[心得] 連網家電的風險

是否因發佈心得而有優惠: NO

心得內容：

最近因為 cubo 的事情板上討論蠻多的，想說寫一小篇相關的介紹說明，
在家裡面的各種【連網家電】應該要留意的事情。

因為這年頭智慧家電只會越來越多，
所以覺得這些可能是新手爸媽們在家裡會想知道的。

包括但不限於:

1. 各種連網掃地機器人

2. NAS (就一台家裡的主機跟硬碟, 主要用來存檔用)

3. 各種可以用 app 連的裝置，像是 cubo 這種產品或是寵物餵食器之類的

4. 筆電鏡頭

5. 家中監視器、智慧燈炮、智慧插頭

6. 連網用的裝置 (俗稱小烏龜

7. 純雲端，如各類雲端儲存裝置

這篇可能會有些術語，但我盡量把一些比較關鍵的部分，講得淺顯易懂一點。

============

筆者是15年以上的軟體工程師，
專長在網站資訊系統跟應用資訊系統，app 也算略懂。

資訊安全不是我的專長，但是講一點工程延伸的安全問題還是可以的，
畢竟服務設計還是有些原理是共通的。

============

開宗明義第一句:

你自己可以連入的，就有可能被別人連入，只是難度問題。

不過通常我自己會先評估一件事情，最壞的情況假設真的有人冒用我，
問題會是什麼，所以像是網銀之類的密碼我一定不會存在任何這種地方。

一些不論任何情況我都不希望被看/聽的地方，我就不會裝對應裝置。
另一個角度是如果你不夠重要，其實多數人也沒有興趣特別找你麻煩。

做為一個軟體工程師，我會認為網路是很危險的，
但是當然這種危險你也不需要太著急，
就跟過馬路很危險，但是我們每天還是可以跟危險/便利共存。

完全讓生活零風險是做不到的，我覺得也沒必要，
但當然，也不需要讓自己活在很高的風險裡面。

這篇就是要跟大家說什麼樣的情況下會有怎樣的風險，哪些我會建議避一避。

今天沒有要講特定服務，所以不要問我某某服務有沒有問題，
那個是資安紅隊專家（攻擊方）的專長，我自己沒有這種專長。QQ

===================

＠ 連線風險

以家用裝置的風險，有不少是由於智慧型手機普及，
我們希望用智慧型手機【方便】、【隨時】的操作，而導致的。

其中有一些方便是有安全代價的。

基本上為了簡化問題，我們簡要把連入的服務連線分成幾種：

1. 只有在區網可以用 (比方說要連上家裡的 wifi 才能用)
比方說像有些設備是要你用手機去連他的設備專屬 wifi 才能控制之類的。

2. 在俗稱 4g 或 5g 類的行動網路可以用的

有些掃地機器人可以註冊這個，也有些 NAS 在設定後可以。

===

這兩種裝置有什麼不一樣呢，基本上裝置如果要能連線，
意味著你一定要想辦法透過某個路徑(實體線或wifi連到裝置上)。

然後區網的話，顯然他的攻擊節點比較少，
攻擊方必須要先進到你的服務裡面，才能攻擊你。

而如果你可以在行動網路(即公開網路)連進，
那就是任何人都可以試著連連看了，所以這兩者的風險當然也顯著不同。

另外透過公開網路連線還可以分成幾種管道:

一種是他真的就是透過你小烏龜設定連入進來，通常會需要搭配防火牆設定，
有些裝置會請你去找網管設定 upnp (自動設定) 或者手動設定來放寬。

反正你看到設備有叫你改網管設備的就是這種，NAS 的連入比較多是這種。

但是因為這種很難設定，所以後來又有人做下一種。

這種就是由廠商提供中繼服務伺服器，你的設備先連到廠商的伺服器，
然後再讓你的裝置連到廠商的伺服器，由廠商在中間幫你交換資料。

基本上如果有那種你可以用 line 操縱的之類的服務，大概就是這種。

像我買過一台韓國品牌的掃地機器人，他就提供 linebot 控制，

基本上你的裝置不可能自己就能註冊一個 lineid ，
而且他是一個 linebot 服務很多人，這種就是廠商中轉的特徵。

基本上廠商中轉也不是不好，
就是一來你的資料有可能會被廠商看到的風險。

廠商是憑良心去承諾他有沒有偷看你資料，但是我自己的從業經驗，
我是不太相信這種良心，說實話。XD

另一方面是也有可能廠商自己很守規矩，但是他的安全標準不夠，
比方說今年陸續爆出的 irent / 格上租車訂單安全風險事件。
(格上租車那個踢爆記者會還是我去幫忙開的 ~)

