勒索軟體矛頭指向IoT 恐產生更嚴重破壞性

駭客若能透過植入惡意程式，而從遠端控制心律調節器，便有可能藉由釋放不正常電壓，讓該設備喪失正常心律調節功能，無聲無息將受害者推向死亡威脅。來源：University of Rhode Island

持平而論，對於多數企業高階主管，「資訊安全」雖然重要，也不能不做，但還稱不上是關鍵項目；只因不管是感染病毒、蠕蟲甚或APT惡意程式，也無論造成系統損毀或檔案遺失，仍不到絕對致命程度；但近一年多年，隨著勒索軟體肆虐，主管們真的怕到了。

曾有人這麼形容，倘若將網際網路比喻為一個江湖的話，則物聯網(IoT)就像是星辰大海，既龐大而且複雜，它確實帶給人類莫大的便捷，但與此同時，也可能帶來讓人料想不到的風險。

不難理解，猶如星辰大海的物聯網，就好比一個巨大無比的母體，將多數人包圍在其間，不斷感知箇中每一個人的行為，連帶也影響他們的一舉一動；而當你的行為被感知、動被捕捉，隨之而來的，就是一系列符合你的偏好或需求的衣食住行育樂等各式商品、服務，透過網際網路與你產生連結。

儘管藉由上述連結，在多數時候，確實讓你享有很大的便利性，然而一旦有人已經盯上你，對你圖謀不軌，那麼他就可以透過前面提到的商品或服務，埋藏惡意程式或錯誤資訊，接著經由網際網路傳遞給你，繼而對你造成難以逆料的傷害。

入侵穿戴式裝置  個人隱私全都露

最顯而易見的傷害，便是個人隱私資訊的外洩。美國一所知名大學的研究人員，曾經提出一份有關IoT安全的報告，指稱駭客可能將矛頭轉向智慧手錶，藉由箇中的運動感測器，來得知你利用鍵盤所輸入的種種內容，當然也包括了你在網路銀行的帳號密碼；如此一來，駭客不必再像從前一般必須費心做暴力破解，便可輕鬆地從你的戶頭搬走錢，或是利用網購買了一堆高價商品，卻指定由你的帳戶來買單。

細數IoT對於個人的安全威脅，若談到錢財流失，除了上例外，還有一種情況，如果有人利用智慧手環量測其健康資訊，進而上傳到雲端伺服器，而駭客看準這一點，便在數據傳送的過程中予以監視，藉此得知目標對象是否進入深度睡眠狀態，如果是，即將此訊息告知竊賊，由竊賊潛入目標對象的處所進行盜竊；假使談到其他傷害，即是用以提供遠端照護的智慧攝影機，在滿足看護需求之餘，也等於是將受照護者的家中狀況，一五一十曝露在網際網路之上。

更可怕的傷害，則是取人性命。不少人都聽說過，首次演繹如何讓ATM吐鈔的白帽駭客Barnaby Jack，在2013年意外猝逝之前，曾預告將在全美駭客年會上，表演如何入侵目標對象所採用的心律調節器，只要成功入侵，那麼即使他距離目標對象長達十餘公里之遠，仍可以藉由無線通訊的方式控制心律調節器，釋放830V電壓，讓目標對象為之慘死。

雖然隨著Barnaby Jack離世，使得這場遠端殺人的模擬秀並未如期上演，但依舊可以肯定，以當前若干駭客的技術能力而言，要想入侵任何病患所配帶的心律調節器、胰島素泵、藥物輸液泵或其他醫療相關設備，繼而做到千里之外殺人於無形，其實是有機會的，此乃由於，這些裝置皆開啟了藍牙或Wi-Fi等連網功能，等於為駭客提供一個佈放惡意程式的管道。

醫療設備遭攻擊  千里外殺人於無形

除了心律調節器外，胰島素泵或藥物輸液泵一旦遭到入侵，後果同樣不堪設想。以藥物輸液泵為例，駭客只要入侵得逞，便能夠從遠端控制藥物劑量，讓病患陷入存亡續絕的重大危機，嚴重性可見一斑。

