維護物聯網安全產業不能只靠區塊鏈
2018-03-02 10:29:14 n在2018年度世界移動通訊大會(MWC)首日舉行的一場題為「物聯網與安全區塊鏈」(IoT and the Security Blockchain)的座談會上,「信任」(trust)與「安全性」( security)是兩個最常被提到的詞,但若非用充滿希望的語氣,就是徹底的諷刺。
該場研討會主持人、市場研究機構451 Research的物聯網分析師Ian Hughes表示,物聯網裝置的暴增,讓仰賴網際網路通訊的系統安全性面臨「不斷膨脹的巨大風險」;與會的微軟(Microsoft)物聯網暨人工智能(AI)解決方案部門總經理Rashni Misra則表示,物聯網裝置的擴增:「基本上開啟了一個新的攻擊面,而且達到特別嚴重的程度。」
這場MWC座談會的與會專家們要傳達之訊息,是安全性終究為各大公司將認真看待的議題,但今日相關解決方案都是理論性大于實質性,而且會需要某種程度的相互信任(社會主義?),這在科技業競爭者(資本家)之間并不常見。
沒有一位專家對純軟件方法表示樂觀,例如區塊鏈(blockchains)──這一開始是為了加密貨幣比特幣(Bitcoin)開發的分散式交易分類帳(decentralized transaction ledger);如高通(Qualcomm)物聯網產品管理副總裁Seshu Madhavapeddy所言:「你的安全性就是不能只靠軟件。」
Arm物聯網裝置IP部門副總裁Paul Williamson則表示,物聯網擁有「改變世界的龐大潛能」,該公司還為物聯網應用打造了平臺安全架構(Platform Security Architecture);但他也坦承,今日的物聯網領域仍是「蠻荒世界」,或許IoT用「不安全的事物」(insecurity of things)來形容會更貼切。
另一位與會專家,電信業者Syniverse的企業開發副總裁Erin Linch進一步指出,公眾網際網路每秒會產生2萬4,000筆資料、6萬2,000次Google搜尋,以及2,600萬封電子郵件,每個項目都是潛在的網路攻擊目標。
Williamson指出,當物聯網裝置啟動之后,那樣的危險就不再適用于它們:「我們得思考在那些物聯網裝置的整個生命周期中如何進行管理。」
Linch強調了如高速鐵路、醫院網路等大規模系統之安全漏洞的潛在沖擊;但KPN Telecom資安長Jaya Baloo則表示,該公司身為安全系統的客戶,會以「最小裝置」的角度來考量安全性議題,并舉了非洲索馬利亞(Somalia)的Fitbit智能手表使用者為案例。
Baloo表示,那些Fitbit智能手表使用者的活動以及跑步的里程數、心率等資料,會持續被追蹤監測,并透過內建的監測系統饋送到網際網路;但有未經授權的觀察者入侵網路后,發現在東非的某個偏遠地區出現Fitbit資料異常集中的情形,因此判斷當地有一個擁有大量健身者群集,是秘密軍事基地的所在位置。
而Baloo指出,該網路的漏洞并非錯誤、也不需要復雜的攻擊程序,而是設計者刻意留下的缺口,以支援「分享」功能:「裝置的設計者對于預防錯誤,知道得還不夠多。」
在該場MWC座談會上,來自Cisco的信任物聯網聯盟(Trusted IoT Alliance)主席以及區塊鏈計畫負責人Anoop Nannra,提出了一種區塊鏈物聯網注冊表(Blockchain IoT Registry)的方案,他表示每一種物聯網系統──例如以無人機遞送藥物──應該要透過「在注冊表中定義物聯網裝置通用模型(common model)的智能契約」來保障安全性。
他推動了一個專案,為每一種物聯網「資產」提供包括軟件與硬件的保護措施;舉例來說,一輛智能卡車可能會包括:注冊(registration)、驗證(verification)、轉移安全性( transfer security)、安全分類帳系統(secure ledger system),以及用來為服務付款與被付款的數據錢包。
但Baloo表示,那樣的智能卡車要上路,提出標準、注冊、建立聯盟與信任,是實現網際網路最基本的部份,特別是在工業領域;「我們在每一件事情與每一個層面上都失敗了…」她指出:「有標準,但是在實施方面卻很糟糕,其他就更不用說了。」
Baloo舉了另一個實際案例,案例中的高科技醫療設備經過謹慎且嚴格的注冊程序以防杜安全漏洞,但那些機器因此拒絕需要進行的遠端軟件更新;而如果那些裝置被開放接受新軟件,其安全通訊協定看來會取消被允許其使用的認證。
Baloo的公司聘雇了一個白帽黑客(white-hat hacker)團隊,攻擊才剛剛完成開發的先進安全系統,而黑客們發現在通訊協定標準中有一個漏洞,會讓系統有弱點且需要大規模的修復;她指出,大多數的公司都沒有資源或是沒有想到要雇用這樣的黑客團隊,用激烈手段來測試系統安全性。
而Baloo總結指出,物聯網安全是一條漫長的路:「深度防御(defense in depth)實際上需要我們這么做──信任,但永遠需要是能夠驗證的。」
