從現實走到電影的網絡攻擊 無人機的安全漏洞
上回說到無人機已漸漸融入了我們的生活,回想從前看電影,也會出現特工利用無人機的情節,去入侵一些難以到達的地方,現在看來已經不再是「不可能的任務」了。到了近年的《蜘蛛俠》電影,也用到無人機作為題材:電影中無人機最初是以國防為目的制造出來,但蜘蛛俠透過人工智能系統「EDITH」來控制無人機,最初的惡作劇差點弄出人命,後來更被壞人利用來做出不同的「騙局」。
說到底無人機本身的設計就沒有安全考量,所以大部份的無人機都沒有任何防護入侵的功能。這次讓我們試從「CIA Traid」的角度去分析無人機的安全漏洞。
Confidentiality (機密性)
Ground control station (GCS),GCS 是無人機的控制台,主要目的單純是用來控制無人機,本身可能就不帶任何防護軟件,一旦被惡意軟件 (Malware)或木馬 (Trojans)程式入侵,就可以竊取 (Eavesdropping)無人機的資料,例如是你的GPS 位置,或是控制台和無人機通訊的頻道的加密的方法。
Integrity (完整性)
控制台和無人機的通訊協定(Mavlink)不帶加密,只要有中間人攻擊(Man-in-the-Middle) ,基本上都可以容易做到無人機騎劫的效果。即使無人機的技術日漸完熟,但就算有加密的通訊協定,也不會用上很強的加密演說法。
Availability (可用性)
從Confidentiality 和Integrity 來看,你會看到很多耳熟能詳的攻擊名稱,一台會移動但有如小型電腦似的無人機,不論硬件或軟件在沒有安全性考量下,都不難被傳統的攻擊攻破,缺口被打開後,當然對控制台或無人機的DDOS 的攻擊也不難做到。
舉一個例子,原本設計成作運送醫療物資的無人機,假如其控制台被駭,黑客可以從無人機修改目的地的GPS 位置,改變送貨位置。
無人機之間的通訊被中間人攻擊,無人機和控制台之間的通訊會被攻擊者完全攔截,如果有一些敏感的數據傳送,那就被看得一清二楚了。
其實透過電影和以上分析,值得我們反思科技和人類。利用科技製造「幻象」的高新科技,而電影中的他所使用的技術(AR、無人機、全息投影儀等) 都是現代的科技。或許有人會利用這些科技發展的成果來 「欺騙」和「操控」我們,這正正是結合了科技時代技術發展可能帶來的威脅。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
