黑基网 首页 资讯 IT业界 查看内容

从华硕路由器要被美国政府稽核20年,看如何确保物联网安全?

2016-3-8 09:29| 投稿: son850318

摘要: 从智慧城市、智慧家庭甚至到整个物联网产业的蓬勃发展,路由器都是所有架构的核心。因此,路由器产品提供对使用者安全保护则是必然的,保护使用者敏感资讯不外泄,不被未经授权的连网行为干扰等华硕(Asus)公司在美 ...
从智慧城市、智慧家庭甚至到整个物联网产业的蓬勃发展,路由器都是所有架构的核心。因此,路由器产品提供对使用者安全保护则是必然的,保护使用者敏感资讯不外泄,不被未经授权的连网行为干扰等华硕(Asus)公司在美国销售的路由器产品,因为具有严重的安全性漏洞,并且造成使用者的敏感资讯外泄,美国联邦贸易委员会(FTC)对华硕公司提起法律诉讼。日前,双方达成和解协议,在未来20年,只要是华硕公司上市贩售的路由器和相关的硬体装置,都必须每2年接受一次由独立第三方的产品安全性的稽核检查。

在相关的和解条件中,美国联邦贸易委员会还要求华硕公司也必须和既有的使用者联系,除了要告知使用者硬体韧体的升级和更新外,相关软体的修补程式也必须在30天内,告知使用者并立即更新,否则,未来华硕公司每发生一次违反和解条件的资安事件,该公司每一起事件都将被罚款1万6千美元。

除了华硕公司因为被美国联邦贸易委员会起诉后,近期接受和解,以每2年都接受一次由第三方稽核单位针对产品做独立稽核,且这样的独立稽核也将持续20年的条件,才取得和解,但之前曾经爆发家用路由器因为安全性漏洞,被骇客利用或造成客户敏感资讯外泄的路由器业者,还包括:D-Link(友讯科技)、Micronet(光谱电子)、Tenda(腾达科技)和TP-Link等业者,都曾传出路由器出现安全隐私的漏洞。

不管是智慧城市、智慧家庭甚至是这两年喊的震天价响的物联网(IoT),各式各样的路由器都是整个架构的核心,都必须要透过路由器对外连上网路,才能够让原本被孤立的产品或装置,有对外联系的通道,真正做到网网相连。但是就如同美国联邦贸易委员会所言,路由器在物联网的世界中扮演重要的关键角色,使用者不仅期待包括华硕公司在内的业者,可以确保路由器传输资料的安全性,也必须阻止更多未经授权的连线,而不是置使用者安全性于度外,甚至以不具有实质更新功能的按键,来模糊使用者对于路由器的安全性认定。

华硕路由器包括云端服务,都潜藏各种资安风险

华硕路由器的安全性问题主要可以分成几个部分,根据美国联邦贸易委员会调查发现,华硕公司虽然宣称路由器产品可以保护电脑不会遭受到未经授权的连线访问,但事实上,该路由器却充斥许多安全漏洞,举例而言,华硕路由器预设的帐号和密码都是非常容易猜到的admin,加上没有要求使用者更改预设密码,也使得华硕路由器一旦连网就门户洞开。再者,骇客也可以利用一些常见的网路漏洞,入侵华硕Web介面的控制平台获得控制权,骇客就可以做到远端关闭相关的安全措施。

而华硕为了便利使用者,也推出AiCloud和AiDisk的云端服务。 AiCloud是一种云端储存服务,使用者可以将USB随身碟插到路由器上的USB接口,就可以浏览储存在云端上的所有档案,只不过,美国联邦贸易委员会在调查中却发现,如果骇客掌握一个特定的IP位址时,也可以绕过AiCloud的安全授权机制,在这个浏览和资料传输的过程中,并没有任何加密措施,所有的登录资讯都是明码传输,使得AiCloud很容易遭受到中间人攻击。

这个漏洞在2014年1月的时候,就已经有资安专家回报这样的漏洞讯息,只可惜,华硕公司面对这样的漏洞通报时,心态上仍不够正面来面对产品有资安威胁的问题,也因为态度不够积极,因此,华硕公司在完成漏洞修补后,并没有建议使用者应该要立即修补产品的漏洞、避免受害。这也是美国联邦贸易委员会认定华硕公司没有落实资安的原因之一。

此外,AiDisk则是另外一种云端储存服务,传输用户资料时,都没有采用任何加密措施,当使用者可以透过FTP连线到路由器上的USB随身碟时,所有连上这个随身碟的使用者,浏览的权限都不设限,意味着,路由器预设将使用者的私人USB随身碟,只要有人知道路由器的IP位址,就形同将使用者隐私开放给网路上的任何人。甚至于,华硕公司只要求使用者设立安全性相对薄弱的帐号及密码(预设帐号密码为Family),所有资料传输也都是明码传输。

