文章專區

趨勢科技(Trend Micro)威脅和漏洞研 究中心副總裁吉卜森(Mike Gibson)， 目前專攻威脅的發現、分析與漏洞揭露 (vulnerability disclosure)，擁有超過15年 的資訊安全相關(包括漏洞、威脅研究、 安全運營、安全評估和測試等)經驗，近 日於2019 Computex論壇為物聯網(IoT) 的漏洞管理進行演說。

由於工作的關係，吉卜森周遊世界各地，在與許多相關組織討論資訊安全的議題的時候，許多人曾問他:「作為一個威脅與漏洞專家，哪些事情一直困擾著你?」而他的答案，就是物聯網的安全上挑戰，特別是以下3件事:
 

1.新的漏洞被發現後，也能夠在連接裝置(connected devices)中識別出來。

2.安全研究需與供應商(vendor)維持某些關係，除了披露該漏洞，也要能與他們分享這些漏洞的細節， 好讓他們能夠尋求解決辦法。

3.漏洞的修復程序(remediation) 需能修復或圍繞著能夠解決該漏洞的策略。

連特斯拉都緊張的漏洞安全

曾與趨勢科技合作過的汽車公司特斯拉(Tesla)，對安全的考量早在幾年前就相當具有前瞻性，其在過去已有相當不錯的漏洞回報獎勵計畫(Bug Bounty Program)，鼓勵大眾對該公司的車子進行研究，找到可能存在安全缺陷的地方， 然而他們仍在趨勢科技每兩年舉辦1次的世界駭客競賽Pwn2Own上與趨勢科技取得聯繫。該活動是由趨勢科技零時差倡議 (zero day initiative)團隊主導的年度盛會，每次活動都會建立一個目標列表，鼓勵眾研究者針對列表上的目標進行研究， 並展示其處理漏洞的能力。

那次活動辦在溫哥華，當時有兩位研究人員成功開拓特斯拉內部運行的瀏覽器， 從而帶走活動獎金與汽車獎勵。提起這段往事，吉卜森笑稱，既然他們都有了特斯拉的車，當然就不會只是拿來兜風而已， 還能做更多安全研究!
 

從漏洞的生命週期 看系統安全的處理

連特斯拉都如此在意漏洞安全，顯然這事非同小可。漏洞是系統中的一個弱點， 它的出現會使系統安全策略被凌駕其上。 然而，漏洞的生命週期究竟長什麼樣子? 人們如何接收漏洞的資訊?

要洞悉漏洞的生命週期，可以從發現漏洞的那一天開始看起。已知一個漏洞出現在系統當中，它可能是被資訊安全研究人員辨識出來的，也可能是使用者偶然在系統裡發現的。某段日子裡，該情況似乎更頻繁發生，即便現在問題看似慢慢消失， 但也許仍有其他人在利用這個有漏洞的系統。理想的狀態裡，供應商會在事發後被告知系統異常，而此時他們也會注意到該系統可能存在漏洞，必須對此採取行動。

之後，資安人員會進入該供應商的回報窗口(response window)，期間大約會花120天與他們來回溝通。在清楚漏洞進出的來龍去脈後，他們便得為此提出某些補救策略。既然有洞，就得把它補起來，因此他們會利用補丁(patch)解決這個問題;然而在某些情況下，由於系統過於傳統或問題太過複雜，導致無法產生相對應的補丁。

假使今天他們成功修補漏洞，公眾便會意識到:「啊!系統出現漏洞了!」此時研究者就能公開談論關於這個漏洞的一切細節，而客戶理論上也會在這個時間點使用修補程序或補丁。如同絕大多數使用者的經驗:反正，無論這些東西怎麼來的，供應商給的東西，用就對了。然而，漏洞被發現的那一刻，人們還能做些什麼?

發現新漏洞，可以帶來什麼訊息?

