您的位置:主页 > 消费金融 >有洞,只能靠补丁- 物联网的漏洞问题与管理 >

有洞,只能靠补丁- 物联网的漏洞问题与管理

作者: 2020-07-16 浏览: 515 次

趋势科技(Trend Micro)威胁和漏洞研 究中心副总裁吉卜森(Mike Gibson), 目前专攻威胁的发现、分析与漏洞揭露 (vulnerability disclosure),拥有超过15年 的资讯安全相关(包括漏洞、威胁研究、 安全运营、安全评估和测试等)经验,近 日于2019 Computex论坛为物联网(IoT) 的漏洞管理进行演说。

由于工作的关係,吉卜森周游世界各地,在与许多相关组织讨论资讯安全的议题的时候,许多人曾问他:「作为一个威胁与漏洞专家,哪些事情一直困扰着你?」而他的答案,就是物联网的安全上挑战,特别是以下3件事:
 

1.新的漏洞被发现后,也能够在连接装置(connected devices)中识别出来。

2.安全研究需与供应商(vendor)维持某些关係,除了披露该漏洞,也要能与他们分享这些漏洞的细节, 好让他们能够寻求解决办法。

3.漏洞的修复程序(remediation) 需能修复或围绕着能够解决该漏洞的策略。

连特斯拉都紧张的漏洞安全

曾与趋势科技合作过的汽车公司特斯拉(Tesla),对安全的考量早在几年前就相当具有前瞻性,其在过去已有相当不错的漏洞回报奖励计画(Bug Bounty Program),鼓励大众对该公司的车子进行研究,找到可能存在安全缺陷的地方, 然而他们仍在趋势科技每两年举办1次的世界骇客竞赛Pwn2Own上与趋势科技取得联繫。该活动是由趋势科技零时差倡议 (zero day initiative)团队主导的年度盛会,每次活动都会建立一个目标列表,鼓励众研究者针对列表上的目标进行研究, 并展示其处理漏洞的能力。

那次活动办在温哥华,当时有两位研究人员成功开拓特斯拉内部运行的浏览器, 从而带走活动奖金与汽车奖励。提起这段往事,吉卜森笑称,既然他们都有了特斯拉的车,当然就不会只是拿来兜风而已, 还能做更多安全研究!
 

从漏洞的生命週期 看系统安全的处理

连特斯拉都如此在意漏洞安全,显然这事非同小可。漏洞是系统中的一个弱点, 它的出现会使系统安全策略被凌驾其上。 然而,漏洞的生命週期究竟长什幺样子? 人们如何接收漏洞的资讯?

要洞悉漏洞的生命週期,可以从发现漏洞的那一天开始看起。已知一个漏洞出现在系统当中,它可能是被资讯安全研究人员辨识出来的,也可能是使用者偶然在系统里发现的。某段日子里,该情况似乎更频繁发生,即便现在问题看似慢慢消失, 但也许仍有其他人在利用这个有漏洞的系统。理想的状态里,供应商会在事发后被告知系统异常,而此时他们也会注意到该系统可能存在漏洞,必须对此採取行动。

之后,资安人员会进入该供应商的回报窗口(response window),期间大约会花120天与他们来回沟通。在清楚漏洞进出的来龙去脉后,他们便得为此提出某些补救策略。既然有洞,就得把它补起来,因此他们会利用补丁(patch)解决这个问题;然而在某些情况下,由于系统过于传统或问题太过複杂,导致无法产生相对应的补丁。

假使今天他们成功修补漏洞,公众便会意识到:「啊!系统出现漏洞了!」此时研究者就能公开谈论关于这个漏洞的一切细节,而客户理论上也会在这个时间点使用修补程序或补丁。如同绝大多数使用者的经验:反正,无论这些东西怎幺来的,供应商给的东西,用就对了。然而,漏洞被发现的那一刻,人们还能做些什幺?

发现新漏洞,可以带来什幺讯息?

