未來的犯罪:所有物品都上網超方便,但也表示我們進入了萬物皆可駭的時代

未來的犯罪:所有物品都上網超方便,但也表示我們進入了萬物皆可駭的時代
Photo Credit: Pixelcreatures CC0
我們想讓你知道的是

物聯網帶來的挑戰在於,我們仍繼續讓這種威脅表面積呈指數式擴大,簡單來說,我們就是不知道怎樣才能有效加以保護。其中的道理很清楚:家裡的門窗數目愈多,小偷能闖進你家的機會也就愈多—特別是門窗還連到網路上的時候。

唸給你聽
powered by Cyberon

文:馬克.古德曼(Marc Goodman)

就算已經進入網路時代,要買車仍然是又貴、又難、又麻煩。

如果你失業、或是口袋不夠深,就更辛苦了。但還好,位於奧斯汀的「德州汽車中心」(Texas Auto Center)願意照顧這些顧客,保證人人都能有車可開:「不論你的信用是好是壞、是破了產、資產遭到收回、或是根本沒有信用記錄。」當然,景氣差的時候,總會有人繳不出貸款,某些經銷商面臨的資產回收比例可能高達45%。但經銷商要因為民眾貸款遲繳而回收車輛,這件事可不是好玩的;不管是對於那些就要失去主要交通工具的人,或是那些得要派出大批拖吊車去尋找車輛的經銷商來說,都是個痛苦的過程。

車主知道即將面臨回收的時候,往往會把車刻意藏起來。負責資產回收的人和拖吊車終於來討的時候,常常就是雙方一陣怒罵、火氣四射,很多負責人為了幫經銷商回收車輛,就會被打、被踢、被吐痰、被咬、被刺,甚至被一槍打死。當然,這種事應該會有個更好的辦法,而且德州汽車中心認為已經找到了這種辦法。

這家汽車經銷公司向位於克里夫蘭的「付費科技」(Pay Technologies)公司購買了一項科技工具,就能用新的方式,揮別往日這種場面難看的汽車收回場景。付費科技公司的產品稱為「WebTeckPlus」,這套系統只有一盒撲克牌大小,只要將系統隱藏安裝在車輛的儀表板下方,透過一個集中網站,就能從無線網路傳遞訊號,遠端遙控這台汽車。啟動之後,經銷商就能「關閉汽車點火系統,或是命令喇叭開始響起」,拿來提醒車主已經遲繳車貸似乎也還不錯(但可能有點太間接了吧)。德州汽車中心慢慢將所有經手車輛都裝上這種裝置,沒過多久,就裝了超過1,100台。負責這項全新高科技車輛收回管理系統的,是公司裡熟悉科技的一位年輕收款員歐馬爾.拉莫斯-羅培茲(Omar Ramos-Lopez)。

系統運作似乎一切順利,直到2010年2月,有幾位客戶的車輛忽然熄火,而且再也發不起來了。公司覺得一頭霧水,根據記錄顯示,這些人的付款記錄都是一切正常啊。接著整天,投訴數量開始增加,等到第五天,已經有超過一百位車主,怒氣如潮水淹沒了整家公司。究竟怎麼了?

全德州有許多車輛都因為喇叭響個不停而被鄰居怒砸,而且車子開不了、連啟動都做不到。整個奧斯汀上下,各地的喇叭在半夜忽然隨機響個不停,警察光是噪音投訴就接到手軟。而等到警方抵達,還是發現喇叭怎樣都關不掉,非得直接把電線給拔了才行。更慘的是,這幾百位客戶沒車可開,上不了班、也就領不到那寶貴的薪水。

雖然這個事件一開始以為是「系統性機械故障」,但其實背後真正的原因更為惡劣。有人非法入侵了德州汽車中心的遠端車輛防啟動系統,把全城客戶的車輛都給一一關了。德州汽車中心想重新啟動這些汽車,但只是徒然,因為駭客同時還竄改了資料庫記錄,更動車輛識別號碼、還把車主的名字都換成明星的名字,像是早就過世的饒舌歌手吐派克.夏庫爾(Tupac Shakur),以及流行歌手珍妮佛.羅培茲(Jennifer Lopez)。

這裡顯然有問題,經過一陣追查,才終於懷疑上了20歲的拉莫斯-羅培茲,他在事發前幾天,由於「未能符合公司要求標準」而遭到開除。警方指控他為了報復遭到開除,運用自己對於前雇主系統的瞭解,加上一名前同事的密碼,讓奧斯汀許多車輛動彈不得。警方調查顯示,這位收款員從家裡的AT&T寬頻網路,連上付費科技公司位於俄亥俄州的伺服器。拉莫斯-羅培茲遭到逮捕,被控入侵電腦系統的重罪。

無線產品都在哪?

