Lentis/網路物理系統中的網路攻擊

網路攻擊可以定義為對計算機系統/架構或資訊系統的惡意攻擊。攻擊可能是個人或團體針對其他個人、企業或平民群體，目的是獲取受害者的未經授權的資料。具體來說，隨著物理系統變得越來越互聯，針對網路物理系統的網路攻擊也越來越多。

網路物理系統 (CPS) 是一個系統，其中物理實體與其相關的網路元件之間存在某種連線。這種連線通常透過感測器或執行器提供資料來維持系統元件之間的連線。CPS 與普通計算機的主要區別在於 CPS 具有物理輸入和輸出。^[1][2]

透過軟體將各種 CPS 連線起來可以被認為是物聯網。

智慧汽車配備了視覺和天氣感測器，這些感測器將資訊反饋給駕駛員以及汽車本身的自動響應功能，例如自動駕駛和車對車 (V2V) 通訊。汽車中的新 CPS 元件是商用現成 (COTS) 產品，並且來自第三方整合。許多汽車製造商沒有意識到，在車輛中整合這些異構元件會帶來新的安全問題。例如，輪胎壓力監測系統 (TPMS) 與車輛之間的通訊未加密。攻擊者可以利用這種通訊，並檢索唯一的車輛 ID。^[3]

智慧家居可能擁有天氣感測器，用於自動調節家中各種溫度、照明和電器元件。所有這些功能都可以在通用裝置上輕鬆程式設計。一些裝置已經上市銷售，例如 Nest、Google Home 和 Amazon Echo。如果駭客控制了家庭的智慧恆溫器，例如 Nest，他們可以完全瞭解家庭成員的行程，特別是人們何時進出家門。^[4][5] (影片：Nest 恆溫器駭客攻擊)

智慧電錶可以安裝在房屋中，以每天與公用事業提供商進行通訊，以便密切監控電力使用情況。這可以幫助公用事業提供商更好地預測電力峰值需求，從而減少浪費的電力。展望未來，如果更多家庭配備了電力儲存能力，例如太陽能電池板和/或電動汽車電池，那麼擴大可再生能源整合就變得更加容易。由於依賴化石燃料發電廠，電網目前高度集中，需要多樣化的儲存機會來滿足可再生能源。^[6]

無人機 (UAV) 或無人機是一種廣泛使用的技術。美國海關與邊境保護局使用 MQ-9 收割者，一種無人機型別，用於邊境的監視任務。^[7]執法機構開始使用商用無人機來取代載人直升機部隊。^[8]消防員使用商用無人機在執行搜救任務之前收集危險建築物的結構資訊。^[9]像亞馬遜這樣的公司正在開發使用無人機的自動包裹遞送系統。業餘愛好者用無人機進行娛樂活動。

商用無人機存在可被利用的漏洞。許多無人機制造公司，例如大疆創新和 3D Robotics，使用不同的飛行控制平臺，例如 Pixhawk，但它們在相同的通訊協議 MAVLink 下執行。MAVLink 是為業餘愛好者開發的開源程式。由於安全功能會增加成本，因此 MAVLink 沒有安全功能來保護無人機免受網路物理攻擊。^[10]

MAVLink 使用 NetID 將無人機和地面控制站配對。經過正確程式設計的攻擊裝置可以解析無線電傳輸以獲取和更新此配對的 NetID。然後，攻擊裝置可以傳送命令來關閉無人機或接管無人機的控制權。解析無線電傳輸的程式碼很容易找到，因此任何人都可以對執行 MAVLink 的商用無人機發動網路物理攻擊。(影片：反無人機裝置)^[11]

交通系統是指為乘客或貨物運輸提供必要手段和裝置的設施。^[12]運輸網路變得越來越數字化，這使得它們極易受到網路攻擊。電子資料現在可以跟蹤車輛和基礎設施的位置、狀態和狀況。電子裝置用於監測天氣相關的風險，例如颶風或滑坡，這些風險會導致交通系統損壞或延誤。如果任何組織使用計算機網路或網際網路進行銷售、行政功能、自動控制系統或儲存機密資訊，他們將面臨網路攻擊的風險^[13]。具體來說，面臨風險的主要運輸系統包括

