【有恆为AI成功之本】AIoT服务没有资安,会出这三个大问题

【有恆为AI成功之本】AIoT服务没有资安,会出这三个大问题

人工智慧中的深度学习,近年屡创佳绩,首先是 Alpha Zero 在三大棋类成为世界第一,不但打败人类,还远远把人类棋手抛在后面,更打败其他的人工智慧棋手。此外,在视觉辨识与语音辨识更是超出人类辨识的水準,就连微软最近也宣布中翻英的语意辨识能力也达成跟人类能力接近的水準,而这些佳绩大大的震惊了人类,人工智慧近几年被大量重视。

深度学习需要大量的数据与强大的运算力才可能达成高準确度模拟模型,而大量的数据,在很多方面就必须依靠物联网的感测器收集,透过网路即时的传输集中到伺服器;物联网的系统,也需要靠人工智慧做到正确的辨识、发现异常、预测未来,以提供好的服务。这也是为什幺工研院 IEK 与电子时报的研究单位都谈到人工智慧结合物联网是接下来的重大发展,而这样的发展,影响到各行各业,甚至会进行产业颠覆,也就是说,接下来 AIoT 服务,将在我们身边大量出现。

服务一多,AIoT 在各个层面资安的重要性就更加提高,必需处理或预防,以减少问题发生时造成的损失。接下来,本文将从三个层面来分别切入看可能造成的问题:

1. 终端设备在资安上有传输资讯被看光光、设备被操控两大问题。

在终端设备上,很多使用者因为没有修改设备商提供的原有管理员帐号/密码,或是管理员的帐号/密码很容易被猜出来,在被骇客在找到这台设备后,以管理员登入而拥有控制权,得到消费者的所有数据,可能让消费者的相关隐私蕩然无存,例如,在家中穿得很少的清凉装扮,就可能透过联网摄影机传到骇客家的机器上了。

骇入之后,此机器也被控制,可以达成其他目的。例如 2016 年 Dyn 公司的 DNS被大量被操控的终端设备攻击后,让很多公司的网站,因为 DNS 资讯无法被终端设备及时查知而无法服务。

去年因为比特币挖矿盛行,也让骇客开始骇入这些终端机器与云端机器,运用其运算力帮忙挖比特币,至少造成设备异常大量耗电与通讯传输量大增。

骇客能控制或干扰终端设备的方法还有以下几种:

终端设备的韧体,厂商明明更新了,但终端使用者并不知道要更新,或懒得更新。这也给了骇客可趁之机,利用旧有韧体的已知资安问题骇入这台机器,获得操控权。这也说明买会不定时升级新的韧体的厂商生产的设备,并常常对此设备做韧体升级是比较安全的,不然设备被操控后,就等于养了骇客的间谍在身边。

设备没有验证收到的资讯或命令,就如之前传出的某些智慧音箱会因为骇客发出的人耳无法听出的超音波被控制而误动作。

设备本身的物理安全防护不够,不必要或外露的接头被骇客使用入侵,或是容易被骇客取下来,让骇客窜改韧体后再放回,这个风险存在已久,这也反映出设备厂商硬体在资讯安全相关的设计考量很重要。

2. 网路连线的资讯安全力不够,让骇客可以拦截。

这种连线的资安出包,轻则得出所有通讯清楚内容,更甚者则窜改传输内容,让终端设备们以及云端设备们彼此误认对方的讯息,而做出错误动作:更甚者机器因此被完整操控。

例如使用的网路未加密,当使用时,同在一个场域的骇客就可以透过这个网路拦截到终端设备与云端设备之间传输的资讯,让骇客可以直接抓取出以分析读取,甚至窜改后再回送,造成系统误动作。

另外网路连线配对不安全,让骇客找出漏洞破解;或是使用已被攻破或本身被证实不安全的加密演算法,都会造成同样的问题。例如 2016 年传出的安全连线协定 Open SSL 的大漏洞,此漏洞会允许骇客执行任何程式,就造成了很多大网站受害,所以 AIoT 的通信协定就不能用这类被证实有问题的协定。

为了解决消费者自行升级终端设备韧体的不便性,让终端设备能自动更新韧体是一种新的趋势。也就是让终端设备会进行从网路下载韧体升级,但如果被骇客找出网路漏洞,而让此设备升级了有问题的韧体,反而会让骇客取得终端设备控制权,这个资讯安全风险不得不考虑。

3. 云端设备:骇客利用资安弱点骇入云端设备。

骇客在获得云端设备的控制权后,得到重要资讯,或被操控后送出错误资讯误导终端设备。

缺乏设备验证、或脆弱的使用者密码/常用密码,造成骇客直接登入是常见资安风险。不过,这个部分已经随着网际网路的发展至今,有二十年以上的历史,相对的骇客的攻击方法与资安对应的解决方案也多元。

在现在较新面对的资安问题,是人工智慧深度学习的介入:骇客可以透过深度学习在虚拟世界中找出网站与设备新的弱点,而做进阶持续威胁的攻击。一般的人类资讯安全专家,要对抗这种攻击,会有处理速度太慢的问题,也唯有藉助人工智慧深度学习的力量强化,例如从定义正常的网路行为模式,再用人工智慧及时发现可能异常行为并因应处理,才有可能达成防範效果。

由以上可知,AIoT 服务,如果没有在资讯安全做好防护,将会被骇客利用造成重要资讯被获取,有的甚至操控设备:终端设备被操控后,变成客户身边的间谍,让客户有重大伤害或损失:例如隐私被曝光,不雅照让名誉受损,人身伤亡或被绑架…等等;云端设备被操控,造成商业机密被获取,客户公司因而损失重大。

也因为 AIoT 服务在我们身边的兴盛,已经是必然的趋势,这些引发的风险,接下来必须好好预防与及时处理,以避免问题产生时造成的重大损失。