保護物聯網免受攻擊

2016年10月21日,網絡攻擊者向Dyn (美國的一個基礎互聯網域名服務提供商)發動一次大規模的「分散式拒絕服務攻擊」,導致美國東部的整個互聯網服務中斷。在此之前,另一個運用相同技術來發動的攻擊,則是以新聞從業者及法國的託管服務提供商OVH為目標。該等攻擊,導致數以百萬計的物聯網裝置在其擁有者不知情的情況下,遭受干擾和破壞,並且被利用來在互聯網發動攻擊。然而,目前的這種亂象只是一個開始,因為有越來越多的惡意攻擊者開始懂得利用這方面的漏洞。因此,我們預期未來數月將會有更多此類的攻擊出現。

新威脅的形成:Mirai

該等攻擊,是由一個稱為「Mirai殭屍網絡」的攻擊向量所策動。它的運作,是以許多常見的物聯網設備(例如:連接於網絡的視頻裝置和網絡攝像機)中的默認 「硬編碼密碼」作為工具。然而,我們必須知道,此等攻擊的發動,事實上並非如許多媒體報導所言般複雜,而是僅僅利用該等裝置中所設定的一些為人熟知的默認密碼。一旦有物聯網設備受到感染,Mirai便會乘機大肆感染附近其他裝置。攻擊者準備就緒後,便會向一個涵蓋所有這些裝置的網絡發出指示,命令它們向一些更大型的目標進行攻擊,並將由數千個網絡連接合併而成的資源,齊集向互聯網發動 「拒絕服務」攻擊,使得受攻擊的目標被龐大的網絡流量所淹沒,從而無法對合法請求作出回應。

Duff&Phelps的網絡取證組運用「蜜罐技術」,在互聯網安放一個作誘餌之用的電腦(其被設計成一個看似存在漏洞、容易被入侵的物聯網設備),以察看Mirai所可能造成的破壞程度。不到10分鐘,我們的電腦便從174個獨立IP位址,接收到超過350個連接。它們有來自巴西、土耳其、中國、東歐,和全球許多其他國家的,而根據估計,一個典型的物聯網設備,在放到互聯網上不到五分鐘,便會受到感染。如果我們要將Mirai刪除,其實也並不困難,過程就好像是將一個裝置重新啟動那麼簡單;但問題是,當有關裝置被重新啟動後,不到數分鐘,它幾乎必然會再度受到感染。

此等攻擊的發動,引起了人們的質疑:物聯網設備的生產商在設計其產品時,是否應當首先考慮它們的安全問題?物聯網設備的設計,幾乎都是為了要讓它利用互聯網(而並非只是利用家庭網絡)來進行連接。然而,此舉會讓人們容易忽略最重要的安全性能問題,因為攻擊可以從全球的四面八方而來。許多裝置均包含一個透過Telnet來連接的指令界面。Telnet是一項在20世紀60年代訂立的通訊協定,現時它已被例如「安全外殼協定」(Secure Shell,縮寫為“SSH”)等較為安全的協定所取代。然而,由於它所佔用的網絡資源不多,而且容易調配,因此現時仍然可以在許多場合背景中找到它。攻擊者現時繼續在互聯網上搜尋在偵聽某些端口的裝置,原因是一些使用此等端口的應用程式存在著已知的漏洞。在Mirai進行其破壞的過程中,攻擊者會特別偵聽與「傳輸控制協定」(“TCP”)Port 23(Telnet所使用的一個為人熟知的端口)聯繫的裝置,並不斷地循環往返,意圖窺探各個默認密碼,找出其相關裝置的漏洞來加以破壞。

正如上文所述,Mirai利用該些被硬編碼(hard-coded)到此等裝置的默認密碼(default passwords)來施行破壞。更糟的情況是,由於許多此等裝置並不包含供重置密碼用的軟件,因此用戶並不能輕易地對該等默認密碼作出修改。雖然要該等裝置能正常運作,Telnet並非其必要條件,但也許是為了調試和維護操作之目的,仍然會有一些生產商將Telnet的管理功能啟動。

控制其蔓延

Dyn遭受攻擊後,「杭州雄邁信息技術有限公司」(一家專門為許多該等受影響的裝置生產所需組件的中國生產商)有限度地召回其產品。雄邁公司除了生產一系列的網絡安全攝像機外,也向數百家安全攝像機生產商出售控制面板,因此,它的市場規模實在難以量化。

Dyn所遭受攻擊的範圍,引發了人們重新關注到:政府是否應當對市場上的物聯網設備之安全性能作出監管,而在信息安全界中,亦有一些人呼籲監管機構為物聯網設備訂立最低安全標準。該等政策所產生的影響,目前仍然難以估計,尤其是當所發動的攻擊,乃跨越了有關的司法管轄區的邊界時。

現時在信息安全界內,有人提出各種方法,以期對抗由Mirai及其他殭屍網絡所發動的攻擊。當中有一項建議是,互聯網服務提供商應當封閉前往TCP Port 23的用戶接口的通道。在目前,大多數的消費者互聯網服務提供商都會阻止「入埠流量」與「離埠流量」通過Port 25(一個用於發送電子郵件的端口)傳送至客戶的網絡,或是從客戶的網絡傳送出去。這項政策的實施,始自20世紀90年代,而它在堵截垃圾郵件方面,確是卓有成效。然而,要求互聯網服務提供商將這項政策伸延至Port 23,做法會較為繁複;因此,互聯網服務提供商可以訂立政策,規定只有當客戶提出相關請求時,互聯網服務提供商才會將它們重新啟動。此等舉措,只會為消費者帶來十分輕微的影響,但卻能有效移除Mirai所產生的許多風險。但問題是,這一解決方案是專門用來對付Mirai所造成的破壞,那麼,馬上便有人會問:倘若出現了新的漏洞,互聯網服務提供商是否又要封閉另一些端口呢?

