Author 作者
郭羽漫/本刊編輯。
趨勢科技(Trend Micro)威脅和漏洞研 究中心副總裁吉卜森(Mike Gibson), 目前專攻威脅的發現、分析與漏洞揭露 (vulnerability disclosure),擁有超過15年 的資訊安全相關(包括漏洞、威脅研究、 安全運營、安全評估和測試等)經驗,近 日於2019 Computex論壇為物聯網(IoT) 的漏洞管理進行演說。
由於工作的關係,吉卜森周遊世界各地,在與許多相關組織討論資訊安全的議題的時候,許多人曾問他:「作為一個威脅與漏洞專家,哪些事情一直困擾著你?」而他的答案,就是物聯網的安全上挑戰,特別是以下3件事:
1.新的漏洞被發現後,也能夠在連接裝置(connected devices)中識別出來。
2.安全研究需與供應商(vendor)維持某些關係,除了披露該漏洞,也要能與他們分享這些漏洞的細節, 好讓他們能夠尋求解決辦法。
3.漏洞的修復程序(remediation) 需能修復或圍繞著能夠解決該漏洞的策略。
連特斯拉都緊張的漏洞安全
曾與趨勢科技合作過的汽車公司特斯拉(Tesla),對安全的考量早在幾年前就相當具有前瞻性,其在過去已有相當不錯的漏洞回報獎勵計畫(Bug Bounty Program),鼓勵大眾對該公司的車子進行研究,找到可能存在安全缺陷的地方, 然而他們仍在趨勢科技每兩年舉辦1次的世界駭客競賽Pwn2Own上與趨勢科技取得聯繫。該活動是由趨勢科技零時差倡議 (zero day initiative)團隊主導的年度盛會,每次活動都會建立一個目標列表,鼓勵眾研究者針對列表上的目標進行研究, 並展示其處理漏洞的能力。
那次活動辦在溫哥華,當時有兩位研究人員成功開拓特斯拉內部運行的瀏覽器, 從而帶走活動獎金與汽車獎勵。提起這段往事,吉卜森笑稱,既然他們都有了特斯拉的車,當然就不會只是拿來兜風而已, 還能做更多安全研究!
從漏洞的生命週期 看系統安全的處理
連特斯拉都如此在意漏洞安全,顯然這事非同小可。漏洞是系統中的一個弱點, 它的出現會使系統安全策略被凌駕其上。 然而,漏洞的生命週期究竟長什麼樣子? 人們如何接收漏洞的資訊?
要洞悉漏洞的生命週期,可以從發現漏洞的那一天開始看起。已知一個漏洞出現在系統當中,它可能是被資訊安全研究人員辨識出來的,也可能是使用者偶然在系統裡發現的。某段日子裡,該情況似乎更頻繁發生,即便現在問題看似慢慢消失, 但也許仍有其他人在利用這個有漏洞的系統。理想的狀態裡,供應商會在事發後被告知系統異常,而此時他們也會注意到該系統可能存在漏洞,必須對此採取行動。
之後,資安人員會進入該供應商的回報窗口(response window),期間大約會花120天與他們來回溝通。在清楚漏洞進出的來龍去脈後,他們便得為此提出某些補救策略。既然有洞,就得把它補起來,因此他們會利用補丁(patch)解決這個問題;然而在某些情況下,由於系統過於傳統或問題太過複雜,導致無法產生相對應的補丁。
假使今天他們成功修補漏洞,公眾便會意識到:「啊!系統出現漏洞了!」此時研究者就能公開談論關於這個漏洞的一切細節,而客戶理論上也會在這個時間點使用修補程序或補丁。如同絕大多數使用者的經驗:反正,無論這些東西怎麼來的,供應商給的東西,用就對了。然而,漏洞被發現的那一刻,人們還能做些什麼?
發現新漏洞,可以帶來什麼訊息?
