物聯網世代的資安新威脅 蔡一郎副研究員
Google Me. 蔡一郎 Steven 學歷 : 國立成功大學電腦與通訊工程研究所 現任 : 財團法人國家實驗研究院副研究員 重要經歷 : 國立成功大學研究發展基金會助理研究員 中華民國資料保護協會 1 st 監事 中華民國南部科學園區產學協會 5 th 理事 6 th 監事 台灣科技化服務協會 3 rd 理事 台灣雲端安全聯盟 1 st 理事長 The Honeynet Project Taiwan Chapter Leader Cloud Security Alliance Taiwan Chapter Founder and Director of Research 部落客 :http://blog.yilang.org Facebook: Yi-Lang Tsai 自由作家 電腦圖書著作 34 本 Information Security( 資安人 ) Linux Guide NetAdmin 網路資訊等文章, 計 80 餘篇 專業證照 : RHCE CCNA CCAI CEH CHFI ACIA ITIL Foundation ISO 27001 LAC ISO 20000 LAC BS10012 LAC
大綱 物聯網時代來臨 終端裝置的發展 關鍵網路服務的威脅 物聯網的應用 結論
物聯網時代來臨 4
什麼是物聯網 (IOT) 物聯網 (IOT, Internet of Things) Internet: 網路提供資訊傳遞的平台 Things: 人 物 通訊 資料 等 資通訊的環境以行動通訊為主 行動裝置的時代 無線通訊為主 資訊交換時間的縮短 高速運算能力的需求 巨量資料的加值與應用 下一代的網路 (NGN) 資訊交換的方式改變 資訊交換的對象多樣化 5
物聯網的架構 6
終端裝置的發展 7
穿戴與可攜裝置 8
網路成為資訊傳播的主要管道 社群網路成為人類社交的主要管道 網路的連結提供需求雙方資訊的交換 終端裝置的多樣化, 提供即時的資訊 人是物聯網主要的使用者, 並與行動裝置緊密結合 數位化的智慧城市時代 9
行動裝置的資安威脅 資料遺失 (Data loss) 設備遺失 退休的設備等 惡意程式 (Mobile Malware) 的資訊竊取 應用程式的資安威脅 寫的不好, 造成資訊處理風險 設備的弱點 作業系統 應用程式 裝置設計 通訊的資安威脅 不安全的 WiFi 通訊 暱名 ( 不合法 ) 的 AP 存取點 Insecure or rogue marketplaces 管理功能不足 身份管理 功能限制 NFC 與近場通訊的安全 NFC 通訊的風險 駭客就在你身邊
NFC 成為資料竊取的管道 NFC 只有在螢幕開啟時才有作用, 所以 11
關鍵網路服務的資安威脅 12
關鍵網路服務 DNS 名稱解析服務 DHCP 位址服務 NTP 網路校時服務 Syslog 日誌服務 NAC 網路存取控管服務 IPAM 網路位址管理 Radius 身份識別認證管理 Internet 13
網站入侵 當網站管理人不再是網站管理人時 隱藏於正常的網站中 網站成為殭屍網路 (Botnet) 的幫兇 XSS 攻擊 惡意程式下載 發動惡意攻擊行為 竊取使用者資料 雲端服務時代的來臨, 加速了對於使用者造成的威脅 BYOD/BYON 的服務 行動裝置安全的問題 14
資安事件頻傳 # http://www.fetc.net.tw/portal/front/staticpage?articleid=402880fd1eafaeee011eafefd1d60005&path=../../../../../../../../../../../../../../etc/passwd at:x:25:25:batch jobsdaemon:/var/spool/atjobs:/bin/bash bin:x:1:1:bin:/bin:/bin/bash daemon:x:2:2:daemon:/sbin:/bin/bash ftp:x:40:49:ftp account:/srv/ftp:/bin/bash games:x:12:100:games account:/var/games:/bin/bash haldaemon:x:101:102:user for haldaemon:/var/run/hal:/bin/false lp:x:4:7:printing daemon:/var/spool/lpd:/bin/bash mail:x:8:12:mailer daemon:/var/spool/clientmqueue:/bin/false man:x:13:62:manual pages viewer:/var/cache/man:/bin/bash messagebus:x:100:101:user for D-BUS:/var/run/dbus:/bin/false news:x:9:13:news system:/etc/news:/bin/bashnobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash ntp:x:74:103:ntp daemon:/var/lib/ntp:/bin/falseroot:x:0:0:root:/root:/bin/bash sshd:x:71:65:ssh daemon:/var/lib/sshd:/bin/false suse-ncc:x:102:104:novell Customer Center User:/var/lib/YaST2/suse-ncc-fakehome:/bin/bash tomcat:x:103:105:tomcat - Apache Servlet/JSP Engine:/usr/share/tomcat5:/bin/bash uucp:x:10:14:unix-to-unix