安全

物联网的信息风险:你方便,故我在

字号+ 作者:何宗武 来源:ettoday 2018-02-04 14:59

物联网科技最吸引人的就是一堆稀奇古怪的“便利”:只要上网注册,就可以透过掌上API远程遥控家中的电器,例如,冰箱,电灯,冷气等。安全风险是人人都会讲的4个字,然而除了专家,却不是很多人能够了解信息产品风险结构如何。


 
 
 
文/何宗武
 
VR,AI,还是机器人,未来的信息时代应该就是由物联网(Internet of thing,简称iOT)去想象,而在金融市场的这一端,正是乱喊乱叫金融科技FinTech和保险科技InsurTech。最近几年的计算机展,物联网科技最吸引人的就是一堆稀奇古怪的“便利”:只要上网注册,就可以透过掌上API远程遥控家中的电器,例如,冰箱,电灯,冷气等。安全风险是人人都会讲的4个字,然而除了专家,却不是很多人能够了解信息产品风险结构如何。另一方面,安全风险的评估,牵涉到保险和交易成本,因此,本文就来谈谈这一块还蛮被忽略的财经方面。
 
有很多物联网家用电器,都出现风险漏洞,例如飞利浦(Philips Hue Lighting System)的iOT灯系统。因为这类iOT灯系统还没有很普及,本文就以饭店或公共场所常用的自动锁为范例。大家应该多少住过饭店,在柜台登记后,服务人员会给你一张磁卡,让你可以刷卡进房。世新大学管理学院的办公室也是类似的系统,每间办公室门卡,都在机房设定权限。
 
风险问题就在两面:磁卡和锁。先讲磁卡,一张标准的信用卡有3个区块:一是磁带,二是签名,三是安全验证码(Card Security Code,简称CSC)。信用卡有这3个区块来确认安全,可是一般的房卡只有磁带区。我们每天都在用的悠游卡,也只有磁带区。磁带区内有3个磁道(Tracks),目前并没有法令规定磁道的使用限制:磁道1和2是金融业用来发行ATM和信用卡的区域,房卡则自然使用了磁道3。磁道3有一些位特性:
 
►16位的身份辨识区。记录用户身份。例如,世新大学管院研究室的门卡,记录了教师员工编号;饭店则记录了客人代号,如果是清洁人员的万用卡,就是员工编号。
 
►16位的有效日期。
 
►8位的其他用途。
 
►24位的锁码keycode。Keycode同时也透过程序写入硬件的门锁,因此只要卡和锁确认后,门就可以打开。
 
这个扇区经过Sitecode加密后,必须使用特定的软件才可以解开。所谓的特定软件加密其实并不特别。举例,如果你用WORD打开EXCEL档案,只会出现一堆乱码,看不到字段数字,如果用EXCEL打开就一览无遗了。
 
这里的安全问题在于只要Keycode被解开,门就会被打开,然后里面的财物自然要算一算损失。我们再看第二面风险。
 
风险的第二面是硬件门锁。就像所有的手机都有一条外接线,可以接上USB充电一样,门锁的下方有一个孔,这个孔的对应接入器称为Programming Port(简称PP),厂商一定附赠一个号称特制的PP,PP带一条线,可以插入门锁,读取Sitecode,就可以把门打开。很不幸的,PP不是什么了不起的东西,Arduino贩卖的微控制器(Microcontroller),网购约30美金就可以轻易的插进去。破解这种家家酒式的加密,对于初级黑客简直是小菜一碟。
 
类似Las Vegas的电影情节,2012美国某些高档饭店住进了一批黑客,潜入了高档客房,带走了可观的财物。这些问题,受害者如果是饭店,多半怕影响生意不敢声张,能私了就私了。所以,用想的就知道很可观。
 
在信息技术端,安全风险是被骇的机率,但是统计决策的风险,是预期损失的函数(Loss function),也就是这个被骇的机率带来的预期损失。物联网大未来,吸引人的科技生活将一一出现在眼前。买房子要买智能住宅,买车子要买有自动定位功能的汽车,买家电要买可以自动报告食物保鲜期还有多久的冰箱。
 
天下没有白吃的午餐,当万物皆可「联」,万物也皆可「怜」。依赖科技吗?还是小心一点比较好:办公室不要放贵重物品,住饭店出门时贵重物品要随身带着。科技吹的再炫,须知一山还有一山高。如果担心安全,就弄清楚整个物联网商品的认证逻辑,弄清楚后,就会知道要如何降低风险。甚至,保险在此也应该有一个对等的金额。
 
本文虽然没有详谈物联网灯具的问题,但是,追踪一阵子的发现,目前物联网灯具系统的漏洞,给予黑客很大的创业机会:用你的电费,开他的灯。甚至,恶作剧的黑客,你上班后就把你家的灯全开了,下班就自动关灯。看到账单也搞不清楚是什么回事。此文结束前,确认美国几家iOT的灯具商,对此依然没有明确的解释。
 
笔者截稿之时,日本惊传史上最大虚拟货币窃案,损失金额580亿日币,合人民币超过33亿。







 

相关文章
  • 工业物联网安全性设计师指南

    工业物联网安全性设计师指南

    2018-10-08 19:01

  • 不论物联网还是边缘计算,安全皆为首要

    不论物联网还是边缘计算,安全皆为首要

    2018-10-05 21:52

  • 为什么咖啡机需要自己的账户?

    为什么咖啡机需要自己的账户?

    2018-10-03 23:12

  • DDOS攻击:物联网的警钟

    DDOS攻击:物联网的警钟

    2018-09-30 01:11