我相信很多時候廠商並沒有想要外洩資料的意思，
但可能因為安全意識跟防範的不足，而導致我們的資料在外面。

像是這經典的 2018 年戶政資料外洩案，都是影響我們隱私資料甚鉅的案例。

你可能會看到資料外洩就想說你把密碼保管的很好，
但是很多服務其實他的入侵未必是真的需要你的密碼的。

只要找到他權限控制(access control) 沒處理好的弱點，
他是有機會直接繞過整個認證機制進入你的裝置的，

所以安全的挑戰跟廠商的能力有很大的相關。

另一方面，有時候也是你自己的密碼過於簡單，
或是共用密碼導致的撞庫攻擊(拿A外洩的密碼來測你B服務的密碼)。

這種情況也會有幾個安全建議:

1. 使用 two factor (雙因子認證)，
認證時除了密碼以外還要再增加一個裝置訊息驗證。

2. 使用密碼聚合 (ex. 1password 或 lastpass 之類的密碼管理軟體)，
讓密碼使用自動產生的隨機密碼，自己只要記主密碼，來降低撞庫風險。

(當然對應的就是密碼聚合被打爆就也是很麻煩)

===========================

所以要問自己一個問題，這些 service 都存在風險的話，
那我們要問的始終是:

1. 所以廠商用什麼樣的安全架構來保證他的資料不會外洩？
端點對端點加密？key 誰保管。

2. 如果真的不幸外洩，你願意接受的損失是什麼。

====================

所以先講一些事情：

＠　鏡頭類的服務（包括攝影機等），盡量避免涵蓋到家中的隱私區域，
另外也避免直接對外網連線或透過廠商中繼服務。

DVR 類的設備因為 cost down 的實在是很嚴重，很多安全更新該做的都沒做，
所以大家可能常在網路上看到被挾持的攝影機列表網頁之類的。

這些就是他作業系統可能沒更新(也可能廠商根本就倒了沒辦法支援更新)，
所以導致他的設備暴露在風險裡面。

這種情況下，如果保護在內網裡面，至少還安全一點。

麥克風/聲音亦同。

＠ 各類怎樣都不想流出的私密影音照片：是真的奉勸大家能少就少，
不然就是抱著總有一天會流出的心情收著吧。

真的很想很想的話，實體硬碟保存，平常斷開連線，應該是一個方法，
但要留意硬碟的保存期限跟定期檢查，太久沒用是會壞的！

＠ 一些比較敏感的實體裝置，比方說電源類、燈類，
原則上是真的不太建議連到外網可以控制。

區網控制得話勉強算是可以接受，另外最好都要有一定的密碼或者設備認證機制。
(像是連上時需要做實體的密碼顯示跟交握之類的, ex. 安卓電視配對)

另外智慧音箱之類的，只要能透過 app 在外網連線的，
我也覺得都算是相對風險高一點的，就看廠商的加密機制跟運作機制有多嚴謹。

＠ 家中的網路一定要盡量設密碼，然後連網站盡量要用 https，
沒有密碼且連的不是 http 的網路，都可以在【區網層級】，
被【同一個區網】內的人偷喵你在幹嘛，算是很危險的事情。

＠ 凡事就多問自己一句，假設今天有仇家加上自己的家人要搞你，
這些設備他可以怎麼搞你，如果你會怕，那就不一定需要冒險。

=========================

但是，說真的，有時候有一些異常的情況，
也不一定真的有誰故意黑你或誰故意偷窺你，

也可能真的只是廠商程式寫錯，
該送到使用者 A 的訊息送到了使用者 B ，諸如此類的。

基本上工程技術有時候真的很難免會出錯，這就考驗大家工程技巧。
(這就是我平常的工作啦)

