热门关键词:

【资安周报第15期】从物联网安全到商用软件安全,再度证明,安全才是产品发展唯一的路

发布于2018-02-14 01:55:05
发布于2018-02-14 01:55:05,资讯【资安周报第15期】从物联网安全到商用软件安全,再度证明,安全才是产品发展唯一的路,最新消息报道,手机发烧友娱乐新闻

中国腾讯安全团队Sniper (KeenLab加上 PC Manager)打败韩国天才骇客Lokihardt,获得世界破解大师(Master of Pwn)的桂冠。

图片来源: 

趋势科技ZDI

近期最有趣的新闻莫过于,趋势科技技术长Raimund Genes在德国汉诺威举办的CeBIT电脑展时,特别示范如何从远端骇入连网的情趣用品,如果搭配一些连网的摄影拍照,或者是本身就具有视讯功能的情趣用品,使用这些情趣用品的过程中,就可能在不知不觉中被录下,也会带来极大隐私外泄的风险。他也表示,除了可以远端遥控情绪用品之外,如果可以骇入情绪用品的后端平台,更可以借此勒索情趣用品的产品制造商。

不过,在CeBIT举办的同时,加拿大温哥华也同时举办难度更高、针对浏览器、电脑及手机作业系 统挖掘各种零时差漏洞的Pwn2Own比赛在这次比赛中,中国队伍包括:中国360漏洞实验研究 室(360 Vulcan Team)及腾讯安全团队都拿下好成绩,其中,中国腾讯安全团队Sniper (由KeenLab加上PC Manager电脑安全管家组成)更获得世界破解大师(Master of Pwn)的桂冠。而在去年一人拿下最高比赛奖金22.5万美元的韩国天才骇客Lokihardt,今年也拿下第二名的好成绩。

台湾HITCON CTF领队李伦铨更直言,即便台湾队已经有能力打进DEF CON CTF决赛,但却连Pwn2Own参赛资格都没有,这也像征台湾软件安全实力其实落后世界水准一大截。

Pwn2Own比赛是让白帽骇客找出零时差漏洞的比赛

对于骇客而言,商用软件的漏洞一直是最好的入侵管道,现已经被趋势科技从惠普企业(HPE)手中并购的TippingPoint,也是举办Pwn2Own比赛的单位,最早就是透过发起ZDI(Zero Day Initiative )专案,支付奖金给找到商用软件漏洞的资安研究员。

之后便在Google、微软、苹果公司和Adobe等业者的加码支持下,从2007年开始,在每年3月举办这样的Pwn2Own比赛,目的就是希望透过这样的比赛,邀请更多的资安研究员一起找出包括浏览器、电脑和手机作业系 统的漏洞,集结众人的力量让软件产品更安全。李伦铨则笑说:“早期的Pwn2Own比赛是拿点奖励,让骇客把一些零时差漏洞吐出来,或许是让这世界安全一点的方法之一。”

Pwn2Own是一种显示资安团队找出零时差漏洞能力的比赛,李伦铨也在脸书中指出,这种找零时差漏洞的比赛不仅要花很长的时间钻研,还得碰运气,这些掌握在研究团队手中的零时差漏洞,不会在比赛前就被厂商完成漏洞修补。而中国的资安研究团队近几年因为研究风气盛行,加上持续撰写相关零时差(Zero Day)漏洞的技术文章,已经连续好几年都在该比赛中获得不错的成绩。

即便台湾使用者对于中国软件产品的安全性有一些质疑,但不可否认的却是,中国资安研究团队已经蓄积强大的资安实力,有能力在世界舞台上,和全球一流的资安研究团队一起较劲。反观台湾软件业者,却一直无法在资安研究上投入更多心力、有更多研究成果,这也让台湾软件业者只能原地踏步,无法有长足进步。

如果从中国漏洞揭露平台乌云(WooYun)揭露的漏洞资讯也可以发现,多数的漏洞往往都来自于软件产品不够安全,也有许多时候,是业者在产品开发时,并没有把“产品安全”放在心上,只求在时间内完成产品功能的开发,这种心态下开发出来的产品,往往让骇客有可趁之机。

像是先前报导过的华硕路由器也是软件开发时出包造成功能有问题,或者是日盛金控权证资讯的SQL Injection漏洞(新闻1)(新闻2,以及鼎新电脑工作签核软件EasyFlow GP的Java反序列漏洞(新闻1)(新闻2等,都只是证明,台湾业者在相关产品开发的安全性上,还有持续进步的空间。但是,我们或许也必须警觉到,随着骇客入侵手法的日新月异,台湾软件产品在追求产品安全的脚步上,是否已经太慢了呢?

