帳號
密碼




 

 

目前位置:首頁/教育局電子報/資通安全/教育局電子報第114期

資通安全
IoT聯網裝置,勒索病毒新樂園
瀏覽數:59
桃園市仁和國小 鄧達鈞 2017-05-25
用LINE傳送

綁架病毒WannaCry肆虐全球,讓你電腦變石頭,付錢或銷毀資料請選擇,物聯網時代該如何面對資安威脅?

  本月最熱門的新聞莫屬綁架病毒WannaCry肆虐全球,造成全球損失上千萬美元,台灣也名列受攻擊嚴重區域之一。根據資安公司統計百分之九十八受害者為Windows 7用戶,主要透過微軟系統之EternalBlue漏洞進行攻擊,受害者電腦出現交付贖金(等值美金300元的比特幣)的畫面,贖金隨著時間越長價格越高,綁架病毒其實就是一隻加密勒索軟體,是一種專門將受害者重要檔案加密,讓使用者無法開啟,然後挾持這些檔案來向受害者勒索贖金的惡意程式。

  據聞,這次的事件主要是駭客竊取美國國家安全局(NSA)所開發的網路攻擊工具,它能掃描並利用利用TCP445連接埠之上的Windows SMBServer Message Block)漏洞,上傳勒索軟體等惡意程式到Windows系統,對使用者的檔案進行加密並勒索贖金。微軟公司其實在三月便發布了這個系統修補的通知,只是大多數的使用這並未更新系統,才導致這次的資安事件。台灣前陣子股市券商大規模被駭客攻擊與外交部領務局遭駭,這次又發生綁架病毒交付贖金的事件。面對物聯網的時代,層出不窮的金融勒索或詐騙,看似與你我無關,但若影響醫院診療系統、金融系統或電力供應系統等民生需求,便會造成巨大傷害與損失。

  IoT物聯網(Internet of Things)主要指利用電子標籤將真實的物體上網聯結,在物聯網上都可以查出它們的具體位置,讓使用者可以藉由網路控制這些設備,物聯網將真實世界數位化,利用科技提高生活品質,例如汽車能自動駕駛,節省長途開車耗費精力、有效運作空調設備使其更加節能環保。透過物聯網蒐集的資料累積成為大數據,能夠做為開發人員研究方向,提供更好的科技或服務。但這一切美好的願景,若遭有心人士利用惡意軟體,透過網路散布,便可大規模癱瘓這些設備,進而勒索或恐嚇獲取不法利益。

  所幸,這些危機其實都可免除,因為所有的惡意程式都要透過漏洞才能進行攻擊,這些漏洞與防治方式主要分為兩類,分述如下:

一、系統因素:一台家用電腦光是對外連接埠就有65536個,最常見的埠號是80號,只要上網就幾乎是透過這個埠號傳輸資料,埠號就像家裡的門窗,上網瀏覽的人就是透過80號這個大門進出,當然系統會自動檢視或過濾進出的資料,避免惡意程式透過這個大門進入。但有些門因為系統設計不完善產生漏洞,惡意程式便藉此進入,這時就得透過系統軟體公司(如微軟公司)提供修補程式。這部分只要使用者勤於更新系統,便可阻絕大多數惡意程式的攻擊。

二、人為因素:惡意程式另外一個攻擊的管道便是使用者本身,只要人們執行該程式便可進行惡意攻擊,但人們不會笨到輕易點選惡意程式,這時它們便會進行偽裝或欺騙手段,最常見的就是偽裝的電子郵件、Line訊息通知或Facebook臉書訊息,不管是偽裝成親朋好友或好康訊息,惡意軟體總有辦法讓你點選執行,例如最近開始流行包裝在網路免費影片的字幕檔中,網路許多盜版影片都會有免費的中文字幕,惡意程式夾帶其中,便可對執行影片的電腦進行攻擊。

  資訊系統沒有永遠的安全,我們也不可能因噎廢食遠離科技,只要隨時提高警覺,更新系統安全性,才能在安全的環境下享受科技帶來的便利。



回頂端
發行人:鄭文燦 總編輯:高安邦 主編:陳秀惠 編輯顧問:徐水柯、吳德業
桃園市政府教育局電子報. 系統管理維護/周俊宏