在現代運算短短的歷史間,我們一直覺得電腦就是大小不等的箱子。但在非常不遠的將來,我們對於電腦的概念將會更為改觀,過去一直束縛著處理器的盒子結構不再,而讓人類進入運算無所不在(ubiquitous computing)的世代。

在後PC時代,不再像過去得在桌上放台電腦,電腦運算可以發生在任何地方、所有地方、用於所有處理。而我們現在已經進入這種過渡期。

筆記型電腦的銷售量在2005年超過桌上型電腦,而到了2015年,像iPad這種平板電腦的全球銷量,也將超越筆記型加桌上型電腦的總和。2014年,全球的手機數目已經超過全球人數。當然,我們家中的智慧型手機和平板電腦並不孤單,和它們作伴形成網路的其他連網設備還包括電玩主機、DVR、有線電視機上盒、智慧型電視等等。然而,如果去逛逛像是百思買、Lowe’s、家得寶(Home Depot)這些零售店,就會發現已經有另一種趨勢悄悄開始。在這些店裡或在網路商店上,都已經出現新一群的數位設備等著在家庭網路爭取一席之地,包括有連網功能的自動調溫器、燈泡、喇叭、嬰兒監視器和保全系統。這一切代表著正迅速崛起的新一代運算典範:物聯網(Internetof Things, IOT),等到物聯網正式上路,可能讓我們生活的世界永遠改觀。

這個詞最早是在1999年由麻省理工學院研究人員凱文.愛斯頓(Kevin Ashton)所創,他當時正在寶潔公司(Procter & Gamble, P&G)負責一項專案,忽然想到「如果日常生活中的所有物品都裝上識別器並具備無線連網能力,這些物品就能彼此溝通、也能由電腦管理。⋯⋯『如果我們能讓電腦知道那些該知道的事,也就是自行收集資訊而無須人類介入,我們就能追蹤計量所有事物,大幅減少浪費、損失和成本。』」愛斯頓提出的概念簡單但強大,對於製造商和像沃爾瑪之類的零售商影響深遠,大幅改善其供應鏈管理,也為消費者降低了成本。

然而在1999年的科技現實,除了像工廠倉庫之類的特定環境,並無法真正實現物聯網的理想。現在情況已經不同了,各種發展到位並互相結合,讓世界往運算無所不在的方向大幅躍進,第一次能夠普遍實現「在物品中嵌入微型電腦,運用無線科技連結到網路上」。

由於在電路、軟體及微型化方面的進展,物聯網已經逐漸成為可能,其中的裝置大致可分成兩類:感應器和微控制器。微控制器是非常小的可編程電腦處理器,寬度只有幾公釐(mm)。這些是低功率、極便宜的電腦晶片,有些只有針頭大小,能夠嵌入幾乎無限種類的裝置之中,而且成本低到可能只要幾美分。這些微型運算設備的電力只需要幾毫瓦,所以只要有個微電池或是小小的太陽能電池,就能跑上好幾年。因此,現在已經可以做到「能放在指尖上(或指尖裡)的網路伺服器,成本只要1美元」。

這些微晶片能夠接收幾乎無限種感應器所傳出的資料,而只要是任何能測、能記錄的,感應器都能監控,包括溫度、功率、位置、水流、輻射、氣壓、加速度、旋轉、磁力、海拔、聲音和影像。這系列的感應器能讓我們感知、分析周遭世界並與之互動,遠超出過去可能的程度。

收集到資料後,這些資料可不是放著沒用,而是會由許多前面提過的新型物聯網微控制器加以處理,例如微型開關、致動器、閥門、伺服系統、渦輪機、引擎等等,都能夠自行與周遭的真實世界互動。舉例來說,如果感應器發現天然氣管路的溫度或壓力過高,微控制器接收到這項資訊,就能依據事前編寫的程式,自動關閉或是重新引導天然氣的流動,避免爆炸造成災難。