CoPy system:/etc/uucp:/bin/bash wwwrun:x:30:8:www daemon apache:/var/lib/wwwrun:/bin/false jemmy:x:1228:100:jemmy tsai - AP:/home/jemmy:/bin/bash winsonle:x:1000:100:winson Lee:/home/winsonle:/bin/bash georgec:x:1231:100::/home/georgec:/bin/bashcacti:x:1232:100::/home/cacti:/bin/bash buck:x:1245:100:buck Hsu - SA:/home/buck:/bin/bash dylan:x:1252:100:dylan-ap:/home/dylan:/bin/bash angie:x:1244:100:angie-ap:/home/angie:/bin/bash elaine:x:1212:100:elaine-ap:/home/elaine:/bin/bash johnson:x:1250:100:johnson-sa:/home/johnson:/bin/bash
資安事件頻傳 # http://www.fetc.net.tw/portal/front/_listdir?admin=buck&dirid=624940165493939446c265871 f964265&path=../../../../../lpr_database... bin/ fetc.conf lpr_data_img/ lpr_data_done/ lpr_data_missed/ lpr_data_manual/ mvdis_data/ new_lp_img.data old_lp_img.data LPR.conf 16
金融相關的事件 2014/1/2 Microsofe Skype 帳號遭入侵 社群網路平台已成為駭客發佈資訊的環境 假資訊對真實的世界造成重大影響
資訊交換的關鍵 定址 IP 位址 MAC 位址 媒體 有線 無線 (IOT 為主 ) 通訊 建立資訊交換雙方共同使用的語言 基礎架構 網際網路 無線通訊 18
最近重要的網路服務成為目標 DNS 服務 提供網域名稱與 IP 位址的轉換 IP 位址對於人類不具意義 不容易記憶 IPv4 IPv6 的網路 NTP 服務 網路校時服務 作業系統 資訊設備 建立標準日誌時間 19
DNS DDoS 攻擊 DNS 伺服器成為攻擊者跳板 假冒受害者的位址送出大量 UDP 封包 運用放大攻擊的技術 實際案例 歐洲反垃圾郵件組織 Spamhaus 大型網路服務供應商 Google Facebook etc. 20
Google: Digital Attack Map http://www.digitalattackmap.com/ 21
DNS 放大攻擊 DNS Amplification Attack Root Servers.net Namespace 3Q:hacker.net 4A: I don t know Primary DNS Server No authoritative for hacker.net User s Primary DNS Server Victim 2Q:hacker.net Use victim IP Botnet 1Sends signal or commund Attacker 22
Botnet Attack 23
物聯網的實現 24
什麼是智慧城市 資料來源 :NEC 25
智慧城市 提供人類活動需要的資訊 食 衣 住 行 育 樂 資訊取得的便利 網際網路 數位媒體 建置預警的機制與環境 處理人類活動過程產生的資訊 商務活動中的金流 物流 生活資訊的產生 消費 活動 位置等 26
智慧奶瓶 紀錄嬰兒的的食量 餵食的日期 時間 長時間紀錄飲食曲線 27
太陽能轉成電力 28
電力的應用 29
生理狀態資訊 即時掌握生理狀態 具備通訊能力 運用網路社群資源 30
決定防護界線的因素 實施的難易度 基礎環境架構的影響 既有資訊服務的整合 通訊架構 雲端服務架構 IaaS PaaS SaaS XaaS 資料安全的底線 機敏資料 物聯網路的通訊方式 31
智慧城市 提供人類活動需要的資訊 食 衣 住 行 育 樂 資訊取得的便利 網際網路 數位媒體 建置預警的機制與環境 處理人類活動過程產生的資訊 商務活動中的金流 物流 生活資訊的產生 消費 活動 位置等 32
CSA 的 SDP 模型 雲端安全聯盟 (CSA, Cloud Security Alliance) 軟體定義界線 (SDP, Software Define Perimeter) 考量雲端架構下的實體與網路連結, 涵蓋物聯網路的範圍, 設計一個符合安全規範的最佳實踐 安全模型的定義 發展成為雲端服務程式開發的標準 採用標準的安全工具 PKI IPSec SAML 等 可以在任何基礎設施 地理位置進行部署 於 2014 年 2 月份的 RAS Conference 開放測試, 以驗證其安全模型的強度, 可單獨測試架構中的任一組成元件 33
真實世界 vs 虛擬世界 FIFA World Cup 龐大的內容 前十天共 152,000 行動裝置連接 12 場館無線網路, 部署 700,000 個 AP 前十天創造 32TB 的資料 平均每秒 3TB 資料透過網路傳送 社群網路中的巨量資料 ( 使用者 媒體 廣告 串流視訊 ) 比賽進行的 2 小時期間, 高達 1.42 億的 GB 資料量
結論 35
總結 物聯網時代的來臨, 資訊技術進入下一個世代 資訊邊界將成為資安防禦的重點 網路運作的關鍵服務已成為駭客攻擊的重點 雲端服務安全邊界延伸到終端裝置 物聯網的身份驗證仍為重要的安全議題 資料安全與隱私保護為物聯網重要的強調
Q & A