跳至主內容

智能設備購買及安裝小貼士

發佈日期: 2017年09月18日 2264 觀看次數

近年互聯網及物聯網 (Internet of Things, IoT) 的設備快速增長,有報告預計在 2020 年相關的設備會增長到約全球 210億件,相信相關設備好快會超越個人電腦的數量。而在對上的一年,黑客留意到這些設備有很多都存在著保安漏洞或問題,就在2016 年的 9月及 10 月入侵了部份有保安問題的設備並進行大規模的阻斷服務攻擊,而所利用惡意程式名叫 “Miari”#1,這次攻擊告訴了我們互聯網及物聯網設備已經成為新一代的網絡攻擊利器。

 

經過此事故後,多個保安團隊也紛紛研究全球有多少這些有保安問題的設備,所得出的結果也是遠超想像。本中心也在 2015 至 2016 年之間進行了一系列有關互聯網及物聯網設備的專題研究#2,也發現為數不少的設備直接向互聯網開放,而部份設備也存在保安問題。

 

其實有什麼問題?

這些有保安問題的互聯網及物聯網設備存在的問題包括:

  • 系統存在漏洞並能夠進行遠端執行程式碼或遙距控制
  • 產品在出貨時只提供少量的保安設施或沒有保安設施
  • 產品預設的密碼過於簡單或預設了不能更改的密碼
  • 沒有明顯的提示告訴使用者需要更改密碼或需要安裝固件更新來修補保安問題

 

由於在網上很容易找到大量不安全的設備,而這些設備應用範圍甚廣,包括工業設備、基建設備及家居設備等等。由於 Miari 的出現,這些不安全的設備很容易被招募組成龐大的殭屍網絡,然後對互聯網進行大規模阻斷服務攻擊使目標網址癱瘓。

 

使用者也可盡一份力

其實作為一個使用者,我們也可以為網絡安全出一份力,我們可以從選擇產品和安裝上著手,讓我們中心講解一些貼士你知。

 

選擇產品你可以:

  • 了解品牌的信用度
  • 了解過去兩年產品的事故及處理方法
  • 留意品牌提供更新固件的頻密程度
  • 產品是否有進行產品驗證#3
  • 留意產品所使用的網絡連線是否有使用加密技術
  • 先下載使用者說明書,了解有否提供足夠的保安設定
  • 留意管理者介面是否有使用加密技術
  • 設備是否容易進行固件更新
  • 設備是否容易安裝

 

在安裝時你可以:

  • 請安裝在沒有公開IP位址(Public IP address)的內聯網上
  • 建立單獨的訪客網絡使不受信任的訪問和常規網絡分離,如能夠為智能設備建立單獨的網絡則更好
  • 關閉在路由器上的通用隨插即用 (UPnP) 功能
  • 保持固件為最新版本,請每年最少兩次檢查生產商的網頁會否已提供更新固件
  • 請使用強健的密碼並定期更換,如能夠做到1設備1密碼就最好了
  • 管理介面不應向互聯網開放,只開放有需要的服務
  • 如設備不是必需連接雲端,請盡量不要使用,使用雲端連接只會增加安全風險
  • 在沒有使用互聯網服務時 (如 SmartTV),請拔除網絡連線
  • 定期利用搜尋器 (如 Google) ,輸入所使用中的設備品牌及型號,看看結果會否有任何安全相關事故的資訊。

 

要享受新科技所帶來的好處時也同時注意保安,這樣才能用得安心又放心。

 

附加資料

#1

如果想了解更多有關此惡意程式,可瀏覽"Mirai 惡意軟件的清理及偵測

 

#2

如果想了解更多

 

#3

有關通訊加密及產品驗証

現在的智能設備一般分為可獨立運作或需連接智能網關運作兩種。獨立運作的智能設備主流都是使用 Wi-Fi 連線,有部分會使用藍牙,它們都是使用 IEEE 802.11 的通訊的標準,一般都會提供及利用加密技術。而連接智能網關運作的智能設備會分為兩個部分,一是設備與網關的連線及網關與路由器的連線,設備與網關的連線會使用新興的 IEEE 802.15.4 通訊標準,主流都是使用 Zigbee 或 Z-Wave這兩協定,由於這個通訊協定比較新,早期的產品也沒有硬性使用加密技術,所以有可能會購買到一些設備是沒有提供通訊加密。而網關與路由器的連線主流也是使用 Wi-Fi,情況和獨立運作的設備相同,但由於智能網關好多時都會連線雲端,可以留意它們之間的連線是否有使用加密。見下圖。

 

 

 建議是盡量購買獲得產品驗証及較新年份的產品。

 

以下是 Zigbee 及 Z-Wave 的已驗証產品的商標和檢查網址:

 

http://www.zigbee.org/zigbee-products-2/

 

http://products.z-wavealliance.org/