高速無線資料網路不斷膨脹成長,能讓這些感應器「和世界說話」,靠的就是各種通訊協定和科技,例如Wi-Fi、寬頻、GSM、CDMA、藍牙、射頻識別(RFID)、近場通訊(NFC)、ZigBee、Z-Wave,以及電力線(power line)。感應器除了和廣泛的網際網路通訊溝通,還會彼此溝通,產生數量大到難以估算的機器對機器(M2M)資料,而且現在多虧了有雲端運算和幾近無限的雲端資料儲存能力,儲存和處理的速度不僅能夠更快、而且還更便宜。結果就會帶來一個永不停止的「全球性、身臨其境、無形、圍繞我們的聯網運算環境」,但這還只是前奏,後面一波改革的浪潮已即將到來。

假設我們說今天的網際網路大概是一個高爾夫球那麼大,那麼明天的網際網路就有太陽那麼大。這意味著,在未來幾年內,除了所有的電腦、手機和平板電腦會連結上網,就連汽車、房子、狗、橋樑、隧道、杯子、時鐘、手錶、心律調節器、牛、路燈、管線、玩具,就連汽水也可能會連上線。雖然在2013年只有大約130億項裝置連上了網路,但思科系統公司估計,到2020年大約會有500億項裝置連接到網際網路,而之後還有更大的指數成長空間。隨著所有這些裝置都連上網路、開始共享資料,就能大大改善物流、員工工作效率、供應鏈作業、能源消耗、顧客服務以及個人生產力。

梅卡菲定律認為,網路的價值會隨著連結節點(也就是電腦)的數目而呈指數成長。由於IPv6為全球資訊網格增加了340「澗」(undecillion,也就是340兆兆兆、10的36次方)個新的可用節點,隨之而來的經濟價值爆炸成長難以估計。麥肯錫全球研究所(McKinsey Global Institute)預測,物聯網將會推動跨產業創新,預計到2025年會為全球經濟帶來的額外價值,可能高達6.2兆美元。

物聯網很可能就是下一個谷歌、臉書或蘋果的發展起源,而現在各種連上網路的感應器、消費電子產品和工業控制系統數目,也已經超越了手機的總數。早期踏入物聯網的企業包括Fitbit、Jawbone、Oculus Rift、Withings、Estimote及Sonos等等,都引起一陣騷動,市值也十分看好。事實上,製作智慧型調溫器的「Nest Labs」也屬於此類公司,它推出第一款產品後才短短854天,就在2014年被Google以驚人的32億美元收購。在物聯網上絕對是有大筆商機,但這對社交社群的影響,甚至可能還比經濟影響更大。

想像一下物聯網

物聯網的前景聽起來夢幻無比。因為日常物品都嵌入了晶片和感應器,我們就能更瞭解自己的日常生活,也能過得更便利。舉例來說,因為鬧鐘連上了網路,就能去存取行事曆,知道你今天最早應做的事情是什麼,再交叉參照最新的交通資訊。路上沒什麼車,就讓你多睡個10分鐘;路上塞爆了,你就會被提前叫醒。而且,在鬧鐘響起的同時,還會輕輕調亮屋中的照明,像是冬天先幫你開暖氣、或是放好洗澡水。電子寵物門會自動打開,讓你家小狗早上自己去後院溜一溜、解放一下,而且最重要的,咖啡機已經開始為你準備今天的第一杯咖啡。再也不用問孩子刷牙了沒;他們的牙刷就裝了晶片,能在刷完牙之後自動將消息傳到你的智慧型手機,告訴你任務完成。走出大門的時候,不用再怕鑰匙找不到;在鑰匙圈上也裝了發報感應器,讓你知道鑰匙在家裡哪邊,誤差不超過5公分。

物聯網意味著,未來所有實體物品都會分到一個IP位址,而且成為資訊科技設備。也就是說,你買的燈、你養的貓、你種的盆栽,都會成為IT網路的一部分。過去沉默不語的物品,現在有了自己的語言,各個能說著自己的故事和歷史。冰箱能明確告訴你,它的製造日期、製造者的姓名、來自哪間工廠、什麼時候下的生產線、什麼時候運達零售商、又是什麼時候加入了你的家庭網路。每次冰箱門打開都會記錄,哪個孩子忘了關冰箱門、又忘了幾次,它都一清二楚。冰箱馬達故障,它可以自己發出求助信號;等到冰箱真的不行了,它還會告訴我們該怎麼把冰箱拆開、怎樣回收最好。每一棟辦公大樓都會「認識」在裡面上過班的員工,每間住宅都認識裡面住過的人,每支路燈都能辨識所有經過的車輛。