1. 鐵路/火車

2. 飛機和機場

3. 連線的汽車（有網際網路接入的汽車）

這是最常見的議程，佔 2016 年 1 月網路攻擊的 60.6%。^[14]在許多情況下，攻擊者會針對公司或運輸網路的數字資產。這包括個人資訊，例如客戶和員工的社會安全號碼、信用卡號碼和公司的智慧財產權。

• 一個總部位於荷蘭的販毒集團透過入侵在安特衛普港運營的公司計算機網路，將可卡因和海洛因藏在木材和香蕉的集裝箱中。這使駭客能夠訪問有關集裝箱位置和安全細節的機密資料，這意味著販毒者可以在合法所有者到達之前竊取走私的貨物。^[15]

網路犯罪攻擊也可能出於惡意。在這種情況下，攻擊者可能是心懷不滿的員工或客戶，想要報復系統。他們也可能出於證明自己有能力進行網路攻擊的願望。這些網路攻擊可能是由於無目標惡意程式碼和隨機選擇造成的。

• 在波蘭的羅茲，一名 14 歲的少年修改了電視遙控器，使其能夠用於更改軌道點。這名少年入侵了火車系統，獲取了構建該裝置所需的資訊，實質上將其變成了他自己的私人火車模型。結果，四輛車脫軌，造成 12 人受傷。他並不想傷害任何人，而是將入侵此係統視為一個惡作劇。^[16]

駭客行動主義是指出於政治或社會動機目的進行的駭客行為，或入侵計算機系統。^[17] 它是第二常見的議程，在 2016 年 1 月佔網絡攻擊的 27.7%。^[14]

• 一個在 1996 年抗議《通訊規範法》的團體入侵了司法部網站，並將標題改為“司法不公部”。^[18]

網路間諜活動是指利用計算機網路非法獲取機密資訊，通常是政府或其他組織持有的資訊。^[19] 這比大多數其他網路攻擊更復雜，攻擊者正在尋找其他國家或政府的商業機密和智慧財產權。這在 2016 年 1 月佔網絡攻擊的 7.4%。^[14]

• 高階無人機具有可利用的漏洞。2011 年，伊朗劫持了中情局操控的 RQ-170 哨兵無人機。伊朗人首先干擾了從地面控制中心控制哨兵的無線電通訊通道。這迫使哨兵依賴 GPS 來確定其緯度、經度、高度和速度。然後，伊朗傳送了錯誤的 GPS 座標，引導哨兵降落在他們的領土上，而哨兵認為它正在降落在其基地。^[20]

網路戰是指對敵方計算機或資訊系統的政治性攻擊。^[21] 這些攻擊旨在破壞關鍵基礎設施，造成財產損失和人員傷亡。這些將被視為來自 ISIS 等組織的恐怖襲擊。這在 2016 年 1 月佔網絡攻擊的 4.3%。^[14]

商用無人機很容易被利用，而且不會留下任何日誌或痕跡來追蹤攻擊者。恐怖分子可以使用這些無人機作為武器。

• ISIS 最近開始使用無人機作為武器，透過投放炸彈或化學武器。
• 販毒集團和毒販使用商用無人機走私毒品，囚犯也使用無人機將手機、香菸和毒品等違禁品走私到他們的牢房。在 2016 年初，一名馬里蘭州囚犯能夠安排將這些違禁品送到他牢房的窗外。^[22]

正如無人機和交通系統遭到駭客攻擊所顯示的那樣，CPS 安全漏洞可能導致機密資訊、財產和人身損失。

據國際航空運輸協會（CTA）執行長託尼·泰勒所說，無人機是客機最大的威脅之一，因為它會干擾商用飛機的航線。^[23] 為了最大限度地降低風險，美國聯邦航空管理局開始執行無人機法規，禁止在機場附近飛行無人機。軍官們已經開發出一種使用樹莓派供電的網路步槍來關閉商用無人機。

