趨勢科技ZDI
近期最有趣的新聞莫過於,趨勢科技技術長Raimund Genes在德國漢諾威舉辦的CeBIT電腦展時,特別示範如何從遠端駭入連網的情趣用品,如果搭配一些連網的攝影拍照,或者是本身就具有視訊功能的情趣用品,使用這些情趣用品的過程中,就可能在不知不覺中被錄下,也會帶來極大隱私外洩的風險。他也表示,除了可以遠端遙控情緒用品之外,如果可以駭入情緒用品的後端平臺,更可以藉此勒索情趣用品的產品製造商。
不過,在CeBIT舉辦的同時,加拿大溫哥華也同時舉辦難度更高、針對瀏覽器、電腦及手機作業系 統挖掘各種零時差漏洞的Pwn2Own比賽。在這次比賽中,中國隊伍包括:中國360漏洞實驗研究 室(360 Vulcan Team)及騰訊安全團隊都拿下好成績,其中,中國騰訊安全團隊Sniper (由KeenLab加上PC Manager電腦安全管家組成)更獲得世界破解大師(Master of Pwn)的桂冠。而在去年一人拿下最高比賽獎金22.5萬美元的韓國天才駭客Lokihardt,今年也拿下第二名的好成績。
臺灣HITCON CTF領隊李倫銓更直言,即便臺灣隊已經有能力打進DEF CON CTF決賽,但卻連Pwn2Own參賽資格都沒有,這也像徵臺灣軟體安全實力其實落後世界水準一大截。
Pwn2Own比賽是讓白帽駭客找出零時差漏洞的比賽
對於駭客而言,商用軟體的漏洞一直是最好的入侵管道,現已經被趨勢科技從惠普企業(HPE)手中併購的TippingPoint,也是舉辦Pwn2Own比賽的單位,最早就是透過發起ZDI(Zero Day Initiative )專案,支付獎金給找到商用軟體漏洞的資安研究員。
之後便在Google、微軟、蘋果公司和Adobe等業者的加碼支持下,從2007年開始,在每年3月舉辦這樣的Pwn2Own比賽,目的就是希望透過這樣的比賽,邀請更多的資安研究員一起找出包括瀏覽器、電腦和手機作業系 統的漏洞,集結眾人的力量讓軟體產品更安全。李倫銓則笑說:「早期的Pwn2Own比賽是拿點獎勵,讓駭客把一些零時差漏洞吐出來,或許是讓這世界安全一點的方法之一。」
Pwn2Own是一種顯示資安團隊找出零時差漏洞能力的比賽,李倫銓也在臉書中指出,這種找零時差漏洞的比賽不僅要花很長的時間鑽研,還得碰運氣,這些掌握在研究團隊手中的零時差漏洞,不會在比賽前就被廠商完成漏洞修補。而中國的資安研究團隊近幾年因為研究風氣盛行,加上持續撰寫相關零時差(Zero Day)漏洞的技術文章,已經連續好幾年都在該比賽中獲得不錯的成績。
即便臺灣使用者對於中國軟體產品的安全性有一些質疑,但不可否認的卻是,中國資安研究團隊已經蓄積強大的資安實力,有能力在世界舞臺上,和全球一流的資安研究團隊一起較勁。反觀臺灣軟體業者,卻一直無法在資安研究上投入更多心力、有更多研究成果,這也讓臺灣軟體業者只能原地踏步,無法有長足進步。
如果從中國漏洞揭露平臺烏雲(WooYun)揭露的漏洞資訊也可以發現,多數的漏洞往往都來自於軟體產品不夠安全,也有許多時候,是業者在產品開發時,並沒有把「產品安全」放在心上,只求在時間內完成產品功能的開發,這種心態下開發出來的產品,往往讓駭客有可趁之機。
像是先前報導過的華碩路由器也是軟體開發時出包造成功能有問題,或者是日盛金控權證資訊的SQL Injection漏洞(新聞1)(新聞2),以及鼎新電腦工作簽核軟體EasyFlow GP的Java反序列漏洞(新聞1)(新聞2)等,都只是證明,臺灣業者在相關產品開發的安全性上,還有持續進步的空間。但是,我們或許也必須警覺到,隨著駭客入侵手法的日新月異,臺灣軟體產品在追求產品安全的腳步上,是否已經太慢了呢?