最为人诟病的一点在于,有资安专家在2013年7月便告知华硕公司,有超过25,000个AiDisk的云端储存装置,可以在网路上被找到,但直到2014年2月爆发大规模的使用者资料外泄时,华硕公司都没有告知使用者,应该要正视这样的资安问题。

更有趣的点在于,华硕公司在路由器上有一个检查更新的按键,希望使用者可以定期做漏洞修补,将软硬体的安全性升级到最新版。只不过,美国联邦贸易委员会却发现,华硕公司的更新按键根本没有嵌入任何的功能,按下更新按键没有任何作用,使用者也无法将最新更新的漏洞修补程式更新到资料库。这样的更新按键根本只是一个欺骗使用者的幌子,没有任何实质的作用。

从美国联邦贸易委员会提出的相关证据都可以发现,华硕公司对于路由器的产品安全性上,抱持着相当马虎及敷衍的态度,不仅没有正式资安人员通报的漏洞,也没有告知使用者,必须要立即更新软体以确保使用者的安全性。

这样的情况一直维持到2014年2月时,因为有一个骇客组织使用免费工具扫描华硕路由器的IP位址时,就发现12,937名使用者的敏感资料,以及3,131个AiCloud的帐号资讯在网路上公布,整个事件才真正爆发,引发美国政府与使用者重视。而华硕公司这种遮遮掩掩的态度,也是美国联邦贸易委员会对华硕公司提出法律诉讼的重要关键之一。

使用者也必须了解如何安全使用连网产品

这起华硕公司路由器安全事件从2014年2月爆发以来,直到今年2月和美国联邦贸易委员会和解,也让更多路由器业者和使用者正视产品安全性的问题,美国联邦贸易委员会也针对既有的华硕路由器使用者提出安全措施的建议,希望透过这样的建议方式,可以做到提升使用者更加重视路由器的安全性。

首先,一定要更改路由器预设的帐号及密码,不论是否是华硕路由器产品,这都是使用者应该做的第一个动作。再者,对于使用者的权限设定,绝对不能设定为「无限」的使用者权限,除了管理员权限外,一般的使用者建议权限都设为「有限」以避免使用者权限过大,导致不必要的资安风险。第三,华硕路由器提供独特的云端储存功能,使用者也必须留意,一旦有任何资料共享时,都必须谨慎确认可以资料共享的使用者,究竟具有多少权限,避免无限制的共享功能,往往是相对安全的。最后,使用者必须定期更新产品的安全性,注册产品提供的安全更新窗口,定期更新产品软体和硬体漏洞,而华硕路由器上原本不具备更新检查功能的按键,华硕公司也必须立即透过软体更新功能,让使用者可以确认该产品,是否已经更新到最新版的修补程式,以确保产品安全性。

也因为有越来越多的装置透过路由器对外连接,在每一个产品都有自己的IP位址,都具备连网功能的情况下,美国联邦贸易委员会也建议,如果物联网已经是该公司重要的核心服务,要确保安全的连网就显得很重要,该委员会则提出6点建议,希望有助于物联网企业可以做到安全连网。

第一点,就是要做到安全启动(Start with security),也就是从产品的设计开始,就必须将产品相关的安全议题纳入考量,而不是像华硕路由器一样,等到发生严重的资安问题后,才开始设法善后,这时,往往都已经太迟了。

第二点,透过使用者的眼睛设计产品。对于一些家用连网产品的设计者而言,颜色和样式都是使用者的考量点,但对于安全性的在意,往往只希望功能操作不要太复杂,若是从使用者的角度设计产品,要做到让开发者也能够贴近使用者的需求,首先,就是要让产品所有的接口与功能,介面简单、清楚、易懂,只要能够让使用者可以看懂,就是一种贴近使用者的设计思维。

第三点,从操作介面上,就必须做到一眼就可以让使用者知道,哪一个是比较安全的选项与配置,当开发者已经将所有不安全、开放的预设设定改掉,使用者就不用花更多心血是了解什么才是安全性的操作。

第四点,关注市面上各种安全警告,美国联邦贸易委员会便指出,很多业者并没有一个适当的管道,可以搜集并掌握到与产品安全漏洞相关的资讯,一旦有看到有相关的安全议题出现时,业者应该要主动调查,确认是否有类似的安全隐忧,一旦确认有安全问题,就应该立即联络使用者,提供后续的安全更新措施。

第五点,随时让使用者掌握漏洞修补的进度与状况,这是关键的第一步,毕竟,所有的修补程式要发挥效用,都必须在使用者下载、安装之后才会有效,而有远见的业者就会设计一个关于漏洞通报的紧急应变计画,让漏洞修补的提醒可以更有效率。

最后一点,可以借镜美国联邦贸易委员会公布的案件,从中学得经验与教训,都有助于提升产品的安全性。

对于物联网企业而言,从安全的角度和从使用者的角度来设计产品,往往是比较花成本的的设计思维,却是一种面对复杂网路威胁时,更有效的预防措施。而不仅制造产品的业者要有这样的思维,使用者也必须开始从这样的角度,更有智慧的采购更安全的好产品。
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部