是否因发布心得而有优惠: NO
心得内容:
最近因为 cubo 的事情板上讨论蛮多的,想说写一小篇相关的介绍说明,
在家里面的各种【连网家电】应该要留意的事情。
因为这年头智慧家电只会越来越多,
所以觉得这些可能是新手爸妈们在家里会想知道的。
包括但不限于:
1. 各种连网扫地机器人
2. NAS (就一台家里的主机跟硬盘, 主要用来存盘用)
3. 各种可以用 app 连的装置,像是 cubo 这种产品或是宠物喂食器之类的
4. 笔电镜头
5. 家中监视器、智慧灯炮、智慧插头
6. 连网用的装置 (俗称小乌龟
7. 纯云端,如各类云端储存装置
这篇可能会有些术语,但我尽量把一些比较关键的部分,讲得浅显易懂一点。
============
笔者是15年以上的软件工程师,
专长在网站资讯系统跟应用资讯系统,app 也算略懂。
资讯安全不是我的专长,但是讲一点工程延伸的安全问题还是可以的,
毕竟服务设计还是有些原理是共通的。
============
开宗明义第一句:
你自己可以连入的,就有可能被别人连入,只是难度问题。
不过通常我自己会先评估一件事情,最坏的情况假设真的有人冒用我,
问题会是什么,所以像是网银之类的密码我一定不会存在任何这种地方。
一些不论任何情况我都不希望被看/听的地方,我就不会装对应装置。
另一个角度是如果你不够重要,其实多数人也没有兴趣特别找你麻烦。
做为一个软件工程师,我会认为网络是很危险的,
但是当然这种危险你也不需要太着急,
就跟过马路很危险,但是我们每天还是可以跟危险/便利共存。
完全让生活零风险是做不到的,我觉得也没必要,
但当然,也不需要让自己活在很高的风险里面。
这篇就是要跟大家说什么样的情况下会有怎样的风险,哪些我会建议避一避。
今天没有要讲特定服务,所以不要问我某某服务有没有问题,
那个是资安红队专家(攻击方)的专长,我自己没有这种专长。QQ
===================
@ 连线风险
以家用装置的风险,有不少是由于智慧型手机普及,
我们希望用智慧型手机【方便】、【随时】的操作,而导致的。
其中有一些方便是有安全代价的。
基本上为了简化问题,我们简要把连入的服务连线分成几种:
1. 只有在区网可以用 (比方说要连上家里的 wifi 才能用)
比方说像有些设备是要你用手机去连他的设备专属 wifi 才能控制之类的。
2. 在俗称 4g 或 5g 类的行动网络可以用的
有些扫地机器人可以注册这个,也有些 NAS 在设定后可以。
===
这两种装置有什么不一样呢,基本上装置如果要能连线,
意味着你一定要想办法透过某个路径(实体线或wifi连到装置上)。
然后区网的话,显然他的攻击节点比较少,
攻击方必须要先进到你的服务里面,才能攻击你。
而如果你可以在行动网络(即公开网络)连进,
那就是任何人都可以试着连连看了,所以这两者的风险当然也显著不同。
另外透过公开网络连线还可以分成几种管道:
一种是他真的就是透过你小乌龟设定连入进来,通常会需要搭配防火墙设定,
有些装置会请你去找网管设定 upnp (自动设定) 或者手动设定来放宽。
反正你看到设备有叫你改网管设备的就是这种,NAS 的连入比较多是这种。
但是因为这种很难设定,所以后来又有人做下一种。
这种就是由厂商提供中继服务服务器,你的设备先连到厂商的服务器,
然后再让你的装置连到厂商的服务器,由厂商在中间帮你交换资料。
基本上如果有那种你可以用 line 操纵的之类的服务,大概就是这种。
像我买过一台韩国品牌的扫地机器人,他就提供 linebot 控制,
基本上你的装置不可能自己就能注册一个 lineid ,
而且他是一个 linebot 服务很多人,这种就是厂商中转的特征。
基本上厂商中转也不是不好,
就是一来你的资料有可能会被厂商看到的风险。
厂商是凭良心去承诺他有没有偷看你资料,但是我自己的从业经验,
我是不太相信这种良心,说实话。XD
另一方面是也有可能厂商自己很守规矩,但是他的安全标准不够,
比方说今年陆续爆出的 irent / 格上租车订单安全风险事件。
(格上租车那个踢爆记者会还是我去帮忙开的 ~)
我相信很多时候厂商并没有想要外泄资料的意思,
但可能因为安全意识跟防范的不足,而导致我们的资料在外面。
像是这经典的 2018 年户政资料外泄案,都是影响我们隐私资料甚钜的案例。
你可能会看到资料外泄就想说你把密码保管的很好,
但是很多服务其实他的入侵未必是真的需要你的密码的。
只要找到他权限控制(access control) 没处理好的弱点,
他是有机会直接绕过整个认证机制进入你的装置的,
所以安全的挑战跟厂商的能力有很大的相关。
另一方面,有时候也是你自己的密码过于简单,
或是共用密码导致的撞库攻击(拿A外泄的密码来测你B服务的密码)。
这种情况也会有几个安全建议:
1. 使用 two factor (双因子认证),
认证时除了密码以外还要再增加一个装置讯息验证。
2. 使用密码聚合 (ex. 1password 或 lastpass 之类的密码管理软件),
让密码使用自动产生的随机密码,自己只要记主密码,来降低撞库风险。
(当然对应的就是密码聚合被打爆就也是很麻烦)
===========================
所以要问自己一个问题,这些 service 都存在风险的话,
那我们要问的始终是:
1. 所以厂商用什么样的安全架构来保证他的资料不会外泄?