商用軟體的零時差漏洞揭露,不僅是資安研究團隊彰顯研究實力的表彰,對於像是義大利Hacking Team這樣和各國政府打交道的資安公司而言,這些零時差漏洞更是數位軍火武器。換個角度說,只要駭客能夠好好利用一個軟體漏洞,不僅可以讓一間公司商譽跌到谷底,還有機會做到家破國亡,這數位武器的威力不可謂不大。
從情趣用品到監控設備,也凸顯物聯網的風險
軟體的安全基本上是所有產品安全性與否的基本要求,甚至是駭入物聯網裝置,也都是利用產品的各種安全漏洞,包括產品本身或者是使用的通訊協定等帶來的風險。
對資安專家而言,連網的情趣用品和其他所有連網裝置都一樣,只要裝置連網,就會有通訊協定,只要有使用各種通訊協定,往往就會有駭客可以利用的漏洞;而許多連網的裝置,產品本身也都會有一個嵌入式作業系統,這些作業系統如果在開發的過程中,並沒有註意程式撰寫的安全性,就有機會留下許多可以讓駭客遠端遙控入侵的漏洞,駭客就可以趁機利用這些漏洞遙控相關的物聯網裝置為惡。
當然,有越來越多的物聯網裝置,往往因為產品具備輕巧特性,所以,製造商在設計產品時,不見得會使用具有強大運算能力的處理器,也不會內建高容量的記憶體和儲存空間,這樣產品先天上的限制,也讓某些物聯網業者認為,因為產品沒有足夠的運算能力和儲存空間,駭客不見得會想利用或入侵;這樣的產品限制,也使得有些物聯網製造商即便想要關注產品的安全性,也不見得有餘力或有必要關注。
像是情趣用品使用者畢竟屬於小眾,且侷限在少數個人的使用範圍中,對於以利益為導向的駭客而言,若是要從個人獲利,可以從竊取隱私著手;但真正有利可圖的,一定是可以對更多數帶來更嚴重的風險,才可以獲得更大的利益,因此,鎖定物聯網製造商相對少數的使用者而言,一定是更好談判、交易甚至勒索的對象。
但如何讓物聯網製造商上鉤呢?不論是外洩多數物聯網裝置使用者的隱私,或者是,因為物聯網裝置對使用者帶來的風險,就是駭客可以獲取金錢的管道。
智慧冰箱或者是智慧燈泡等物聯網應用趨勢,對多數人帶來的風險可能還不高,但在之前一場講述新興科技帶來的資安風險的演講中,手機的充電裝置,因為被駭客事先植入惡意程式,當手機使用者的手機在充電的同時,也是駭客在手機中植入惡意程式的時機。這樣的案例,之前,已經在美國的黑帽大會有實作,但對許多人而言,這卻是難以想像的物聯網風險。
從思考物聯網可能面臨的風險的過程中,卻也凸顯出,許多人在想像物聯網的資安議題時,往往不是先從生活周遭各種連網裝置的安全性,著手思考可能面臨的資安議題,一談到物聯網風險,往往直接跳躍性思考到類似智慧家電、智慧燈泡這些還在發展中連網裝置的風險。也因為這樣的思考落差,許多人甚至可能根本沒有留意,現在許多連網的監控設備,各種的網路攝影機等等,早就是駭客鎖定的物聯網裝置了。
其實,在某一些研討會或者是記者會後的私下聊天過程中,也會有一些資安專家因為擔心,而開始談論這類網路監控設備的風險。不論是產品本身的漏洞,或者是使用不安全的通訊協定等,資安專家常常只要輸入某個IP位址,就可以看到某間公司所使用的網路監控設備的監控平臺,有些時候,甚至不需要輸入帳號、密碼,就可以看到這個監控設備正在「監控錄影中」的人、事、物。
當然,現在有些網路監控設備有內建麥克風功能,也可以擴音,如果有些人想要惡作劇,從中控平臺轉動監視器的位置,或者是發出一些奇怪的聲響,就足以讓人嚇壞了!當然,有心想做壞事的人,一定可以想出比惡作劇更有利可圖的情節與利用方式。
但是,不論是不安全的軟體帶來的資安風險,或者是物聯網裝置帶來的安全隱憂,都已經是臺灣資服業者迫在眉睫的關鍵議題,「沒有安全的產品,就沒有產品發展的機會。」假若臺灣的軟體業者及物聯網業者都沒有具備這樣的意識時,也很難長期看好像是物聯網未來產業發展的趨勢。
本周(3/13~3/19)重要資安事件回顧:
※ 臺灣鼎新電腦聲明:面臨Java反序列化漏洞有1,800家企業,已協助85%客戶連線修補漏洞
※ 資安業者揭露新惡意程式可感染未破解的iPhone及iPad
※ Google把Chromebook的抓漏獎金加倍,最高獎勵10萬美元
※ Google透明度報告揭露自家及第三方網站HTTPS加密現況
※ Google單一簽入擴大支援Office 365、Facebook at Work、Slack
※ Marcher木馬透過色情訊息散佈,Android用戶要當心!
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03