吉卜森引用美國MITRE公司的「通用漏洞與披露(Common Vulnerabilities and Exposures, CVE)統計表」,其顯示每年得到的漏洞回報數量。透過該圖表發現,
2017與2018年的數值相當突出,吉卜森認 為這可能肇因於越來越多軟體企業都在開 拓漏洞回報獎勵計畫,他們與研究機構密切聯繫,獎勵那些協助識別軟體缺陷並回報問題的人,以針對這些狀況進行修復, 而從這份統計,也能找到問題的根源。
工業控制系統網路緊急應變團隊(ICS- CERT)的漏洞數量統計,同樣也能指出一些問題。ICS-CERT是一個有助於披露 漏洞的組織,他們的作為與後續的措施有關,處理對象也包含連接裝置,如醫療連 接裝置。事實上,每當趨勢科技發現、識別連接裝置或物聯網設備中的漏洞時,都會嘗試通過ICS-CERT進行披露,並與供應商有直接的合作關係。
而一個新漏洞的發現,也是連接裝置安全問題所面臨的第一個關卡,因此,吉卜森與其團隊近年也從事相關的研究,像是具遠程啟動相機或麥克風能力的Crestron 裝置能用來監聽會議內容。再嚴重點的案 例,是在美國衛星電視供應端的驚人發 現:他們竟能將影片內容導入其中,成為假新聞的來源之一,進而讓CNN或CNBC 等末端使用者(end-user)播出任何他們想 播放的內容。
此外,他們在無人機研究中發現,假使 有人利用無人機(drone)拍攝照片或影片,有心人士只要站在附近,就能駭入無人機系統,很巧的是,美國聯邦航空總署 (Federal Aviation Administration, FAA) 最近准許CNN在人群上方操作無人機⋯⋯
醫療連接裝置與惡意軟體 又有什麼關係?
上述研究中的裝置都能以不到1000美元的價格購入,這意味著多數相關研究不會花到研究單位太多錢。然而,如果今天想在如核磁共振(MRI)般的設備鑽研漏 洞問題時,挑戰性就相對高些。過去,吉卜森曾與許多美國醫療組織的資訊安全長 (chief information security officer, CISO) 進行交談,他們也非常擔心醫療連接裝置的安全問題,不過相關研究的執行並不容易,使得這些設備可能存在的漏洞問題並未得到太多關注。
然而,這些醫療設備能幫助患者維持生命並監督他們的生理狀況,若這些設備出現安全上的疑慮,情況可能就會不太妙。醫療設備的軟體更新,在修復與修補等方面遭遇一個困境──裝置往往停留在舊的系統版本。今日,已有逾1百萬個殭屍網絡(botnets)誕生,不同的殭屍網絡 與分散式惡意軟體(malware),都有可能會利用這些設備進行別的操作,也有如 BrickerBot這樣的破壞性惡意軟體,他們 不會破壞系統,反而是讓裝置的運作被停擺,如此一來人們便可藉此進行網絡犯罪 (cyber crimminal)。
漏洞的出現意味著什麼?
破壞裝置本身並不會為網路犯罪者帶來什麼好處,因此對那些罪犯來說,這都不是優先考慮要做的事。那麼,怎樣才能讓他們從中獲益呢?吉卜森提出所謂的「勒索軟體(ransomware)」,它沒有特定針對的連接裝置,但由於標的設備所運行的軟體堆層(software stack)相當類似,若遇到像是魔窟(WannaCry)這種蠕蟲病毒,便會造成連帶損害,這些都是相當嚴重的問題。
不過,這些人「單槍匹馬」顯然也沒辦法成就什麼事,因此他們需要特別開發演算法,以人工智慧(artificial intellegence, AI)來決定他們的下一步該怎麼做;當攻擊者處在AI的場景下,便能利用相機、麥克風以及家裡的其它裝置胡作非為,好比偷看影片或竊聽。在這些漏洞底下,無論使用者說了什麼話或做了什麼事,駭客們都能透過漏洞取得使用者資訊,甚至 對他們提出勒索。 不過吉卜森也提 到,未來將可能看到一些有趣的攻擊方式,因為他不認 為這些人已經想好如何利用連接裝置 來做壞事。
那麼舊的系統, 你還在用?
