APP下载

【资安周报第12期】从华硕路由器要被美国政府稽核20年,看如何确保物联网安全?

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息【资安周报第12期】从华硕路由器要被美国政府稽核20年,看如何确保物联网安全?

美国联邦贸易委员会(FTC)针对华硕公司不安全的路由器提出诉讼,在2月双方达成和解条件,华硕承诺,在未来20年,必须每2年做一次独立产品安全性稽核,以确保产品安全性。

台湾品牌业者华硕(Asus)公司在美国销售的路由器产品,因为具有严重的安全性漏洞,并且造成使用者的敏感资讯外泄,美国联邦贸易委员会(FTC)对华硕公司提起法律诉讼。日前,双方达成和解协议,在未来20年,只要是华硕公司上市贩售的路由器和相关的硬件装置,都必须每2年接受一次由独立第三方的产品安全性的稽核检查。

在相关的和解条件中,美国联邦贸易委员会还要求华硕公司也必须和既有的使用者联系,除了要告知使用者硬件固件的升级和更新外,相关软件的修补程式也必须在30天内,告知使用者并立即更新,否则,未来华硕公司每发生一次违反和解条件的资安事件,该公司每一起事件都将被罚款1万6千美元。

除了华硕公司因为被美国联邦贸易委员会起诉后,近期接受和解,以每2年都接受一次由第三方稽核单位针对产品做独立稽核,且这样的独立稽核也将持续20年的条件,才取得和解,但之前曾经爆发家用路由器因为安全性漏洞,被骇客利用或造成客户敏感资讯外泄的路由器业者,还包括:D-Link(友讯科技)、Micronet(光谱电子)、Tenda(腾达科技)和TP-Link等业者,都曾传出路由器出现安全隐私的漏洞。

不管是智慧城市、智慧家庭甚至是这两年喊的震天价响的物联网(IoT),各式各样的路由器都是整个架构的核心,都必须要透过路由器对外连上网络,才能够让原本被孤立的产品或装置,有对外联系的通道,真正做到网网相连。但是就如同美国联邦贸易委员会所言,路由器在物联网的世界中扮演重要的关键角色,使用者不仅期待包括华硕公司在内的业者,可以确保路由器传输资料的安全性,也必须阻止更多未经授权的连线,而不是置使用者安全性于度外,甚至以不具有实质更新功能的按键,来模糊使用者对于路由器的安全性认定。

华硕路由器包括云端服务,都潜藏各种资安风险

华硕路由器的安全性问题主要可以分成几个部分,根据美国联邦贸易委员会调查发现,华硕公司虽然宣称路由器产品可以保护电脑不会遭受到未经授权的连线访问,但事实上,该路由器却充斥许多安全漏洞,举例而言,华硕路由器预设的账号和密码都是非常容易猜到的admin,加上没有要求使用者更改预设密码,也使得华硕路由器一旦连网就门户洞开。再者,骇客也可以利用一些常见的网络漏洞,入侵华硕Web界面的控制平台获得控制权,骇客就可以做到远端关闭相关的安全措施。

而华硕为了便利使用者,也推出AiCloud和AiDisk的云端服务。AiCloud是一种云端储存服务,使用者可以将USB随身碟插到路由器上的USB接口,就可以浏览储存在云端上的所有档案,只不过,美国联邦贸易委员会在调查中却发现,如果骇客掌握一个特定的IP地址时,也可以绕过AiCloud的安全授权机制,在这个浏览和资料传输的过程中,并没有任何加密措施,所有的登录资讯都是明码传输,使得AiCloud很容易遭受到中间人攻击。

这个漏洞在2014年1月的时候,就已经有资安专家回报这样的漏洞讯息,只可惜,华硕公司面对这样的漏洞通报时,心态上仍不够正面来面对产品有资安威胁的问题,也因为态度不够积极,因此,华硕公司在完成漏洞修补后,并没有建议使用者应该要立即修补产品的漏洞、避免受害。这也是美国联邦贸易委员会认定华硕公司没有落实资安的原因之一。

此外,AiDisk则是另外一种云端储存服务,传输用户资料时,都没有采用任何加密措施,当使用者可以透过FTP连线到路由器上的USB随身碟时,所有连上这个随身碟的使用者,浏览的权限都不设限,意味着,路由器预设将使用者的私人USB随身碟,只要有人知道路由器的IP地址,就形同将使用者隐私开放给网络上的任何人。甚至于,华硕公司只要求使用者设立安全性相对薄弱的账号及密码(预设账号密码为Family),所有资料传输也都是明码传输。

最为人诟病的一点在于,有资安专家在2013年7月便告知华硕公司,有超过25,000个AiDisk的云端储存装置,可以在网络上被找到,但直到2014年2月爆发大规模的使用者资料外泄时,华硕公司都没有告知使用者,应该要正视这样的资安问题。

更有趣的点在于,华硕公司在路由器上有一个检查更新的按键,希望使用者可以定期做漏洞修补,将软硬件的安全性升级到最新版。只不过,美国联邦贸易委员会却发现,华硕公司的更新按键根本没有嵌入任何的功能,按下更新按键没有任何作用,使用者也无法将最新更新的漏洞修补程式更新到数据库。这样的更新按键根本只是一个欺骗使用者的幌子,没有任何实质的作用。

从美国联邦贸易委员会提出的相关证据都可以发现,华硕公司对于路由器的产品安全性上,抱持着相当马虎及敷衍的态度,不仅没有正式资安人员通报的漏洞,也没有告知使用者,必须要立即更新软件以确保使用者的安全性。

