臺灣立報/物聯網的資訊風險:你方便,故我在
▲科技愈來愈進步,生活愈來愈便利,當物聯網時代逐漸來臨,潛在的資安風險也會隨之提高。(圖/視覺中國CFP)
文/何宗武
VR,AI,還是機器人,未來的資訊時代應該就是由物聯網(Internet of Anything,簡稱iOT)去想像,而在金融市場的這一端,正是亂喊亂叫金融科技FinTech和保險科技InsurTech。最近幾年的電腦展,物聯網科技最吸引人的就是一堆稀奇古怪的「便利」:只要上網註冊,就可以透過掌上API遠端遙控家中的電器,例如,冰箱,電燈,冷氣等。資安風險是人人都會講的4個字,然而除了專家,卻不是很多人能夠了解資訊產品風險結構如何。另一方面,資安風險的評估,牽涉到保險和交易成本,因此,本文就來談談這一塊還蠻被忽略的財經面向。
有很多物聯網家用電器,都出現風險漏洞,例如飛利浦(Philips Hue Lighting System)的iOT燈系統。因爲這類iOT燈系統在臺灣還沒有很普及,本文就以飯店或公共場所常用的自動鎖爲範例。大家應該多少住過飯店,在櫃檯登記後,服務人員會給你一張磁卡,讓你可以刷卡進房。世新大學管理學院的辦公室也是類似的系統,每間辦公室門卡,都在機房設定權限。
風險問題就在兩面:磁卡和鎖。先講磁卡,一張標準的信用卡有3個區塊:一是磁帶,二是簽名,三是安全驗證碼(Card Security Code,簡稱CSC)。信用卡有這3個區塊來確認安全,可是一般的房卡只有磁帶區。我們每天都在用的悠遊卡,也只有磁帶區。磁帶區內有3個磁軌(Tracks),目前並沒有法令規定磁軌的使用限制:磁軌1和2是金融業用來發行ATM和信用卡的區域,房卡則自然使用了磁軌3。磁軌3有一些位元特性:
►16位元的身份辨識區。記錄使用者身份。例如,世新大學管院研究室的門卡,記錄了教師員工編號;飯店則記錄了客人代號,如果是清潔人員的萬用卡,就是員工編號。
►16位元的有效日期。
►8位元的其他用途。
►24位元的鎖碼keycode。Keycode同時也透過程式寫入硬體的門鎖,因此只要卡和鎖確認後,門就可以打開。
這個磁區經過Sitecode加密後,必須使用特定的軟體纔可以解開。所謂的特定軟體加密其實並不特別。舉例,如果你用WORD打開EXCEL檔案,只會出現一堆亂碼,看不到欄位數字,如果用EXCEL打開就一覽無遺了。
這裡的資安問題在於只要Keycode被解開,門就會被打開,然後裡面的財物自然要算一算損失。我們再看第二面風險。
風險的第二面是硬體門鎖。就像所有的手機都有一條外接線,可以接上USB充電一樣,門鎖的下方有一個孔,這個孔的對應接入器稱爲Programming Port(簡稱PP),廠商一定附贈一個號稱特製的PP,PP帶一條線,可以插入門鎖,讀取Sitecode,就可以把門打開。很不幸的,PP不是什麼了不起的東西,Arduino販賣的微控制器(Microcontroller),網購約30美金就可以輕易的插進去。破解這種家家酒式的加密,對於初級駭客簡直是小菜一碟。
類似Las Vegas的電影情節,2012美國某些高檔飯店住進了一批駭客,潛入了高檔客房,帶走了可觀的財物。這些問題,受害者如果是飯店,多半怕影響生意不敢聲張,能私了就私了。所以,用想的就知道很可觀。
在資訊技術端,資安風險是被駭的機率,但是統計決策的風險,是預期損失的函數(Loss function),也就是這個被駭的機率帶來的預期損失。物聯網大未來,吸引人的科技生活將一一出現在眼前。買房子要買智能住宅,買車子要買有自動定位功能的汽車,買家電要買可以自動報告食物保鮮期還有多久的冰箱。
天下沒有白吃的午餐,當萬物皆可「聯」,萬物也皆可「憐」。依賴科技嗎?還是小心一點比較好:辦公室不要放貴重物品,住飯店出門時貴重物品要隨身帶着。科技吹的再炫,須知一山還有一山高。如果擔心資安,就弄清楚整個物聯網商品的認證邏輯,弄清楚後,就會知道要如何降低風險。甚至,保險在此也應該有一個對等的金額。
本文雖然沒有詳談物聯網燈具的問題,但是,追蹤一陣子的發現,目前物聯網燈具系統的漏洞,給予駭客很大的創業機會:用你的電費,開他的燈。甚至,惡作劇的駭客,你上班後就把你家的燈全開了,下班就自動關燈。看到帳單也搞不清楚是什麼回事。此文結束前,確認美國幾家iOT的燈具商,對此依然沒有明確的解釋。
筆者截稿之時,日本驚傳史上最大虛擬貨幣竊案,損失金額580億日幣,合臺幣超過155億。
好文推薦
臺灣立報/科技力引導媒體變貌,但內涵始終來自人文力
臺灣立報/當媒體遇到中央廚房
●臺灣立報,成立於1988年,以傳播、科技、教育三領域爲關注焦點發表評論文章。作者何宗武,世新大學財務金融學系特聘教授。以上言論不代表本網立場,88論壇歡迎多元的聲音與觀點,來稿請寄:editor88@ettoday.net