所以這種事情也真的是很難說到底是怎麼回事，
唯一相對可能知道、可以調查的，多數情況下只有廠商自己。

說真的就算報警，台灣的警察、偵查人員，對於他伺服器專屬的設計跟架構，
也未必真的有足夠的能力跟資源去鑑識啦。

別的不說假設有一套新的程式架構在我面前，給我全部權限自由查閱，
視複雜度我都可能需要研究上一個星期，才有辦法確認各種紀錄跟問題情形。

更不用說這些可能根本沒有足夠權限，只能倚靠廠商提供資料的調查人員了。

在這種資訊不對稱的情況，
關鍵的問題還是廠商自己要去跟使用者交代他的安全機制，
這個機制必須要有可驗證性。

另外有些產品或產業有他自己的安全認證，
比方說信用卡交易類有所謂的 PCIDSS 認證，這些就是我們會看的專屬機制，

基本上不是信得過的網站我是一定不會進行刷卡交易的。

再來就是按照前面的風險規畫，去評估，
他可能的風險評級、暴露點有多少，大概就是這樣的情況。

說實在話，做為一個工程師我常覺得，資訊產品其實佔大家生活中很大比例，

但台灣對於這類議題的討論實在是太少了，
希望這篇可以讓一些夥伴更了解生活中的資訊風險。

如果大家有想聊得話，在不太涉及個案的情況下，
我很樂意幫大家分析一些常見服務的可能技術原理跟相關風險。

--

太多角度可以寫了，大家可以問問自己在意的問題， 我找點比較接近看板的問題回復。XD 不然這樣寫起來這邊大概直接轉型成軟體板或技術看板了。

基本上簡單的分類法，就是能用 APP 或電腦連的都算.....

這些都牽扯到比較底層的電力使用，電本身就是個有有一定風險的東西。 另一方面每一個連網裝置被入侵之後， 都可能變成轉往家裡的跳板裝置。 這些項目的缺點就是便宜，導致他們沒有足夠的資源處理安全問題。

這是個很好的問題，其實「資安」是一個名詞，他有很多很廣的不同命題。 比方說密碼太好猜，是一種資安問題。 比方說密碼外洩，是一種資安問題。 比方說我們一些隱密瀏覽記錄被別人知道，這也是一種資安問題。 == 這類的問題是讓你可以透過 vpn 瀏覽網站， 主要的功用是 ip 隱藏/然後過程資料加密。 他防止的場景是「你主動的對外連線」中的資料滲漏， VPN 解決的問題主要分成兩種，一種是你自己的 ip 揭露。 你可能不想要被別人知道你是台灣的 ip， 甚至是有機會識別是某些地區的 ip，這種時候 vpn 有用。 然後你如果有碰到有人想用原文所說的區網竊聽之類的情況， 透過 vpn 也可以保護你不受區網竊聽的情境。 以我的標準來說，我會覺得對安全有一定的改善， 但真正的使用者常見安全問題（被誘騙下載未經信任的軟體並執行）， 比方說常見的勒索軟體等。 如果你有一些被錯誤授權的木馬軟體在你的本機， 即使你掛了 vpn 你還是有可能從源頭被把資料側錄拿走。 以這件事情來說，幫助非常非常非常非常的有限， 當然如果有說的不好的地方，也歡迎各位先進更正。

我覺得可以做不同的選擇，就是確認好風險就好。 就跟智慧型手機可能離手插個 usb 就有機會被授權， 也可能被冒名發送訊息，但是因為這件事情要達成的門檻夠高， 所以我們還願意妥協在手機的便利性跟離身的風險中取得平衡。 凡事都是平衡。 我自己也是有用 cubo，有用一些智慧裝置， 但是我自己知道如果出問題，我願意接受到什麼程度，所做的選擇。

就我的專業領域 vpn 包含隱私部份是我看不懂的。 那段話的前提是已經「信任」這些VPN的狀態。 如果我會懷疑 service provider， 我就會果斷選擇不用， device log 在我的角度，本來就是你使用這個服務， 就是信任他不會外洩或任意收集，這東西要拿來當標榜， 我會覺得會考慮這個的應該會就乾脆自架或不用了。

我覺得不會，因為這還是倚賴廠商有沒有辦法正確實作。

這案例真的是也滿足了很多極端條件...