問:物聯網的興起,令越來越多連接互聯網的電器設備,有可能變成黑客發動DDoS的工具。最近有保安專家發現,可以接駁互聯網的飛利浦LED燈膽,有可能有保安漏洞,成為黑客發動DDoS攻擊,甚至破壞電網運作攻擊的工具,請問能否介紹一下?
李建軍:在今年較早時間,加拿大一隊保安專家,發現飛利浦Hue系列,可供電腦等設備遙控的LED燈膽系統有保安漏洞,黑客可以藉漏洞控制成千上萬同樣連接互聯網的燈膽,因而損害電網運作。保安專家發現漏洞後,立即通知飛利浦公司,而飛利浦公司亦暗中發出保安修補工具,只要用戶更新軟件到最新版,應不受這個保安漏洞的影響。
但由於物聯網的設備結構相對簡單,黑客要成功找出其保安漏洞亦相對容易,因此,現時防止黑客入侵,已不單只在電腦或智能手機等設備,只包括LED燈、閉路電視等相對簡單,但同樣可以由網絡控制的設備。而且由物聯網帶來的保安挑戰,隨時比電腦或智能手機更大,因為物聯網設備的技術限制實際上比電腦以至智能手機都來得多。而用戶要防止自己屋企的電器,變成了黑客攻擊別人或自己的踏腳石,家中各類連接互聯網電器的軟件,都要及時更新,以策安全。
問:剛才談及物聯網保安問題,最近有人發現惠普公司LaserJet 1320鐳射打印機,有可能成為黑客竊取智能手機保安資料的工具,那又是怎樣一回事?對於一般用戶,又可以如何提防自己公司或家居的鐳射打印機,變成了黑客入侵自己或他人系統工具?
李建軍:近年,有一種使用ARM中央處理器晶片的廉價Linux電腦草莓Pi,以價廉物美,體積小,而且耗電低聞名,在深圳很容易買得到,深受不少電腦用家的喜愛,用作自建打印機伺服器,或檔案伺服器。
只不過,近年有不法分子,將這種小型電腦改裝,暗藏在惠普LaserJet 1320或類近機體較大的鐳射打印機內,再加上小型無線電發射儀器,就可以藉發出木馬短信,竊取打印機附近手機的個人資料。而要查出自己的打印機是否被人加了料,只能靠定期拆開打印機內部,或當發現有人收到不明來歷短信時,立即檢查打印機才能發現。而不法之徒,往往在修理他人打印機時,暗暗將竊取資訊設備裝入打印機中,因為對正常用戶而言,他們不會想到打印機會暗藏小電腦,而小電腦可以功能強大至發出釣魚短信或信息,藉此竊取個人資料。因此,若然打印機出問題,應找原廠維修,坊間不知名的維修公司,要看看他們東主的背景,以及收機時,必須作出適當檢查,以防不法之徒加料。