台湾立报/物联网的资讯风险:你方便,故我在
▲科技愈来愈进步,生活愈来愈便利,当物联网时代逐渐来临,潜在的资安风险也会随之提高。(图/视觉中国CFP)
文/何宗武
VR,AI,还是机器人,未来的资讯时代应该就是由物联网(Internet of Anything,简称iOT)去想像,而在金融市场的这一端,正是乱喊乱叫金融科技FinTech和保险科技InsurTech。最近几年的电脑展,物联网科技最吸引人的就是一堆稀奇古怪的「便利」:只要上网注册,就可以透过掌上API远端遥控家中的电器,例如,冰箱,电灯,冷气等。资安风险是人人都会讲的4个字,然而除了专家,却不是很多人能够了解资讯产品风险结构如何。另一方面,资安风险的评估,牵涉到保险和交易成本,因此,本文就来谈谈这一块还蛮被忽略的财经面向。
有很多物联网家用电器,都出现风险漏洞,例如飞利浦(Philips Hue Lighting System)的iOT灯系统。因为这类iOT灯系统在台湾还没有很普及,本文就以饭店或公共场所常用的自动锁为范例。大家应该多少住过饭店,在柜台登记后,服务人员会给你一张磁卡,让你可以刷卡进房。世新大学管理学院的办公室也是类似的系统,每间办公室门卡,都在机房设定权限。
风险问题就在两面:磁卡和锁。先讲磁卡,一张标准的信用卡有3个区块:一是磁带,二是签名,三是安全验证码(Card Security Code,简称CSC)。信用卡有这3个区块来确认安全,可是一般的房卡只有磁带区。我们每天都在用的悠游卡,也只有磁带区。磁带区内有3个磁轨(Tracks),目前并没有法令规定磁轨的使用限制:磁轨1和2是金融业用来发行ATM和信用卡的区域,房卡则自然使用了磁轨3。磁轨3有一些位元特性:
►16位元的身份辨识区。记录使用者身份。例如,世新大学管院研究室的门卡,记录了教师员工编号;饭店则记录了客人代号,如果是清洁人员的万用卡,就是员工编号。
►16位元的有效日期。
►8位元的其他用途。
►24位元的锁码keycode。Keycode同时也透过程式写入硬体的门锁,因此只要卡和锁确认后,门就可以打开。
这个磁区经过Sitecode加密后,必须使用特定的软体才可以解开。所谓的特定软体加密其实并不特别。举例,如果你用WORD打开EXCEL档案,只会出现一堆乱码,看不到栏位数字,如果用EXCEL打开就一览无遗了。
这里的资安问题在于只要Keycode被解开,门就会被打开,然后里面的财物自然要算一算损失。我们再看第二面风险。
风险的第二面是硬体门锁。就像所有的手机都有一条外接线,可以接上USB充电一样,门锁的下方有一个孔,这个孔的对应接入器称为Programming Port(简称PP),厂商一定附赠一个号称特制的PP,PP带一条线,可以插入门锁,读取Sitecode,就可以把门打开。很不幸的,PP不是什么了不起的东西,Arduino贩卖的微控制器(Microcontroller),网购约30美金就可以轻易的插进去。破解这种家家酒式的加密,对于初级骇客简直是小菜一碟。
类似Las Vegas的电影情节,2012美国某些高档饭店住进了一批骇客,潜入了高档客房,带走了可观的财物。这些问题,受害者如果是饭店,多半怕影响生意不敢声张,能私了就私了。所以,用想的就知道很可观。
在资讯技术端,资安风险是被骇的机率,但是统计决策的风险,是预期损失的函数(Loss function),也就是这个被骇的机率带来的预期损失。物联网大未来,吸引人的科技生活将一一出现在眼前。买房子要买智能住宅,买车子要买有自动定位功能的汽车,买家电要买可以自动报告食物保鲜期还有多久的冰箱。
天下没有白吃的午餐,当万物皆可「联」,万物也皆可「怜」。依赖科技吗?还是小心一点比较好:办公室不要放贵重物品,住饭店出门时贵重物品要随身带着。科技吹的再炫,须知一山还有一山高。如果担心资安,就弄清楚整个物联网商品的认证逻辑,弄清楚后,就会知道要如何降低风险。甚至,保险在此也应该有一个对等的金额。
本文虽然没有详谈物联网灯具的问题,但是,追踪一阵子的发现,目前物联网灯具系统的漏洞,给予骇客很大的创业机会:用你的电费,开他的灯。甚至,恶作剧的骇客,你上班后就把你家的灯全开了,下班就自动关灯。看到帐单也搞不清楚是什么回事。此文结束前,确认美国几家iOT的灯具商,对此依然没有明确的解释。
笔者截稿之时,日本惊传史上最大虚拟货币窃案,损失金额580亿日币,合台币超过155亿。
好文推荐
台湾立报/科技力引导媒体变貌,但内涵始终来自人文力
台湾立报/当媒体遇到中央厨房
●台湾立报,成立于1988年,以传播、科技、教育三领域为关注焦点发表评论文章。作者何宗武,世新大学财务金融学系特聘教授。以上言论不代表本网立场,88论坛欢迎多元的声音与观点,来稿请寄:editor88@ettoday.net