此外,這些物品都還會彼此溝通,能夠使用雲端的龐大處理和儲存能力,而且這一切還會因為有了行動和社群網路而更為增強。我們未來生活的世界,一切都能夠編程、一切都能夠互動。各種物品都變成「智慧型」,能夠描述自己的位置、距離、速度、溫度、流量、加速度、周遭聲音、視覺影像、受力、負荷、扭矩、壓力和交互作用。第一代的智慧型手機、智慧型測量表、智慧型手錶、智慧卡都已經登場,但在未來,所有物品都會變得「有智慧」,而且是遠遠超過今天的智慧。這些裝置形成網路之後,就會發展出自己的某種知覺能力,於是整個世界的人、資料和物品也就結合在一起。發揮嵌入式運算能力之後,我們會看到「幾十億個智慧型連網『物品』」,在雲端加入了全球神經網路,而雲端會「涵括我們生活中的所有面向」。

在這個世界上,不可知的突然變為可知。舉例來說,食品從田裡到餐桌的動向都能一路追蹤,餐廳也能在每個盤子都放上電子標籤,知道盤子上放了什麼食物、食客是誰、侍者從廚房上菜到桌上又花了多久。結果就是,如果下次又爆發大腸桿菌疫情,我們不用叫500間餐廳都停業,也不會不知道究竟是雞肉還是牛肉出了問題。我們能夠清楚知道有問題的是哪間餐廳、哪間食品供應商、哪位顧客身體不適,快速聯絡解決。有了物聯網和數十億個感應器,就能創建出一個環境智慧(ambient intelligence)網路,能夠思考、感應、感覺,大大有助於整個可知的宇宙。

除了讓不可知變為可知,也讓不可能突然變為可能。有些以前看來很有道理的東西,忽然顯得蠢笨不已,像是煙霧偵測器。如果火災會帶來的已經是致命的危險,為什麼大多數煙霧偵測器還只會嗶嗶叫?在未來,煙霧偵測器能讓整間臥室的燈光瘋狂閃爍好叫醒你,另外也會打開音響,用MP3音檔大叫「失火了!失火了!」另外,它們還會自動打電話給消防隊、打電話給你的鄰居(以免你已失去意識、需要搭救),也會自動切斷天然氣。而且,會被物聯網救上一命的可不只有你,可能還包括你養的花花草草。從2009年開始,就已經有很便宜、放在室內植物土裡的濕度感應器,能透過家用Wi-Fi大叫:「情況危急!快幫我澆水啊!」

聽起來還不夠科幻嗎?「跨物種網路」聽來如何?這能夠連結大象、海豚和大猩猩,為的是「增殖、研究和保存的目的」。聽起來有點誇張,但這事已經在發生了。像是在澳洲,就有超過300條鯊魚使用推特(倒不是牠們自己註冊的就是了)。研究人員在338條鯊魚(包括許多大白鯊)身上裝了聲學標籤(acoustic tag),只要鯊魚進到離海灘大約800公尺的距離,就會自動發出電子訊號給岸上的接收器。對於這個全球最容易發生致命鯊魚攻擊的國家來說,這種物聯網發展能夠拯救生命,而且這些鯊魚可熱門得很,跟隨者有將近四萬的海灘遊客。

物聯網的副產品將會是一個活生生、好像會呼吸似的全球資訊網格,科技將會整個活起來,實現過去可能只出現在科幻電影的場景。雖然這聽起來的關係還不大,但M2M通訊的數量目前已經超越所有人類發出的網路活動數量,在2013年底的數據是佔了全球網際網路流量超過61.5%。隨著我們繼續走向運算無所不在的這條路,這種現象的結果和影響,很可能是讓人難以想像。