有評論者認為應當改變目前的監管方式,並提議進行具體的法律修訂,規定生產商必須就其裝置所導致的損害承擔法律責任。該等裝置目前是根據一份「最終用戶許可協議」而受到規管,但該份協議是將所有法律責任歸到用戶或擁有者身上。倘若訂立法例,規定生產商在網絡安全方面如果犯有疏忽,便必須承擔相應的法律責任。有鑒於此,相信生產商必會盡力生產一些性能較為安全的產品。

此外,也有人建議成立標準制訂機構,專門負責對網絡裝置進行測試和認證。生產商必須將相關的軟硬件一併送到該些實驗室,由那兒的專家進行測試,在其安全性能通過驗證後,才可以進行發售。然而,也有一些人認為,此等法例未必能有效遏止在全球各地所發動的攻擊;假如有其中一個縣市並未受到此類監控,攻擊者便可以運用在該處的裝置,趁機對設有上述防護措施的地方發動攻擊。

2016年12月5日,美國聯邦通信委員會致函弗吉尼亞州參議員Mark Warren,提述一項針對物聯網設備之安全性能的「降低風險」工作計劃。然而,由於美國的新總統及其政府將在一月下旬就任,該委員會因此將這一建議暫時擱置,以待日後再作考慮。這是美國聯邦通信委員會首度介入物聯網設備可能面對的監管(這項建議是由該委員會自行提出,並以必須符合現行法律規定為前提),而此等舉措可能具有一定爭議性,故這情況是值得關注的。該委員會所建議制訂的法規,其重要項目包括:「網絡安全認證(可能是進行自我認證)」,具有教育作用的標籤規定,以及容許消費者對產品或服務的網絡安全風險作出評估。

美國更有一些人要求其政府透過國家安全局,「堵截」或遙距銷毀所有受感染的裝置。這一處理方式,就好像是將病人隔離,又或是將一個對周邊建築構成危害的危房拆除時,所援引的公共健康理由一樣。該等受感染的裝置,會導致互聯網面對公共健康風險,因此許多人均贊同政府採取有力措施,以維護這項重要的基礎設施。

值得注意的是,我們發現目前已有惡意軟件可以破解Mirai所造成的危害。當這些軟件登入有關裝置後,在自行刪除自己之先,它會保護該等裝置免受進一步的攻擊,從而保障其不被進一步的操控和利用,亦無需憂慮會出現不當的網絡中斷。雖然在現階段,我們仍未能知悉是誰在背後發動這些攻擊,但該等雖具有善意,但合法性卻成疑的修復功能之存在,正好表明現時不乏途徑(例如通過逆向方式)保護互聯網不受具破壞性的裝置所危害。

以新方法應付新威脅

中國及其他國家的生產商除了會受到司法、立法和監管干預的影響外,也同時會受到消費者對互聯網連接裝置的風險意識提高所影響。隨著新規例的實施,生產商需要對其產品設計和生產流程作出調整,以符合新法例之規定,和應付在取得認證方面的成本問題。同樣地,消費者意識的提高,將有助推動市場朝向更透明化的方向發展,並對產品的質量帶來更嚴格的保證。此等改革將會帶來多少的成本和效益,其具體情況,目前雖仍難以估算,但可以肯定的是,在未來的一年,它們將會陸續呈現出來。

面對此等新威脅,律師和企業法律顧問作為生產該等裝置的企業的法律代表,應當對當局可能實施的監管予以密切關注。此外,客戶也應當注意,在若干情況下,因物聯網設備被入侵而產生的法律責任風險,可能會轉而由生產商承擔。律師事務所和企業法律部門亦應當注意,在聘用外間的服務提供者時,該等第三方供應商在網絡和硬件方面倘若出現漏洞,可能會對其業務運作及對其客戶構成影響。

最後,有一點值得我們關注的是,Dyn以單獨一家企業,為數百家規模極龐大的企業提供服務,並為它們所依賴,這當中包括PayPal、Twitter、Reddit、Spotify及紐約時報。當Dyn遭受攻擊時,此等企業及其用戶也同樣地在遭受攻擊。現時有越來越多的企業和機構,將其核心業務的運營外判給第三方。雖然此舉可以為它們帶來成本與效益上的重大改善,但也會導致它們需要完全依賴外界的基礎設施。物色更多次級域名伺服器(DNS)的服務提供商,將會是Dyn這類機構遭受黑客攻擊時,一個最直接的應變方法。對於電腦科學家來說,要設計一個在面對中斷網絡的攻擊時,能夠作出靈活而堅強的反應的分散式系統,目前仍然存在一定的難度。事實上,這一領域也是當前一個十分重要的信息安全研究課題。

道衡環球電子資料披露與網絡取證 副總裁

Connolly先生是道衡的全球電子透露及網絡法證業務副總裁。作為一位電腦法證調查員和電子透露專家,他提供諮詢和提供端到端數碼法證服務,包括數據分析、ESI諮詢,和內部調查的專家證詞、商業機密盜竊和世界各地的網絡犯罪案件。此前,他在香港及紐約擔任六年Cleary Gottlieb的專職律師,領導團隊負責文件審閱與聯邦州和跨境監管調查。

Connolly先生從Boston College Law School獲得法律博士及從College of the Holy Cross獲得法律學士。