另一個驚悚例子，發生在去年(2015)。一對技藝高超的駭客夫婦創造一種技術，足以讓攻擊者藉由TrackingPoint自動瞄準狙擊步槍的Wi-Fi連接，進而成功入侵，接著利用狙擊步槍軟體中的弱點，修改瞄準計算中的變數，使得狙擊步槍「無緣無故」失去準頭，甚至永久關閉瞄準系統，讓該步槍喪失自動開火的能力。

或許很多人會為之納悶，駭客千方百計入侵狙擊步槍，怎麼可能只是基於一份佛心，讓狙擊步槍再也不會瞄準、甚或不會自動開火，無法繼續輕易取走人類或其他生物的生命；沒有錯，駭客並不存在這般佛心，所以故事還沒結束，駭客會把變動(含括風速、風向、溫度與彈藥重量)傳入瞄準系統，使得狙擊步槍不再指向預定目標，而是依照駭客所設置的目標進行發射。

這個例子，不論對於TrackingPoint原廠或其他有意發展IoT設備的公司，無疑都具有發人深省的意義，因為縱然有再好的創意巧思，真的設計出前所未見的新穎產品，皆可能面臨前所未有、而且難以想像的資訊安全挑戰。

不過問題來了，一般IoT裝置不比電腦，不論針對運算能力、儲存空間等部分，都明顯較電腦弱了許多，不但稱不上是適合惡意軟體執行的好環境，還可能連跑都跑不動；看到這裡，或許不少人都鬆了一口氣，原來傳說中駭客利用IoT途徑竊取個人私密資訊，甚至在遠距殺人於無聲無息，付諸實現的機率並不大，所以也無須窮緊張。

勒索軟體輕盈靈巧  可依附在IoT設備執行

但如果你真的這麼想，那可就低估了駭客的企圖心與能力。駭客比你還清楚惡意軟體的體態是否過大，也一直想盡辦法使之縮小，但如果縮減的幅度有限，也不見得會因而放棄發動攻擊，此路不通，就走別的路，猶如此時此刻正大行其道的勒索軟體，無疑就是駭客眼中的絕佳素材。

事實上，勒索軟體的體態非常輕盈，不過是幾條指令搭配一個加密演算法，要依附在前述不管是智慧手環、智慧手錶、心律調節器等IoT裝置，並無太大問題。

一直以來，多數人面對資訊安全議題時，其實未必懷抱著高度的憂患意識，只因為這些惡意攻擊行為，再怎麼樣都威脅不了人命，既然如此，就無需為了它而惶惶不安，尤其面對IoT資安問題，憂患意識會更低；然而一旦勒索軟體入侵IoT設備，網路犯罪便有機會與人命產生關聯性，再也無法置之不理。

勒索軟體與人命安全有何關係？設想一個情境，駭客成功將勒索軟體送進醫療設備，使該設備無法繼續正常操作，在此同時也發了一電子郵件給受害者，揚言受害者必須在期限內支付一定數量的比特幣，才能解開原本的加密，讓設備恢復運作，否則期限一到，該醫療設備永遠形同廢物，再也無法發揮任何功能。如果這套醫療設備具有昂貴、稀有、難以立即重新取得…等等種種特質，而受害者必須長期仰賴它才能維持穩定的生命跡象，那麼勒索軟體與人命安全之間，就有了不小的關聯性。

如何避免勒索軟體入侵IoT裝置？發生在一般電腦應用場域，人們還可以藉由資料備份方式來消極因應，至於IoT裝置，似乎連消極因應的空間都沒有，既然如此，使用者只能選擇利用正統網路安全防禦的手法，與攻擊者直接對決。

主要是因為，駭客不管發動任何惡意攻擊，包括病毒感染、APT或勒索軟體…等等全都一樣，都不可能這一秒植入、下一秒馬上發作，必須歷經一段過程，也就是說，如果在駭客發動致命攻擊之前的醞釀期間，使用者便已掌握到惡意活動的癥候，明顯違背了預設的正常行為基準線，就有機會出手制止，適時將駭客掃地出門，也讓勒索軟體沒有辦法發揮作用。