端点对端点加密?key 谁保管。
2. 如果真的不幸外泄,你愿意接受的损失是什么。
====================
所以先讲一些事情:
@ 镜头类的服务(包括摄影机等),尽量避免涵盖到家中的隐私区域,
另外也避免直接对外网连线或透过厂商中继服务。
DVR 类的设备因为 cost down 的实在是很严重,很多安全更新该做的都没做,
所以大家可能常在网络上看到被挟持的摄影机列表网页之类的。
这些就是他作业系统可能没更新(也可能厂商根本就倒了没办法支援更新),
所以导致他的设备暴露在风险里面。
这种情况下,如果保护在内网里面,至少还安全一点。
麦克风/声音亦同。
@ 各类怎样都不想流出的私密影音照片:是真的奉劝大家能少就少,
不然就是抱着总有一天会流出的心情收著吧。
真的很想很想的话,实体硬盘保存,平常断开连线,应该是一个方法,
但要留意硬盘的保存期限跟定期检查,太久没用是会坏的!
@ 一些比较敏感的实体装置,比方说电源类、灯类,
原则上是真的不太建议连到外网可以控制。
区网控制得话勉强算是可以接受,另外最好都要有一定的密码或者设备认证机制。
(像是连上时需要做实体的密码显示跟交握之类的, ex. 安卓电视配对)
另外智慧音箱之类的,只要能透过 app 在外网连线的,
我也觉得都算是相对风险高一点的,就看厂商的加密机制跟运作机制有多严谨。
@ 家中的网络一定要尽量设密码,然后连网站尽量要用 https,
没有密码且连的不是 http 的网络,都可以在【区网层级】,
被【同一个区网】内的人偷喵你在干嘛,算是很危险的事情。
@ 凡事就多问自己一句,假设今天有仇家加上自己的家人要搞你,
这些设备他可以怎么搞你,如果你会怕,那就不一定需要冒险。
=========================
但是,说真的,有时候有一些异常的情况,
也不一定真的有谁故意黑你或谁故意偷窥你,
也可能真的只是厂商程式写错,
该送到使用者 A 的讯息送到了使用者 B ,诸如此类的。
基本上工程技术有时候真的很难免会出错,这就考验大家工程技巧。
(这就是我平常的工作啦)
所以这种事情也真的是很难说到底是怎么回事,
唯一相对可能知道、可以调查的,多数情况下只有厂商自己。
说真的就算报警,台湾的警察、侦查人员,对于他服务器专属的设计跟架构,
也未必真的有足够的能力跟资源去鉴识啦。
别的不说假设有一套新的程式架构在我面前,给我全部权限自由查阅,
视复杂度我都可能需要研究上一个星期,才有办法确认各种纪录跟问题情形。
更不用说这些可能根本没有足够权限,只能倚靠厂商提供资料的调查人员了。
在这种资讯不对称的情况,
关键的问题还是厂商自己要去跟使用者交代他的安全机制,
这个机制必须要有可验证性。
另外有些产品或产业有他自己的安全认证,
比方说信用卡交易类有所谓的 PCIDSS 认证,这些就是我们会看的专属机制,
基本上不是信得过的网站我是一定不会进行刷卡交易的。
再来就是按照前面的风险规画,去评估,
他可能的风险评级、暴露点有多少,大概就是这样的情况。
说实在话,做为一个工程师我常觉得,资讯产品其实占大家生活中很大比例,
但台湾对于这类议题的讨论实在是太少了,
希望这篇可以让一些伙伴更了解生活中的资讯风险。
如果大家有想聊得话,在不太涉及个案的情况下,
我很乐意帮大家分析一些常见服务的可能技术原理跟相关风险。