萬物相連、但是不安全

想把一切物件連上網路、讓它們互相溝通,第一步就是要讓它們擁有如同語言功能般的科技。為了做到這一點,物聯網需要使用一系列目前還在彼此競爭的通訊技術和協定。

RFID是最早一項運用物聯網的科技,早在1983年便已獲得專利,這是一種無線低功率裝置,能夠嵌入任何物品,讓物品變得「有智慧」、也就是能夠和RFID讀取器互動。RFID標籤就是一種印製的電子電路,厚度不超過一張紙,常常看起來就是一張比較厚的標籤,大約就是1美分大小、但生產成本還不到1美分。這些標籤能夠執行即時、持續的資料交換,由掃描器讀取,而且有時候就算距離100公尺也沒問題。就算你覺得自己不熟悉RFID科技,很有可能你的身邊根本處處都是它的身影,像是刷卡進辦公室、「感應式」的信用卡、旅館的卡片鑰匙、捷運悠遊卡,或是像美國高速公路付費用的E-ZPass,都是RFID科技。雖然RFID便利無比,許多人認為這正是進入物聯網的入口,但卻有個問題:RFID太容易被駭了。

目前已經知道幾十個關於RFID科技的漏洞,可使相關電子產品輕易遭到入侵、欺騙及當機,而且還有個很活躍的「RFID地下社會」,不斷精進他們幹壞事的技巧。目前的RFID標籤,絕大多數並不具備有效的安全、加密或隱私協定。正是因為這些缺點,讓佛朗西斯.布朗(Francis Brown)這個安全駭客只花不到400美元就製造出一個自己的RFID讀取器,能夠從掃描、複製他人的智慧卡竊取其中的資料。所以,你可能只是在超市排隊、坐在擁擠的捷運車廂裡、搭著電梯正要去辦公室、又或者在星巴克等著早上要喝杯拿鐵,布朗就能進行「擦身攻擊」(brush pass)。他只要站在那裡,向你微笑、甚至是和你聊天,背包裡的行動式RFID讀取器就能把你皮夾、口袋或皮包裡的辦公室鑰匙卡讀個一清二楚,盜走裡面儲存的所有資訊。也許你會說:這有什麼關係?

關係可大了。布朗回家之後,把RFID讀取器連到家裡的電腦,就能複製出你的RFID卡。也就是說,他現在可以隨心所欲進入你的辦公室、旅館房間、或是你家。在美國,每間《財星》500大企業都會用RFID技術製作員工識別證,好控制辦公大樓進出,但布朗如果想複製這些卡片,成功率可是100%。從產業間諜到員工安全,這件事的影響非同小可。把工作場所的保安和身分辨識交給不安全的RFID證別證,根本就大有問題。更麻煩的是,這些卡可沒辦法像家裡的電腦一樣,光是下載軟體就能更新。想要更新,只能全部廢棄更換,而如果公司有10 萬名員工,成本就極為昂貴。

破解RFID的技術很容易模仿,而且現在網路上已經有幾百個教學網站和影片,教得仔仔細細。想到未來會有幾十億個物品,都是以RFID科技作為主要互動語言,實在令人憂心。RFID晶片也可能感染病毒,而且就像GPS訊號,RFID也可能遭到屏蔽,讓你進不了自己的辦公室,但小偷卻能輕鬆靠著零售商做的電子標籤,挑出辦公室最貴的產品來偷。

另一種流行的物聯網通訊科技,等於是RFID的弟弟,稱為近場通訊(NFC);目前大約有20%的手機已配備此種科技,大多是安卓手機、但也包括最新的iPhone 6。NFC用途甚廣,但最常見的就是用在像是Google Wallet之類的行動支付服務。

只要把手機在NFC讀取器上刷一下,就能用來付帳,而這筆錢可能從手機虛擬錢包直接扣除、或是記在信用卡帳上。但就像RFID一樣,NFC技術早已遭到破解,像是有類似NFCProxy這種駭客應用程式,就能讓駭客即時複製NFC信用卡資料,之後再用來購買自己看上的商品和服務。Google Wallet也已多次遭駭,能夠未經授權讀取你的PIN碼,取得你存在手機裡的資金。而到現在,隨著iPhone也以ApplePay 進軍行動支付市場,駭客也很有可能開始以蘋果的安全系統為目標。