吉卜森引用美國MITRE公司的「通用漏洞與披露(Common Vulnerabilities and Exposures, CVE)統計表」，其顯示每年得到的漏洞回報數量。透過該圖表發現，

2017與2018年的數值相當突出，吉卜森認 為這可能肇因於越來越多軟體企業都在開 拓漏洞回報獎勵計畫，他們與研究機構密切聯繫，獎勵那些協助識別軟體缺陷並回報問題的人，以針對這些狀況進行修復， 而從這份統計，也能找到問題的根源。

工業控制系統網路緊急應變團隊(ICS- CERT)的漏洞數量統計，同樣也能指出一些問題。ICS-CERT是一個有助於披露 漏洞的組織，他們的作為與後續的措施有關，處理對象也包含連接裝置，如醫療連 接裝置。事實上，每當趨勢科技發現、識別連接裝置或物聯網設備中的漏洞時，都會嘗試通過ICS-CERT進行披露，並與供應商有直接的合作關係。
 

而一個新漏洞的發現，也是連接裝置安全問題所面臨的第一個關卡，因此，吉卜森與其團隊近年也從事相關的研究，像是具遠程啟動相機或麥克風能力的Crestron 裝置能用來監聽會議內容。再嚴重點的案 例，是在美國衛星電視供應端的驚人發 現:他們竟能將影片內容導入其中，成為假新聞的來源之一，進而讓CNN或CNBC 等末端使用者(end-user)播出任何他們想 播放的內容。

此外，他們在無人機研究中發現，假使 有人利用無人機(drone)拍攝照片或影片，有心人士只要站在附近，就能駭入無人機系統，很巧的是，美國聯邦航空總署 (Federal Aviation Administration, FAA) 最近准許CNN在人群上方操作無人機⋯⋯
 

醫療連接裝置與惡意軟體 又有什麼關係?

上述研究中的裝置都能以不到1000美元的價格購入，這意味著多數相關研究不會花到研究單位太多錢。然而，如果今天想在如核磁共振(MRI)般的設備鑽研漏 洞問題時，挑戰性就相對高些。過去，吉卜森曾與許多美國醫療組織的資訊安全長 (chief information security officer, CISO) 進行交談，他們也非常擔心醫療連接裝置的安全問題，不過相關研究的執行並不容易，使得這些設備可能存在的漏洞問題並未得到太多關注。

然而，這些醫療設備能幫助患者維持生命並監督他們的生理狀況，若這些設備出現安全上的疑慮，情況可能就會不太妙。醫療設備的軟體更新，在修復與修補等方面遭遇一個困境──裝置往往停留在舊的系統版本。今日，已有逾1百萬個殭屍網絡(botnets)誕生，不同的殭屍網絡 與分散式惡意軟體(malware)，都有可能會利用這些設備進行別的操作，也有如 BrickerBot這樣的破壞性惡意軟體，他們 不會破壞系統，反而是讓裝置的運作被停擺，如此一來人們便可藉此進行網絡犯罪 (cyber crimminal)。
 

漏洞的出現意味著什麼?

破壞裝置本身並不會為網路犯罪者帶來什麼好處，因此對那些罪犯來說，這都不是優先考慮要做的事。那麼，怎樣才能讓他們從中獲益呢?吉卜森提出所謂的「勒索軟體(ransomware)」，它沒有特定針對的連接裝置，但由於標的設備所運行的軟體堆層(software stack)相當類似，若遇到像是魔窟(WannaCry)這種蠕蟲病毒，便會造成連帶損害，這些都是相當嚴重的問題。

不過，這些人「單槍匹馬」顯然也沒辦法成就什麼事，因此他們需要特別開發演算法，以人工智慧(artificial intellegence, AI)來決定他們的下一步該怎麼做;當攻擊者處在AI的場景下，便能利用相機、麥克風以及家裡的其它裝置胡作非為，好比偷看影片或竊聽。在這些漏洞底下，無論使用者說了什麼話或做了什麼事，駭客們都能透過漏洞取得使用者資訊，甚至 對他們提出勒索。 不過吉卜森也提 到，未來將可能看到一些有趣的攻擊方式，因為他不認 為這些人已經想好如何利用連接裝置 來做壞事。

那麼舊的系統， 你還在用?

