CommuniLink 聯通國際網絡

IoT (Internet Of Things) 物聯網，其本意是指萬物基於某種方式從而達致萬物互聯之效；一般情況下，物件（不論是傳統物件或專為物聯網概念而生產的產物），均是通過於物件之中安裝傳感裝置、RFID、智能晶片等，從而通過這些裝置，令物品能主動向中控台發出某種訊息，而人類通過中控台接收這些訊息，從而了解到物件本身的感知行為；例如通過中控台我們可以得知由傳感器辨識的汽車引擎資訊，從而安排進行維修等。

其實物聯網有很多有趣的事物，未來有機會我們會再深入探討。本文之中，我們希望先與大家探討一下物聯網的安全事宜。

物聯網依賴傳感器，而傳感器之中均運行著一套系統；就好像我們採用的路由器一樣，任由我們將物聯網說得如何神奇，但仍需通過一個系統以便處理各種要求及訊息，及後才向中控台傳送，而此系統由於欠缺統一性，因此傳統的保安方法均難以有效地對此出有效的安全防禦。

近日與一位安全專家飯局，當時我們刻意就物聯網向他查詢一下，結果發現原來業界仍未就物聯網的安全性制定出一套安全標準；而假如硬要說物聯網的統一標準，唯一可能實現到的就是應用於汽車之中的多媒體系統；事關某些品牌的汽車本身的市場佔有率極高，因此較容易便能定立到屬於自己品牌的標準物聯網系統，這對於開發統一標準的安全防禦方案來說亦是較為容易的。

儘管現時業界就物聯網的安全防禦方案仍未定立出一套標準，但根據專門針對 Web App 安全的開源組織 Open Web Application Security Project (OWASP) 業界指引，針對 IoT 的安全問題應留意以下五式。

問題 1：管理介面設計垃圾

第一種問題就是有關物聯網設備的網頁管理介面設計。很多時開發物聯網設備的廠商均會通過提供網頁介面讓管理員能輕易完成設定工作；然而管理介面假如在編程上採用了較差的方法，那登入的網頁介面之中便可能會有機會被植入各種木馬；同時黑客亦可通過嘗試預設的「陽春」憑證以抓取純文字帳户登入憑證，採用不同的方法將登入資料列出，最終便可成功登入物聯網設備。

初步解決方案

不要採用預設的帳户：第一次設定物聯網設備時，便應該將預設的帳户密碼作更改，以避免被黑客輕易撞破。 避免在密碼錯誤訊息之中透露帳存是否真正存在。 啟用自動封鎖功能，當多次輸入了錯誤的登入資訊時，便直接將之封鎖。

問題二：Access Control 的必要性

第二種問題就是管理員太過有自信。很多時物聯網的物品可能只有內部人士才可存取，因此管員便會忽略了密碼的嚴謹程度，但大家別忘記任何嚴密的網絡保安方案，均不敢說自己 100% 安全；因此即使只供內部使用的物聯網設備，亦需借助第三方的方案設定好 Access Control (存取控制權限) 以確保安全。

初步解決方案

提高警覺性：即使是內部使用的物聯網設備，亦應該設定一些較複雜的密碼以確保擁有一定的安全性。 可通過部署一些存取控制設備，從而確保了物聯網設備的存取權限，避免黑客有機可乘。

問題三：小心開啟了不安全的 port 位址

第三種問題是與 port 有關的。眾所週知一些 Network services 能被第三方加以利用去進行一些足以影響內部運作的行為；常見的不安全 Network services 例如有 NFS – port 2049、Portmap – port 111、FTP – port 21 等等…. 還有很多，不詳述。

假如對 port 位的控制不充分，將有機會讓黑客充分地利用如緩衝區溢位 (Buffer overflow) 攻擊以將你的程式預設緩衝區塞得滿滿的，最終癱瘓設備；同樣道理，開啟了某些 port 位亦將會導致被 DoS (Denial-of-Service) 攻擊，此攻擊的目的都是癱瘓裝置。

初步解決方案

設定好你的麻煩的 iptables….或防火牆，確保只開啟需要使用到的 port 位。 確保所開啟的 Network service 其引起的 DoS 可能性較低，以確保設備不會被輕易 DoS 而導致停機或癱瘓情況。

問題四：傳輸加密問題

大家都知道，採用上如 SSL 等方式對傳輸過程進行加密的重要性吧！但很多時，尤其是內部使用的設備，由於其生成的 SSL 並沒有正式向 SSL 機構進行申請，所以啟用了 SSL 加密連線後，便會導致每次登入時出警告字眼；而很多管理層為了一己之方便，往往不會理會安全問題，便要求 IT 管理員將之解除，結果 IT 管理員便只有停用 SSL，這樣黑客便很容易通過一些工具深入查看傳送之中的封包，從而找出登入資料；另外有些大意的廠商為了方便性，在編寫程式時採用了 GET 的方式取得用户所輸入的帳户資料，這亦是另一種不可原諒的大意。