國家運輸安全委員會 (NTSB) 成立於 1967 年，是一個政府機構，負責調查航空、公路、海洋、管道和鐵路方面的事故。^[24] NTSB 必須實施政策以滿足美國國家標準與技術研究院 (NIST) 的要求。^[25] NIST 制定了可操作的建議，以加強公共和私營部門的網路安全，更好地保護不斷發展的數字經濟。^[26]

有許多舉措來防止 CPS 漏洞。美國能源部有一個名為“能源輸送系統網路安全 (CEDS)”的專案，旨在改善美國的能源基礎設施。該專案的首要目標是在大規模範圍內更好地評估風險，並確定當前系統中的漏洞。^[27] “電力網的可信網路基礎設施 (TCIPG)”是美國能源部資助的一個專案示例。TCIPG 已經開發了可以由公用事業提供商整合的商業軟體包。例如，Amilyzer 等感測器可以即時識別系統威脅，GridStat 等中介軟體框架可以減少電網的資料傳輸延遲。^[28]

美國國家科學基金會創辦了無處不在的安全技術研究團隊 (TRUST)，該團隊目前正在研究金融、醫療保健和物理基礎設施解決方案。^[29] 卡內基梅隆大學的 CyLab 也致力於建立更多此類公私合作伙伴關係，開發用於安全計算的新技術。^[30]

物聯網現在已經成為現實。連線各種網路物理系統旨在改善我們的生活方式，但也正被惡意利用。安全問題現在比以往任何時候都更加複雜和規模更大。對網路物理安全的深入研究將幫助我們更好地瞭解物理系統之間的網路介面以及消費者對新技術的採用增長。