藍牙也是另一種物聯網無線通訊科技,應用廣泛、人氣當紅,但也像RFID和NFC,非常容易被駭。現在就有例如Blue Scanner、BlueBugger、BT Browser和Blue Sniff等幾十種好用的免費應用程式,能讓居心不良的人輕鬆駭進任何藍牙設備、取得控制。這些工具讓人能透過藍牙連接埠、竊取儲存在智慧型手機、桌上型電腦和筆記型電腦的任何資料,稱為「藍牙漏洞攻擊」(Bluesnarfing)。歹徒還能攔截你在無線鍵盤打的資料、讀你的簡訊、未經許可便取走你的照片,甚至你在機場等飛機的時候,歹徒也可能在竊聽你的藍牙耳機。

物聯網的淘金潮已經起跑,沒有回頭的可能。雖然把一切都連上網路確實能帶來巨大的價值,但如果連結的時候不安全,情況就不一樣了。在我們用可駭的資料傳輸協定、製造出幾十億個容易被駭的物品之前,必須先問幾個重要的問題,想清楚:隨之而來的,是對未來安全性、犯罪、恐怖主義、戰爭和隱私怎樣的巨大風險。

抹殺隱私

就像現在我們網路上的一舉一動都可能遭到跟蹤、記錄、銷售、成為賺錢的工具,未來就連現實世界的一舉一動可能也是如此。當現實世界也變得像是網路空間,我們身邊的物品都成了物聯網的一部分,網路和現實世界的區別也就不再存在。

隨著廣泛採用愈來愈多連網設備,大家在自家、汽車、工作場所、學校和社區裡的各種行為,也會愈來愈受到裝置設備製造商的監控和分析。而且當然,這些資料一樣會再被轉售給廣告主、資料仲介、政府等等,為日常生活帶來前所未有的景像。但不幸的是,一如我們的社群、行動、位置和財務資訊,物聯網資料也會洩漏,於是那些跟蹤狂和想要一直追蹤我們的歹徒又有了進一步的優勢。

雖然未來可能會建立各項法規和私人協議,試圖保護消費者免受此類侵擾,但如果以史為鑑,更有可能發生的事情是:所有具備物聯網功能的裝置,不管是熨斗、吸塵器、冰箱、自動調溫器或燈泡,都會附有完整的服務條款,表示製造商能存取擁有相關所有資料。更讓人不安的是,理論上我們還能避開網路不用,但等到整個居家環境都是連網的智慧型住家,就沒有「退出」的選項了。這樣一來,原本關上家門不足為外人道的事,就會被那些你從未邀請進門的人所得知,而且在未來這個世界裡,光是拉下門簾也不足以阻擋這些偷窺狂。

我們每天可能得和身邊上千樣小物品發生互動,而這些小物品會24小時全年無休地收集著看來無關痛癢的資訊、傳到雲端,再在雲端加以處理、連結、審查。你的智慧型手錶會向健保公司告密,顯示你缺乏運動;你的車會成了車保公司的抓耙子,告訴他們你經常超速;就連你的垃圾桶,都可能告訴市政府你沒在管他們的回收規定。

這種「網路告密者」的概念雖然聽起來似乎有點誇張,但實際就已經開始發生了。譬如「Progressive」這家汽車保險公司,就能依據你的開車習慣,提供優惠保險費率。該公司的廣告詞就是「開得愈安全,省得愈多」。而司機如果想得到優惠費率,就得同意先在車子裡安裝Progressive推出的「Snapshot」黑盒子裝置,裝置會記錄他們每次煞車、加速和開車里程。而照這樣的情況看來,可以合理猜想,到了未來,如果司機不同意在車上安裝這樣的裝置,很可能就會面臨高昂無比的保費,於是實際上這種裝置根本就是強制安裝。

而對廣告主來說,物聯網也提供許許多多新的可能性,讓廣告主能夠進攻你會碰到的所有新智慧型連網設備。例如,因為冰箱知道你最常買什麼,結果就是你每次去冰箱拿冰塊的時候,都會看到相關食品的廣告。而隨著螢幕變得無處不在,行銷人員也早就磨刀霍霍,要進攻種種商機。早在2013年底,Google向美國證券交易委員會指出:「我們和其他公司可能(即將)會將廣告投放在冰箱、汽車儀表板、自動調溫器、眼鏡和手錶等等裝置,以上僅為舉例。」現在Google已經會讀你的Gmail、記錄你的每一筆網頁搜尋、也透過安卓手機追蹤你的物理位置,如果該公司還要製造你汽車裡的音響娛樂設備、你家裡的自動調溫器、而且用智慧型手錶監視你的身體活動,他們對你個人生活的認識會有多麼完整而強大?

