暗網潛航——物聯網、勿聯網(中)

  筆者上周提到,電器產品智能化的過程,存有大量訊息安全隱患,可能會嚇怕部份用家。然而,只要處理好數據安全問題,物聯網及智慧城市的發展,肯定對用戶大有裨益,甚至顛覆傳統行業。

  早於二○○三年八月,日本品牌Lixil推出全球首款可接駁藍牙手機的智能馬桶,用戶可用手機控制沖水。可能大家以為這是公司的推廣噱頭,但其實內藏巨大科技商機,劍指醫療化驗行業。

  現時醫生了解病人情況,一般會要求病人做化驗。假如智能馬桶加入檢測工具,大量安裝在民居,並與醫療系統接駁,那麼住戶的健康狀況,將會非常容易掌握,對於政府改善醫療政策,對抗疫情等都有莫大幫助。

  不過如果這些數據落入他人手上,肯定會當作商品轉賣予醫療器材公司、藥物製造商,甚至保險公司,用戶私隱未必受到保障。

  要令數據妥當保存及利用,就要了解物聯網出現缺陷及安全問題成因。第一,很多生產商缺乏訊息安全概念,認為物聯網產品只是「一般家庭電器」,不會蒙受信息安全風險。於是,新的物聯網產品沒有內建防火牆,更離奇的是,有些設備竟然設置不能更改的默認密碼,而密碼卻寫在說明書上,說明書可以在網上下載。黑客只要閱讀說明書,就可以知道相關電器的管理員密碼,進行入侵。

  第二,部份物聯網設備使用不能再更新的操作系統,例如舊版本的Linux或者Windows XP。兩年多前澳洲警察用作檢控超速的攝錄機,就是因為運行舊版本Windows,而被勒索軟件加密所有超速告票。

  第三,大部份開發物聯網系統的程序員和工程師只熟悉電子工程,缺乏訊息安全知識,他們編寫的程序未必有考慮過訊息安全問題,所以系統容易出現漏洞,讓犯罪份子有機可乘。

  第四,有很多系統設計者忽略傳輸資料時需要進行加密,赤裸裸將所有數據放在公共網絡上。最有名的事件就是心臟起搏器沒有使用加密的Wi-Fi通訊。

  物聯網及智慧城市的發展,對市民生活質素有實質提升,這是無容置疑。不過,假如生產商及用戶沒有安全意識,一波又一波的網絡攻擊及資產外洩,或會窒礙其發展。

TOZ聯合創辦人

龐博文


hd