除了醫療連接裝置外，吉卜森也講述他1年前拜訪

加拿大北安大略省一家製造商的案例。當

時，他與該工廠的副總裁一起參觀工廠， 並聊到這家工廠如何經歷製造設施的現代化。當副總裁拿出工廠裡一台耗資數百萬美元製造的機器時，吉卜森有些好奇;在得到副總裁的允許後，他走近一看，觸碰鍵盤後螢幕上出現的第一個畫面竟是 Windows XP，也就是說，他們竟然還在使 用一個已經停產多年的操作系統!

吉卜森很疑惑，該廠商究竟期望這個設備有多長的使用壽命呢?結果他的回答是:15∼20年。這意味著接下來的15~20 年裡，同樣的狀況將會持續發生，屆時如果出現新的漏洞，他們也無能為力，因為根本沒有補丁給他們救，這也是許多組織在連接裝置上正面臨的巨大挑戰。因此， 該廠商真的要考慮是否該為那些設備進行維護或軟體更新，否則這些機器恐怕就不再適用;當然，他們也能選擇使用過時的軟體，或是讓機器就這樣離線作業⋯⋯

漏洞揭露的攻防戰:研究人員是間諜嗎?

一般來說，安全研究人員會和供應商分享與漏洞有關的資訊，並協助修復他們的系統缺口，甚至提供補丁測試，如趨勢科技在與供應商的合作下，可以識別設備和 系統應用中的漏洞，此為一雙向的溝通過程。然而，許多供應商似乎會將安全研究業者視為敵人。

供應商在能解決該漏洞前，通常不會做公開討論，這在企業軟體領域可說是行之有年。目前，多數組織認為漏洞揭露的相互協調很重要，他們會針對過程作記錄， 並在網站告知使用者如何與他們回報問題。然而，今天若把軟體換成連接裝置， 安全研究者便會被丟到法律部門重新審視一番，這表示供應商對漏洞與通用的漏洞 披露沒有什麼概念，也不知道如何與研究圈聯繫;他們可能將這些人都視為敵人， 或一些可能利用、超越他們的角色。

安全研究者所希望的，其實只是讓終端客戶(end costumer)的漏洞問題得到解 決，因此他們並不希望這些組織採取這樣的立場;當然，如果對方認為法律團隊的介入是必要的，那其實也無妨，只要別將他們拒於千里之外就好。
 

 

給製造業者的一些建議

隨著連接裝置的數量持續增加，許多漏洞識別及修復的挑戰應運而生。吉卜森以自家為例，他與太太及兩個女兒共擁有幾台MacBook、iPad與iPhone，且他們生活在一個智能家居(smart home)裡。居家使用的連接裝置百百種，舉凡門鈴、相機、門鎖、恆溫器和煙霧報警器等設備， 都是需要列入考慮的對象，必須針對這些韌體(firmware)和軟體做更新，這其實是相當令人頭痛的問題。其中一些設備還 不錯，至少會自主更新(或可切換成這種模式)，但其他設備恐怕就不行，安全問題油然而生。

因此，吉卜森也對製造商提出幾點建議:

首先，可充分利用安全研究社群的資源，那裡的研究人員都希望能協助解決安全問題，並試圖找到突圍的方法，並對技術提供一些安全防護的策略與方法。其次，可為漏洞披露制定政策及程序，至少別將研究人員視為壞人，他們並非真想從技術中獲得些什麼，也不會試圖對公眾提供任何不利於廠商的訊息;反之，他們只 會協助案主了解、保護設備，並關閉一些安全漏洞。第三，在這個存在數十億個連接裝置的時代裡，廠商須確認其產品易於更新及修補，讓客戶能輕鬆管理，甚至能自己做手動更新，隨著設備在這方面的成長與發展，漏洞的問題將只會越來越少。

企業或個人裝置的製造商都需要關注安全議題，如今許多公司的網站也有一個頁 面，專門展示他們處理安全問題的方式， 且他們也都有因應產品安全事件的團隊， 可以解決漏洞問題並做出回應。對消費者來說，如果有所選擇，自然會選用能夠進行更新且易於取得補丁的產品。

不僅是物聯網，連接裝置就存在於你我的生活當中，若能謹慎地部署安全防護措施，便能在確保系統健康之虞，避免漏洞的連帶傷害。