除了醫療連接裝置外,吉卜森也講述他1年前拜訪
加拿大北安大略省一家製造商的案例。當
時,他與該工廠的副總裁一起參觀工廠, 並聊到這家工廠如何經歷製造設施的現代化。當副總裁拿出工廠裡一台耗資數百萬美元製造的機器時,吉卜森有些好奇;在得到副總裁的允許後,他走近一看,觸碰鍵盤後螢幕上出現的第一個畫面竟是 Windows XP,也就是說,他們竟然還在使 用一個已經停產多年的操作系統!
吉卜森很疑惑,該廠商究竟期望這個設備有多長的使用壽命呢?結果他的回答是:15∼20年。這意味著接下來的15~20 年裡,同樣的狀況將會持續發生,屆時如果出現新的漏洞,他們也無能為力,因為根本沒有補丁給他們救,這也是許多組織在連接裝置上正面臨的巨大挑戰。因此, 該廠商真的要考慮是否該為那些設備進行維護或軟體更新,否則這些機器恐怕就不再適用;當然,他們也能選擇使用過時的軟體,或是讓機器就這樣離線作業⋯⋯
漏洞揭露的攻防戰:研究人員是間諜嗎?
一般來說,安全研究人員會和供應商分享與漏洞有關的資訊,並協助修復他們的系統缺口,甚至提供補丁測試,如趨勢科技在與供應商的合作下,可以識別設備和 系統應用中的漏洞,此為一雙向的溝通過程。然而,許多供應商似乎會將安全研究業者視為敵人。
供應商在能解決該漏洞前,通常不會做公開討論,這在企業軟體領域可說是行之有年。目前,多數組織認為漏洞揭露的相互協調很重要,他們會針對過程作記錄, 並在網站告知使用者如何與他們回報問題。然而,今天若把軟體換成連接裝置, 安全研究者便會被丟到法律部門重新審視一番,這表示供應商對漏洞與通用的漏洞 披露沒有什麼概念,也不知道如何與研究圈聯繫;他們可能將這些人都視為敵人, 或一些可能利用、超越他們的角色。
安全研究者所希望的,其實只是讓終端客戶(end costumer)的漏洞問題得到解 決,因此他們並不希望這些組織採取這樣的立場;當然,如果對方認為法律團隊的介入是必要的,那其實也無妨,只要別將他們拒於千里之外就好。
給製造業者的一些建議
隨著連接裝置的數量持續增加,許多漏洞識別及修復的挑戰應運而生。吉卜森以自家為例,他與太太及兩個女兒共擁有幾台MacBook、iPad與iPhone,且他們生活在一個智能家居(smart home)裡。居家使用的連接裝置百百種,舉凡門鈴、相機、門鎖、恆溫器和煙霧報警器等設備, 都是需要列入考慮的對象,必須針對這些韌體(firmware)和軟體做更新,這其實是相當令人頭痛的問題。其中一些設備還 不錯,至少會自主更新(或可切換成這種模式),但其他設備恐怕就不行,安全問題油然而生。
因此,吉卜森也對製造商提出幾點建議:
首先,可充分利用安全研究社群的資源,那裡的研究人員都希望能協助解決安全問題,並試圖找到突圍的方法,並對技術提供一些安全防護的策略與方法。其次,可為漏洞披露制定政策及程序,至少別將研究人員視為壞人,他們並非真想從技術中獲得些什麼,也不會試圖對公眾提供任何不利於廠商的訊息;反之,他們只 會協助案主了解、保護設備,並關閉一些安全漏洞。第三,在這個存在數十億個連接裝置的時代裡,廠商須確認其產品易於更新及修補,讓客戶能輕鬆管理,甚至能自己做手動更新,隨著設備在這方面的成長與發展,漏洞的問題將只會越來越少。
企業或個人裝置的製造商都需要關注安全議題,如今許多公司的網站也有一個頁 面,專門展示他們處理安全問題的方式, 且他們也都有因應產品安全事件的團隊, 可以解決漏洞問題並做出回應。對消費者來說,如果有所選擇,自然會選用能夠進行更新且易於取得補丁的產品。
不僅是物聯網,連接裝置就存在於你我的生活當中,若能謹慎地部署安全防護措施,便能在確保系統健康之虞,避免漏洞的連帶傷害。