这样的情况一直维持到2014年2月时,因为有一个骇客组织使用免费工具扫描华硕路由器的IP地址时,就发现12,937名使用者的敏感资料,以及3,131个AiCloud的账号资讯在网络上公布,整个事件才真正爆发,引发美国政府与使用者重视。而华硕公司这种遮遮掩掩的态度,也是美国联邦贸易委员会对华硕公司提出法律诉讼的重要关键之一。

使用者也必须了解如何安全使用连网产品

这起华硕公司路由器安全事件从2014年2月爆发以来,直到今年2月和美国联邦贸易委员会和解,也让更多路由器业者和使用者正视产品安全性的问题,美国联邦贸易委员会也针对既有的华硕路由器使用者提出安全措施的建议,希望透过这样的建议方式,可以做到提升使用者更加重视路由器的安全性。

首先,一定要更改路由器预设的账号及密码,不论是否是华硕路由器产品,这都是使用者应该做的第一个动作。再者,对于使用者的权限设定,绝对不能设定为“无限”的使用者权限,除了管理员权限外,一般的使用者建议权限都设为“有限”以避免使用者权限过大,导致不必要的资安风险。第三,华硕路由器提供独特的云端储存功能,使用者也必须留意,一旦有任何资料共享时,都必须谨慎确认可以资料共享的使用者,究竟具有多少权限,避免无限制的共享功能,往往是相对安全的。最后,使用者必须定期更新产品的安全性,注册产品提供的安全更新窗口,定期更新产品软件和硬件漏洞,而华硕路由器上原本不具备更新检查功能的按键,华硕公司也必须立即透过软件更新功能,让使用者可以确认该产品,是否已经更新到最新版的修补程式,以确保产品安全性。

也因为有越来越多的装置透过路由器对外连接,在每一个产品都有自己的IP地址,都具备连网功能的情况下,美国联邦贸易委员会也建议,如果物联网已经是该公司重要的核心服务,要确保安全的连网就显得很重要,该委员会则提出6点建议,希望有助于物联网企业可以做到安全连网。

第一点,就是要做到安全启动(Start with security),也就是从产品的设计开始,就必须将产品相关的安全议题纳入考量,而不是像华硕路由器一样,等到发生严重的资安问题后,才开始设法善后,这时,往往都已经太迟了。

第二点,透过使用者的眼睛设计产品。对于一些家用连网产品的设计者而言,颜色和样式都是使用者的考量点,但对于安全性的在意,往往只希望功能操作不要太复杂,若是从使用者的角度设计产品,要做到让开发者也能够贴近使用者的需求,首先,就是要让产品所有的接口与功能,界面简单、清楚、易懂,只要能够让使用者可以看懂,就是一种贴近使用者的设计思维。

第三点,从操作界面上,就必须做到一眼就可以让使用者知道,哪一个是比较安全的选项与配置,当开发者已经将所有不安全、开放的预设设定改掉,使用者就不用花更多心血是了解什么才是安全性的操作。

第四点,关注市面上各种安全警告,美国联邦贸易委员会便指出,很多业者并没有一个适当的管道,可以搜集并掌握到与产品安全漏洞相关的资讯,一旦有看到有相关的安全议题出现时,业者应该要主动调查,确认是否有类似的安全隐忧,一旦确认有安全问题,就应该立即联络使用者,提供后续的安全更新措施。

第五点,随时让使用者掌握漏洞修补的进度与状况,这是关键的第一步,毕竟,所有的修补程式要发挥效用,都必须在使用者下载、安装之后才会有效,而有远见的业者就会设计一个关于漏洞通报的紧急应变计划,让漏洞修补的提醒可以更有效率。

最后一点,可以借镜美国联邦贸易委员会公布的案件,从中学得经验与教训,都有助于提升产品的安全性。

对于物联网企业而言,从安全的角度和从使用者的角度来设计产品,往往是比较花成本的的设计思维,却是一种面对复杂网络威胁时,更有效的预防措施。而不仅制造产品的业者要有这样的思维,使用者也必须开始从这样的角度,更有智慧的采购更安全的好产品。

本周(2/21~2/27)重要资安事件回顾:

API漏洞让骇客得以操控Nissan电动车

报导:Alphabet、脸书及微软准备提交意见书以声援苹果

新闻网站别怕DDoS爆量攻击,Google要出手相助联防

Silverlight零时漏洞小心遭恶意网站攻击

全球第一辆无人迷你公车,今年夏天荷兰正式上路

加密通讯软件Telegram用户达一亿,每天传送150亿则讯息

华硕路由器、个人云服务因安全缺陷遭美国FTC起诉,愿受20年稽核换取和解

2014年攻击索尼影业的骇客仍活跃, 台、中、日也遭毒手

CloudFlare推出强调安全的企业级网域名称注册服务

线上付款忘了密码也没关系,万事达卡将支援指纹、自拍验证身份

研究:2015年资料外泄攻击,政府、医疗取代零售业成最大受害者

研究:百度SDK及浏览器恐导致用户个资外泄,上千款App受累

Bill Gates说话了:苹果应该协助FBI解锁iPhone

Linux Mint网站遭骇,安装档被植入后门

苹果公布Q&A回应iPhone解锁争议,吁成立专家委员会讨论政府权力与民众隐私

调查:逾半数美国民众认为苹果应协助FBI解锁iPhone

苹果拒开iPhone后门,脸书首席执行官祖克柏表态支持
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2018-01-31 09:25:00

相关文章