吉卜森引用美国MITRE公司的「通用漏洞与披露(Common Vulnerabilities and Exposures, CVE)统计表」,其显示每年得到的漏洞回报数量。透过该图表发现,

2017与2018年的数值相当突出,吉卜森认 为这可能肇因于越来越多软体企业都在开 拓漏洞回报奖励计画,他们与研究机构密切联繫,奖励那些协助识别软体缺陷并回报问题的人,以针对这些状况进行修复, 而从这份统计,也能找到问题的根源。

工业控制系统网路紧急应变团队(ICS- CERT)的漏洞数量统计,同样也能指出一些问题。ICS-CERT是一个有助于披露 漏洞的组织,他们的作为与后续的措施有关,处理对象也包含连接装置,如医疗连 接装置。事实上,每当趋势科技发现、识别连接装置或物联网设备中的漏洞时,都会尝试通过ICS-CERT进行披露,并与供应商有直接的合作关係。
 

而一个新漏洞的发现,也是连接装置安全问题所面临的第一个关卡,因此,吉卜森与其团队近年也从事相关的研究,像是具远程启动相机或麦克风能力的Crestron 装置能用来监听会议内容。再严重点的案 例,是在美国卫星电视供应端的惊人发 现:他们竟能将影片内容导入其中,成为假新闻的来源之一,进而让CNN或CNBC 等末端使用者(end-user)播出任何他们想 播放的内容。

此外,他们在无人机研究中发现,假使 有人利用无人机(drone)拍摄照片或影片,有心人士只要站在附近,就能骇入无人机系统,很巧的是,美国联邦航空总署 (Federal Aviation Administration, FAA) 最近准许CNN在人群上方操作无人机⋯⋯
 

医疗连接装置与恶意软体 又有什幺关係?

上述研究中的装置都能以不到1000美元的价格购入,这意味着多数相关研究不会花到研究单位太多钱。然而,如果今天想在如核磁共振(MRI)般的设备钻研漏 洞问题时,挑战性就相对高些。过去,吉卜森曾与许多美国医疗组织的资讯安全长 (chief information security officer, CISO) 进行交谈,他们也非常担心医疗连接装置的安全问题,不过相关研究的执行并不容易,使得这些设备可能存在的漏洞问题并未得到太多关注。

然而,这些医疗设备能帮助患者维持生命并监督他们的生理状况,若这些设备出现安全上的疑虑,情况可能就会不太妙。医疗设备的软体更新,在修复与修补等方面遭遇一个困境──装置往往停留在旧的系统版本。今日,已有逾1百万个殭尸网络(botnets)诞生,不同的殭尸网络 与分散式恶意软体(malware),都有可能会利用这些设备进行别的操作,也有如 BrickerBot这样的破坏性恶意软体,他们 不会破坏系统,反而是让装置的运作被停摆,如此一来人们便可藉此进行网络犯罪 (cyber crimminal)。
 

有洞,只能靠补丁? 物联网的漏洞问题与管理


漏洞的出现意味着什幺?

破坏装置本身并不会为网路犯罪者带来什幺好处,因此对那些罪犯来说,这都不是优先考虑要做的事。那幺,怎样才能让他们从中获益呢?吉卜森提出所谓的「勒索软体(ransomware)」,它没有特定针对的连接装置,但由于标的设备所运行的软体堆层(software stack)相当类似,若遇到像是魔窟(WannaCry)这种蠕虫病毒,便会造成连带损害,这些都是相当严重的问题。

不过,这些人「单枪匹马」显然也没办法成就什幺事,因此他们需要特别开发演算法,以人工智慧(artificial intellegence, AI)来决定他们的下一步该怎幺做;当攻击者处在AI的场景下,便能利用相机、麦克风以及家里的其它装置胡作非为,好比偷看影片或窃听。在这些漏洞底下,无论使用者说了什幺话或做了什幺事,骇客们都能透过漏洞取得使用者资讯,甚至 对他们提出勒索。 不过吉卜森也提 到,未来将可能看到一些有趣的攻击方式,因为他不认 为这些人已经想好如何利用连接装置 来做坏事。

那幺旧的系统, 你还在用?

