IOT 的完結 === ###### tags: `GDG on Campus FCU 2024/25` 講師：Eric Wu 日期：2024/11/12 課程影片： {%youtube NQ_bt5i28es%} ## 資訊安全概念 ### 什麼是資訊安全 1. 機密性 2. 完全性 3. 可用性 ## 資安和IoT的關係 ### 資安對IoT的重要性 1. 保護個資與隱私 物聯網設備往往收集大量個資 2. 系統穩定性與可用性 IoT設備大多在關鍵系統中使用 3. 防止惡意控制與破壞 駭客可能透過惡意程式控制IoT 4. 維持資料完整性 許多IoT設備收集的數據用於決策或自動化控制系統 5. 防止設備惡意更新或損壞 IoT設備可能會被安裝不合法的硬體或系統更新 ### IoT設備的脆弱性 1. 默認密碼風險 許多IoT使用簡單或預設密碼 2. 軟體更新不足 部分設備缺乏定期更新 3. 加密不足 許多IoT設備的數據傳輸未經加密，亦被截獲 ### IoT安全威脅的影響 1. 隱私洩露 eg. 監視器的預設密碼未改視訊畫面被公開上網 2. 設備控制權喪失 eg. 用IoT裝置當作攻擊跳板 3. 系統癱瘓 eg. 微軟系統漏洞造成機場癱瘓 ## 常見的IoT攻擊 1. 暴力破解 因為IoT設備使用簡單或預設密碼，駭客常利用自動化暴力破解技術獲取設備存取權 2. DDoS 分散式阻斷服務 通常利用大量「殭屍」設備同時發送大量請求，導致目標私服器資源耗盡，無法回應合法用戶的需求 3. MITM 中間人攻擊 駭客在用戶與伺服器之間「插入」並攔截或篡改傳輸數據，使受害者誤以為通訊是安全的 4. 供應鏈攻擊 aka. 第三方攻擊 第三方程式多為未授權程式，易遭惡意程式感染 5. 社交工程 利用社交工程手度欺騙IoT設備管理者，誘使其洩漏登入憑證或開啟後門 ## 如何防範 ### 防範社交工程 1. 提高使用者的安全意識 eg. 網路釣魚 2. 強化身份驗證機制 eg. 多因子驗證 MFA 3. 加強網路安全 使用windows沙箱 檢測網站/軟體有惡意程式: VIRUSTOTAL ### 預防IoT攻擊 1. 強化密碼和身份驗證 a. 變更默認密碼 b. 啟用雙因素驗證 2FA 2. 定期更新韌體和軟體 a. 更新韌體 b. 自動更新 3. 隔離IoT設備網路 a. 設置專用網路 b. 啟用防火牆 4. 限制設備訪問權限 a. 最小權限原則 b. 禁用不必要功能