也能產生可攻擊漏洞。Malik 說,像大量運用 NFV (Network Function Virtualization,將實體設備軟體化、虛擬化) ,配合運算分散,及快速傳輸的特性,當手機開啟一個 app 就會在5G 基站建立一組虛擬機,隨著使用者行進快速清空並重新建立到短距離內的下一個基站,一來一往之間又再度留下一堆攻擊空間。
另外,Malik 也針對更類型攻擊一一舉例說明,比如「破壞式機器學習」就是 AI 廣泛使用的電腦視覺辨識,卻會因一兩張貼紙或特殊符號干擾,就能大規模影響自駕車判別交通標示。
供應鏈攻擊則已經在黑帽駭客大會上示範過駭進智慧電表影響讀數,進而提高電費、升高發電負擔、誘發系統過載或造成其他地區電力短缺等。
還有 IoT 設備數量龐大又新舊不一,很容易面臨作業系統更新過慢的問題。比如超過 20 億台印表機都採用的系統 13 年前就遭破解,但上個月才發現,更別提這麼多台印表機何時會更新完畢。
除了駭客攻擊,還有源自於人性的阻礙。
Malik 再舉例,比如 Google 在多倫多計畫要花 9 億美元建置的智慧城市,可以自動因應球賽等活動調整道路調度、照客製化口味推薦市民餐廳、客製化推送賣場優惠等。但涉及的資料規模太過瑣碎龐大運作機制又難以理解,居民不了解的狀況下就會產生臆測,進而引發陰謀論,不論合不合理。
當然 Malik 自己對於個人隱私與政府全力還是相當警惕的,他對於臉部識別、國家竊聽都表達了疑慮。以美國為例,去年 FBI 合法透過法院申請調閱國家安全局的國際電話側錄、Google、Facebook 社群網站的資料就高達 1.7 萬筆。他也合理擔心: 1. 資料是否照著搜集時聲稱的準則使用;2. 資料是否會遭第三方破解違法使用。
但是 Malik 同時也認為合理的資料搜集與使用有時會因不了解產生離譜的臆測:太太認為我外遇,是因為監視器拍到我在跟朋友聊天?號誌輪到我就紅燈,是因為我太矮?
智慧城市太複雜,居民不懂怎麼辦?Malik 再舉例以色列的國家 IT 熱線,在以色列只要電話撥打 119,就可接通屬於全民的 IT 疑難中心,提供所有民眾容易、即時的解惑。而疑難中心的服務人員則是念電腦科學的大學生們,因此熱線不僅可以解除民眾疑慮、累積大學生工作經驗,還能從全民回報的問題中揪出潛在的資安攻擊。
Malik 分享,目前美國也有三個州實施類似的專線,而以色列人口大約僅 600 萬,因此這樣的方法是足以負擔每天湧入的提問。
要解決這些問題,Malik 認為智慧城市可以建立一些基本守則:
核稿編輯:李柏鋒