除了医疗连接装置外,吉卜森也讲述他1年前拜访

加拿大北安大略省一家製造商的案例。当

时,他与该工厂的副总裁一起参观工厂, 并聊到这家工厂如何经历製造设施的现代化。当副总裁拿出工厂里一台耗资数百万美元製造的机器时,吉卜森有些好奇;在得到副总裁的允许后,他走近一看,触碰键盘后萤幕上出现的第一个画面竟是 Windows XP,也就是说,他们竟然还在使 用一个已经停产多年的操作系统!

吉卜森很疑惑,该厂商究竟期望这个设备有多长的使用寿命呢?结果他的回答是:15∼20年。这意味着接下来的15~20 年里,同样的状况将会持续发生,届时如果出现新的漏洞,他们也无能为力,因为根本没有补丁给他们救,这也是许多组织在连接装置上正面临的巨大挑战。因此, 该厂商真的要考虑是否该为那些设备进行维护或软体更新,否则这些机器恐怕就不再适用;当然,他们也能选择使用过时的软体,或是让机器就这样离线作业⋯⋯

漏洞揭露的攻防战:研究人员是间谍吗?

一般来说,安全研究人员会和供应商分享与漏洞有关的资讯,并协助修复他们的系统缺口,甚至提供补丁测试,如趋势科技在与供应商的合作下,可以识别设备和 系统应用中的漏洞,此为一双向的沟通过程。然而,许多供应商似乎会将安全研究业者视为敌人。

供应商在能解决该漏洞前,通常不会做公开讨论,这在企业软体领域可说是行之有年。目前,多数组织认为漏洞揭露的相互协调很重要,他们会针对过程作记录, 并在网站告知使用者如何与他们回报问题。然而,今天若把软体换成连接装置, 安全研究者便会被丢到法律部门重新审视一番,这表示供应商对漏洞与通用的漏洞 披露没有什幺概念,也不知道如何与研究圈联繫;他们可能将这些人都视为敌人, 或一些可能利用、超越他们的角色。

安全研究者所希望的,其实只是让终端客户(end costumer)的漏洞问题得到解 决,因此他们并不希望这些组织採取这样的立场;当然,如果对方认为法律团队的介入是必要的,那其实也无妨,只要别将他们拒于千里之外就好。
 

有洞,只能靠补丁? 物联网的漏洞问题与管理
 

给製造业者的一些建议

随着连接装置的数量持续增加,许多漏洞识别及修复的挑战应运而生。吉卜森以自家为例,他与太太及两个女儿共拥有几台MacBook、iPad与iPhone,且他们生活在一个智能家居(smart home)里。居家使用的连接装置百百种,举凡门铃、相机、门锁、恆温器和烟雾报警器等设备, 都是需要列入考虑的对象,必须针对这些韧体(firmware)和软体做更新,这其实是相当令人头痛的问题。其中一些设备还 不错,至少会自主更新(或可切换成这种模式),但其他设备恐怕就不行,安全问题油然而生。

因此,吉卜森也对製造商提出几点建议:

首先,可充分利用安全研究社群的资源,那里的研究人员都希望能协助解决安全问题,并试图找到突围的方法,并对技术提供一些安全防护的策略与方法。其次,可为漏洞披露制定政策及程序,至少别将研究人员视为坏人,他们并非真想从技术中获得些什幺,也不会试图对公众提供任何不利于厂商的讯息;反之,他们只 会协助案主了解、保护设备,并关闭一些安全漏洞。第三,在这个存在数十亿个连接装置的时代里,厂商须确认其产品易于更新及修补,让客户能轻鬆管理,甚至能自己做手动更新,随着设备在这方面的成长与发展,漏洞的问题将只会越来越少。

企业或个人装置的製造商都需要关注安全议题,如今许多公司的网站也有一个页 面,专门展示他们处理安全问题的方式, 且他们也都有因应产品安全事件的团队, 可以解决漏洞问题并做出回应。对消费者来说,如果有所选择,自然会选用能够进行更新且易于取得补丁的产品。

不仅是物联网,连接装置就存在于你我的生活当中,若能谨慎地部署安全防护措施,便能在确保系统健康之虞,避免漏洞的连带伤害。

猜您还喜欢 猜您还喜欢