1. ↑ Thompson, K. (2014, June 20). Cyber-Physical Systems. https://www.nist.gov/el/cyber-physical-systems
2. ↑ Lee, J., Bagheri, B., & Kao, H.-A. (2015). A Cyber-Physical Systems architecture for Industry 4.0-based manufacturing systems. Manufacturing Letters, 3, 18–23. https://doi.org/10.1016/j.mfglet.2014.12.001
3. ↑ Humayed, A., & Luo, B. (2015). Cyber-physical Security for Smart Cars: Taxonomy of Vulnerabilities, Threats, and Attacks. In Proceedings of the ACM/IEEE Sixth International Conference on Cyber-Physical Systems (pp. 252–253). New York, NY, USA: ACM. https://doi.org/10.1145/2735960.2735992
4. ↑ 5 Security Concerns to Consider When Creating Your Smart Home. (n.d.). http://www.makeuseof.com/tag/5-security-concerns-consider-creating-smart-home/
5. ↑ Network Security. (2014). Black Hat USA 2014 - Embedded: Smart Nest Thermostat A Smart Spy in Your Home. https://www.youtube.com/watch?v=UFQ9AYMee_Q
6. ↑ Department of Energy. (n.d.-b). What is the Smart Grid? https://www.smartgrid.gov/the_smart_grid/smart_grid.html
7. ↑ 美國國土安全部正在使用監控無人機來監視美國人。 (2014 年 10 月 12 日)。 http://www.thesleuthjournal.com/dhs-using-surveillance-drones-spy-americans/
8. ↑ Gettinger, D. (2013 年 11 月 30 日)。 法律執行者：警用無人機。 http://dronecenter.bard.edu/lawkeepers-police-drones/
9. ↑ Schroth, F. (2016 年 8 月 4 日)。 無人機與火災 - 官員談論無人機系統在滅火中的價值。 http://dronelife.com/2016/08/04/drones-fire-officials-speak-value-uas-firefighting/
10. ↑ 使用樹莓派製作 MAVLink WiFi 橋接器 — 開發文件。 (n.d.)。 http://ardupilot.org/dev/docs/making-a-mavlink-wifi-bridge-using-the-raspberry-pi.html
11. ↑ shellntel。 (2015)。 反無人機裝置演示。 https://www.youtube.com/watch?v=sycgvpIxvPU
12. ↑ 交通系統 - 詞典定義。 (n.d.)。 https://www.vocabulary.com/dictionary/transportation%20system
13. ↑ Marsh。 (2015)。 交通行業的網路風險。 http://www.oliverwyman.com/content/dam/marsh/Documents/PDF/UK-en/Cyber%20Risk%20in%20the%20Transportation%20Industry-03-2015.pdf
14. ↑ ^{a b c d} 模板：Passeri, P. (2016 年 2 月 16 日)。 2016 年 1 月網路攻擊統計。http://www.hackmageddon.com/2016/02/16/january-2016-cyber-attacks-statistics/
15. ↑ Herberger, C. (2016 年 4 月 21 日)。 現實世界中的網路安全：公共交通系統威脅上升的 4 個例子。 https://blog.radware.com/security/2016/04/cybersecurity-4-public-transportation-threats/
16. ↑ Smith, S. (2008 年 2 月 12 日)。 波蘭少年駭客玩火車，導致城市電車系統脫軌。 http://inhomelandsecurity.com/teen_hacker_in_poland_plays_tr/
17. ↑ 什麼是駭客行動主義？ - 來自 WhatIs.com 的定義。 (n.d.)。 2016 年 12 月 11 日從 http://searchsecurity.techtarget.com/definition/hacktivism 檢索
18. ↑ Adams, B. (1997 年 7 月 24 日)。 網站成為“生態恐怖主義”的受害者？ http://www.deseretnews.com/article/573959/Web-site-a-victim-of-ecoterrorism.html?pg=all
19. ↑ Eugenie, de S. (2015)。 網路間諜時代國家安全與反情報。 IGI Global。
20. ↑ Mick, J. (2011 年 12 月 15 日)。 伊朗：是的，我們黑了美國的無人機，這是我們是怎麼做到的。 http://www.dailytech.com/Iran+Yes+We+Hacked+the+USs+Drone+and+Heres+How+We+Did+It/article23533.htm
21. ↑ 網路戰。 (n.d.)。 http://www.rand.org/topics/cyber-warfare.html
22. ↑ Kelly, H. (2016 年 6 月 24 日)。 如何抓住將毒品偷偷運進監獄的無人機。 http://money.cnn.com/2016/06/24/technology/dedrone-drone-prisons/index.html
23. ↑ Crowe, S. (n.d.)。 無人機對客機構成“真正威脅”：國際航空運輸協會 - 機器人趨勢。 http://www.roboticstrends.com/article/drones_a_real_threat_to_passenger_planes_iata/
24. ↑ 國家運輸安全委員會。 (n.d.)。 國家運輸安全委員會歷史。 https://www.ntsb.gov/about/history/pages/default.aspx
25. ↑ 美國交通部。 (2006 年 10 月 13 日) 國家運輸安全委員會資訊安全計劃審計。 https://www.oig.dot.gov/sites/default/files/NTSB_FISMA_FINAL.pdf
26. ↑ 加強國家網路安全委員會。 (2016 年 12 月 1 日)。 關於保障和發展數字經濟的報告。 https://www.nist.gov/sites/default/files/documents/2016/12/02/cybersecurity-commission-report-final-post.pdf
27. ↑ 能源部。 (n.d.-a)。 能源輸送系統的網路安全 | 能源部。 http://energy.gov/oe/services/technology-development/cybersecurity-for-energy-delivery-systems
28. ↑ 電力網值得信賴的網路基礎設施。 (2014)。 http://tcipg.org/about-us
29. ↑ 無處不在的安全技術研究團隊 (TRUST)。 (n.d.)。 https://www.truststc.org/research/index.html
30. ↑ 技術轉讓。 (n.d.)。 https://www.cylab.cmu.edu/partners/tech_transfer.html