解決方法

堅持安全為先，堅持啟用 SSL 加密傳輸協定。 選用方案前，了解一下網頁管理介面的設計是否有足夠的安全性。

#########################

http://www.hkitblog.com/login.php?userid=3&password=1234

上述網址便是採用了 GET 的方式取得用户登入資料，大家輕易可見，傳輸過程之中網址後方會直接附上用户所輸入的登入資訊。

########################

問題五：設備是否支援自動更新

別笑！很多物聯網設備是無法自動更新的！沒法提供自動更新的設備便不應購買了，事關當新的漏洞被發現後，廠商即使已提供更新，然而卻需管理員逐一手動進行更新，一來浪費寶貴的人力資源，二來人手處理在反應時間上始終及不上設備自動完成更新，對吧！

解決方法

應選購「懂得自動更新」的物聯網設備。 即使設備懂得自動更新，亦請留意更新檔案傳送過程時的傳輸協定是否為已加密。 確保更新過程之中，廠方不會收集設備之內的資料。

總結：持觀望態度的物聯網

老實說，創新科技的第一批使用者，往往都是勇者。舉例如老品牌作業系統，他們的 RTM 版本、SP1 以前的系統版本，往往仍處於試行階段；情況與現時的物聯網一樣，很多技術仍未有行業標準，更不用說安全管理了，所以物聯網方案現時仍未適合大量部署；反而現時企業可通過小量部署物聯網方案，從而進行內部測試，為即將到來的物聯網時代作最佳準備。

以上資訊由www.hkitblog.com提供

 

技術是一個會移動的Target，有些新興技術在市場上的受歡迎程度不高，甚至是低迷，如Google眼鏡，然而有一些新興技術卻改變了企業的運作方式。例如雲端運算、全管道零售（Omni-channel）以及請求跟蹤軟件。雖然技術預測在不斷變化的市場中難以實現，但還是有不少專家希望嘗試一下，提前預知下一年將要發生的事：

 

存取權限的嚴密控制

 

資料漏洞每天都在發生，令企業一直處於高度戒備狀態。但這對於小型企業或大型零售商來說可能並不當一回事，其因所有企業都處在一個公平競爭的環境。因此，各公司更可以會深入學習，提前瞭解更好的存取控制。

 

我們獲得資訊有不同的方法，這給予公司造成了重大問題，許多企業正在尋找方法來杜絕這些方法，使那些資訊變得更安全。例如，員工可能發送文章到個人線上存儲服務，如Dropbox。這樣會把公司的資訊處於風險之中，特別是這個員工即將離職。更好的加密、存取控制和資料跟蹤的實現將是所有企業在2015年的重大課題。

 

物聯網的風險

 

物聯網縮寫IoT，這術語表示裝置與網路之間的連接。例如，可以從智能手機上控制的家庭智能調溫器，那就是物聯網的一部分，還有包括植入式心臟監測器、汽車內置的感測器和農場動物的跟蹤器等。據研究公司Gartner預測，到2020年將有260億個物聯網裝置。

 

自動水平（Automatic level）、雲端服務和高級應用程式可能會通過IoT而融合，這會對公司業務造成重大影響。IoT的技術最適合於家庭自動化領域，但隨著緊湊的技術變得更小、更便宜、更易用，它將擴展到其它的領域，如IT和企業。

 

德國的SAP公司11月發佈三款新的IoT解決方案，包括物流連接軟件。微軟正在積極尋求機會來融合物聯網和企業業務，所以它在尋找公司來發展物聯網業務場景，特別是在降低成本和提高效率方面。

 

管理IT服務將持續增長

 

根據受訪顧主的反映，資訊技術工作是十大最困難工作之一。雖然在技術行業中，關於IT不足有一些爭論，但事實是有大量的IT職位一直處於空缺。有些僱主說，好的人員太難找，或許是他們過濾掉許多優秀的求職者。

 

這境況促使更多的企業轉向管理IT服務，這個趨勢可能會持續到2015年。預測明年40%的企業將考慮接受供應商的技術解決方案。雖然擁有內部IT員工是有它的好處，但需要大量的支出和資源來支持他們。當公司要實施技術措施時，尤其是在流動運算、雲端技術、資料分析和其它的情況下，管理IT可以給予中等規模的公司更多的資源。

 

總括而言，企業因受到IoT和其它技術的推動，在2015將更加流動化，更加安全化。但又有誰會知道？也許Google眼鏡會流行起來！

以上資訊由www.hkitblog.com提供