商用软件的零时差漏洞揭露,不仅是资安研究团队彰显研究实力的表彰,对于像是意大利Hacking Team这样和各国政府打交道的资安公司而言,这些零时差漏洞更是数位军火武器。换个角度说,只要骇客能够好好利用一个软件漏洞,不仅可以让一间公司商誉跌到谷底,还有机会做到家破国亡,这数位武器的威力不可谓不大。

从情趣用品到监控设备,也凸显物联网的风险

软件的安全基本上是所有产品安全性与否的基本要求,甚至是骇入物联网装置,也都是利用产品的各种安全漏洞,包括产品本身或者是使用的通讯协定等带来的风险。

对资安专家而言,连网的情趣用品和其他所有连网装置都一样,只要装置连网,就会有通讯协定,只要有使用各种通讯协定,往往就会有骇客可以利用的漏洞;而许多连网的装置,产品本身也都会有一个嵌入式操作系统,这些操作系统如果在开发的过程中,并没有注意程式撰写的安全性,就有机会留下许多可以让骇客远端遥控入侵的漏洞,骇客就可以趁机利用这些漏洞遥控相关的物联网装置为恶。

当然,有越来越多的物联网装置,往往因为产品具备轻巧特性,所以,制造商在设计产品时,不见得会使用具有强大运算能力的处理器,也不会内建高容量的内存和储存空间,这样产品先天上的限制,也让某些物联网业者认为,因为产品没有足够的运算能力和储存空间,骇客不见得会想利用或入侵;这样的产品限制,也使得有些物联网制造商即便想要关注产品的安全性,也不见得有余力或有必要关注。

像是情趣用品使用者毕竟属于小众,且局限在少数个人的使用范围中,对于以利益为导向的骇客而言,若是要从个人获利,可以从窃取隐私着手;但真正有利可图的,一定是可以对更多数带来更严重的风险,才可以获得更大的利益,因此,锁定物联网制造商相对少数的使用者而言,一定是更好谈判、交易甚至勒索的对象。

但如何让物联网制造商上钩呢?不论是外泄多数物联网装置使用者的隐私,或者是,因为物联网装置对使用者带来的风险,就是骇客可以获取金钱的管道。

智慧冰箱或者是智慧灯泡等物联网应用趋势,对多数人带来的风险可能还不高,但在之前一场讲述新兴科技带来的资安风险的演讲中,手机的充电装置,因为被骇客事先植入恶意程式,当手机使用者的手机在充电的同时,也是骇客在手机中植入恶意程式的时机。这样的案例,之前,已经在美国的黑帽大会有实作,但对许多人而言,这却是难以想像的物联网风险。

从思考物联网可能面临的风险的过程中,却也凸显出,许多人在想像物联网的资安议题时,往往不是先从生活周遭各种连网装置的安全性,着手思考可能面临的资安议题,一谈到物联网风险,往往直接跳跃性思考到类似智慧家电、智慧灯泡这些还在发展中连网装置的风险。也因为这样的思考落差,许多人甚至可能根本没有留意,现在许多连网的监控设备,各种的网络摄影机等等,早就是骇客锁定的物联网装置了。

其实,在某一些研讨会或者是记者会后的私下聊天过程中,也会有一些资安专家因为担心,而开始谈论这类网络监控设备的风险。不论是产品本身的漏洞,或者是使用不安全的通讯协定等,资安专家常常只要输入某个IP地址,就可以看到某间公司所使用的网络监控设备的监控平台,有些时候,甚至不需要输入账号、密码,就可以看到这个监控设备正在“监控录影中”的人、事、物。

当然,现在有些网络监控设备有内建麦克风功能,也可以扩音,如果有些人想要恶作剧,从中控平台转动监视器的位置,或者是发出一些奇怪的声响,就足以让人吓坏了!当然,有心想做坏事的人,一定可以想出比恶作剧更有利可图的情节与利用方式。

但是,不论是不安全的软件带来的资安风险,或者是物联网装置带来的安全隐忧,都已经是台湾资服业者迫在眉睫的关键议题,“没有安全的产品,就没有产品发展的机会。”假若台湾的软件业者及物联网业者都没有具备这样的意识时,也很难长期看好像是物联网未来产业发展的趋势。

本周(3/13~3/19)重要资安事件回顾:

台湾鼎新电脑声明:面临Java反序列化漏洞有1,800家企业,已协助85%客户连线修补漏洞

资安业者揭露新恶意程式可感染未破解的iPhone及iPad

骇客抢先注册过期广告网域,在知名网站大打恶意广告

Google把Chromebook的抓漏奖金加倍,最高奖励10万美元

Google透明度报告揭露自家及第三方网站HTTPS加密现况

物联网时代:小心!骇客可能悄悄控制你的情趣用品

.com手残打成.om,小心被骗到仿冒的恶意网站去了

Google单一签入扩大支援Office 365、Facebook at Work、Slack

Marcher木马透过色情讯息散布,Android用户要当心!

孟加拉央行存款盗转案,骇客原打算盗转10亿美元

  • 赞助商广告