台灣最近的電視劇《零日攻擊》揭示了網絡裝置設置後門的問題,也瞬即引起熱烈討論。作為 Smart Home 玩家,家中的 IoT 裝置一大堆,而且網絡裝置或者物聯網裝置的漏洞及保安弱點問題,對我而言實在不新鮮。
說實在,產地在大多數情況下都不是重點。重點是廠商有沒有能力追上零日漏洞(Zero Day Vulnerability)的速度,盡快把漏洞修補。問題是,這些物聯網或者網絡裝置的廠商未必會負這個責任,特別是物聯網裝置很多時一經出售就會成為「孤兒」,廠商幾乎不會為其提供更新。
一般物聯網或者網絡裝置最常被利用的,是利用漏洞取得管理權限,然後藉此控制裝置,成為「殭屍網絡」的一員,參與其他攻擊或用作挖礦用途。針對一些較深入的攻擊,攻擊者亦會嘗試利用這些裝置作為跳板,在網絡中橫向移動,尋找更有價值的攻擊。不過對於普遍家用或小型網絡而言,前者是最主要的目的,而提防的方法亦不難:定期更新、不要使用預設密碼、設立嚴格的防火牆規則隔離 IoT 裝置、選購信譽良好的品牌,基本上已經可以抵抗八成以上的攻擊。
遺憾根據 Cloudflare 的數據,香港其中最主要的電訊商 HKT 網上行的客戶網上流量中,有接近 20% 流量是 Bot,這反映其實香港用戶很多時不經不覺間可能成為了 Botnet 的一員。對家居用戶而言,廠商也希望精簡設定,讓用戶能「即插即用」,但如果用戶忽略一些基本的安全設定,其危險程度就如「裸跑」。就算你的電話、電腦長期開著 VPN,其他裝置例如路由器、智能電視等,又有多少會有人關心其安全呢?
筆者設置家居網絡時,就採用「縱深防禦」(Defense in depth)策略,利用 VLAN 分隔把 IoT 裝置、終端使用者及 NAS 等核心服務隔離,並遵從「零信任」及「最小權限原則」,確保即使個別裝置「失守」,亦入侵者難以橫向移動;而且因為防火牆規則給予的最小權限,入侵者亦難以將目標 IoT 裝置用作殭屍網絡一員。家用 Wi-Fi 亦使用 RADIUS 驗證,及利用 Split-Horizon DNS + Reverse Proxy 去解釋及控制內部網路的存取。為在外可以連接 NAS 而不影響安全,我亦使用 Cloudflared 設立 Tunnel 並採用 SSO 驗證。
以上操作在企業可以說是基本要求,但我必須承認,在家用網絡中絕對難以要求用戶「照辦煮碗」。反而,如果用戶盡量確保把資料減少在地在線存取,利用信任的雲端服務,加上 MFA 把資料在雲端上鎖得密實;或者加密後不在線連線,而是作為「冷儲存」,這些技術要求不高,但安全性則由雲端服務供應商負責,這對大部分終端用戶而言是更為穩妥的方案。
至於網絡流量方面,其實大部分流量均以 HTTPS 加密,加上 DNS over HTTPS 及 ECH 等方案,透過網絡裝置截取流量加以解密的風險,在不考慮中間人攻擊的情況下機會其實不高。即使對於國家級黑客而言,他們很難對一個地方、幾千萬名用戶都深入地入侵檢查封包破譯其中的資訊並加以利用;如果他們只針對幾百個高價值目標則還有可能,但一般民眾很難成為這樣的目標。因此,用戶自身的保安意識,例如不任意下載來歷不明的軟件、採用多重認證及強密碼等等,已經十分足夠抵禦大部分攻擊。
對網絡服務供應商或主機託管商而言,為保障用戶安全,供應鏈攻擊仍是必須提防;但沒有甚麼比使用者習慣更重要。對一般民眾而言,提升自己的安全意識與習慣,絕對比花錢購買某品牌的產品或者 VPN 來得更有價值。
發佈留言