RFID之類的物聯網通訊科技除了能追蹤無生命物體之外,也會用來追蹤活著的生命。現在就連人類也有愈來愈多被迫透過RFID腕帶系統遭到監控,從洛杉磯到華盛頓特區,全美的監獄都普遍採行這種措施。而在像英國之類的某些國家,政府官員甚至考慮直接將RFID晶片植入囚犯的皮下,就像是為狗植晶片的常見作法一樣。雖然很多人可能並不反對用RFID來追蹤罪犯,但如果這種科技是用在自己的孩子身上,感受可能就不太一樣了。

目前,全美各地學校也開始在學生證上嵌入RFID晶片,並要求學生隨身攜帶。例如在加州康郡(Contra Costa County),就要求學前兒童穿著像是籃球球衣的制服,裡面有電子追蹤裝置,能讓教師及行政人員確切知道每個學生的位置。學區官員表示,這套RFID系統可以省下「一年用在追蹤處理學生的3,000個工時」。當然,人們被迫加入物聯網的時候,就會出現各式隱私和公共政策問題。舉例來說,能夠持續監控學生位置的同樣一套RFID系統,也能用來監控學生是不是「太好動」,並據以判斷學生是否過動、愛破壞、最好送到「另類學校」去。學生如果不想被追蹤,只會被告知沒辦法、「算你倒楣」;像在2013年,德州聖安東尼奧的高二生安卓莉亞.赫南德斯(AndreaHernandez)拒絕在校園戴上RFID手環,結果就遭到停學。

與此同時,現在老闆也可以輕鬆掌握員工的動態,包括他們午餐吃了多久、洗手間上了多久,工作效率又如何。而且現在一切都能夠記錄,像是每分鐘打了多少字、眼動、回了幾通電話、呼吸、不在辦公桌的時間多長、注意力等等,全都難逃法眼。結果就是,現代的工作環境效率更高、但也更像監獄。

駭進硬體

另一種相對之下比較罕見的駭客行為,則是瞄準組成電腦系統的實體零件,包括微晶片、電子零件、控制器、記憶體、電路、元件、電晶體和感應器,而這些都是物聯網的核心元素。這些駭客攻擊的是裝置的「韌體」(firmware)、也就是嵌入在硬體裝置中的軟體,每種電子裝置都有韌體,不論是電視機、立體聲喇叭、手機、電玩主機、數位相機、硬碟、印表機、汽車、航空電子設備、冷暖空調、網路路由器、警報系統、閉路電視、SCADA工業控制系統、USB隨身碟、交通號誌、停車計時器、加油站加油機、數位手錶、感應器、智慧型居家管理系統、機器人,或是可程式控制器(像是伊朗在納坦茲用的那種)。這些多不勝數的「智慧型」裝置其實很笨,並無法自行升級韌體。

實際上,不論是組成物聯網的微型嵌入式電腦,或是我們今天多半的日常電子裝置,處理能力和記憶容量都十分有限。由於這些限制,它們在極度嚴格的大小限制裡,只能勉強塞進設計者最需要它們發揮的功能,至於像是安全性這種「小事」,常常不是製造過程會考慮的重點。裝置出貨之後,就算發現有功能或安全上的問題,多數的韌體也沒有自動更新的機制能修補。也就是說,那些已經上線五到十年之間的裝置,多半就像是待宰的肥羊。對於某些比較昂貴的裝置(像是智慧型手機),韌體的設計就是能夠升級,才能下載使用各種改進和安全修正程式。然而,大多數其他電子裝置的製造商,很少會在裝置使用壽命結束前改變韌體,因為這通常需要實際更換物品的積體電路,十分不划算。但就算你的手機已經升級到最新的韌體,仍然有種種危險需要考慮。

雖然許多iPhone或安卓用戶都已經知道,下載了不當的應用程式或電腦文件就可能讓手機中毒,但幾乎沒多少人知道,就連選錯手機充電器,也可能會中毒。駭客目前已經成功製作出一種硬體病毒,能夠植入USB充電器,專門針對蘋果裝置。想感染你的手機,只要把這種惡意電源線插上去就完成了。

駭客修改了這個無辜充電小插座的韌體和電子配置,就能躲過iPhone的安全防護,感染手機。手機螢幕上不會有任何彈出式警告,而且運作程式列表也不會列出這些惡意軟體。然而,這種惡意充電器會在背景默默執行,安裝後門程式,讓駭客能夠打電話、讀簡訊、竊取銀行資訊、獲取帳號密碼,以及跟蹤手機用戶的行動。

這種現象稱為「資料搶劫」(juice jacking),而這種惡意充電器成本不到50美元。所以下一次手機沒電的時候,如果要在機場、旅館或當地的購物商場插上公共充電座,可得再好好想想(駭客最喜歡將裝置裝在這些地方,能夠感染到最多人)。

連結愈多,漏洞愈多

雖然物聯網有數不清的好處,但潛在的負面影響極其龐大。到了2020年,可能有500億個物品會加入全球資訊網格,也就意味著不論好壞,這些物品都有可能與其他500億個物品互動,結果就是這種物與物之間的互動數目可能高達25垓(10垓=sextillion=10的21次方),這個網路的規模如此龐大複雜,無論是要理解或是建模,都幾乎是不可能的事。物聯網成為全球網路之後,將會充滿意外後果和黑天鵝事件(black swan event,沒人相信會發生、但真的發生了的事件),雖然這種網路可能有意外的好處,但也很有可能整個發展就是走向負面,不利於全球安全、個人隱私和人權。

此外,如果你覺得現在就已經老是遇到錯誤訊息、程式當機,有點麻煩,那等到從汽車、到運動鞋、到微波爐,一切都連上網路,情況才會真是夠瞧的。如果連冰箱、自動調溫器、車庫門也都經常需要重開機才能運作,這可絕對不好玩。

要說有哪種科技最能體現蝴蝶效應,肯定非物聯網莫屬。在這個世界上,如果你家廚房的攪拌器連上網路之後,同樣的資訊網格裡還有在東京的救護車、在雪梨的橋樑、或是在底特律的汽車製造生產線,這樣的互相連結會有何結果,沒有人知道。

雖然全球一些最聰明的研究人員和科技公司都搶著建立物聯網(以及急著在這個規模達數兆美元的領域分一杯羹),他們在IT安全部門的同事,還正在瘋狂應付昨天的零時差攻擊、或是今天的猖狂惡意軟體漏洞危機。他們很少有時間去猜測或準備應付未來的情形。光是看看現在網路犯罪的包羅萬象,就讓人清楚明白,我們連現在上網的標準桌上型電腦和筆記型電腦都無法好好保護,更別提未來每年數以億計增加的手機和平板裝置了。這樣一來,我們又要怎樣才可能在未來保護好接著要上線的500億項物品?

現在我們真的有個問題,特別在「曝露於威脅的表面積」(threatsurface area),也就是敵人能夠攻擊的位置總和。物聯網帶來的挑戰在於,我們仍繼續讓這種威脅表面積呈指數式擴大,簡單來說,我們就是不知道怎樣才能有效加以保護。其中的道理很清楚:家裡的門窗數目愈多,小偷能闖進你家的機會也就愈多—特別是門窗還連到網路上的時候。

本文摘自《未來的犯罪》木馬文化出版

Photo Credit: 木馬文化提供

作者簡介:

馬克.古德曼 Marc Goodman

曾受聘於美國FBI,擔任「未來趨勢家」(futurist-in-residence)、在Interpol擔任資深顧問,並且擔任街頭警察。矽谷奇點大學(Singularity)「未來犯罪研究院」創辦人,並擔任該院政策、法律與倫理小組的召集人。

他結合街頭警察、調查員、國際反恐分析師和矽谷科技產業人士等跨領域的經驗,致力於探討科技所含藏的安全問題、預見潛在的威脅、處理科技帶來的負面效應,也同時強化其正面效果。

書籍簡介:

繼桌上型電腦、手提電腦、無線網路、手機之後, 「物聯網」是必然的下一趨勢。 在未來的世界裡,一切物件都會互相連結起來, 帶來許多想像不到的方便和商機,但也帶來許多想像不到的犯罪手法, 我們夾在科技瘋狂飛快進展及眾多手段厲害的罪犯之間,應該如何自保? 前FBI 未來趨勢家馬克.古德曼為我們解讀犯罪的未來,提出因應之道。

責任編輯:楊士範
核稿編輯:楊之瑜