今年初,美国贸易委员会(FTC)指控,路由器大厂友讯(D-Link)生产的无线路由器及IP摄影机,可能因安全防护不足遭骇,导致美国消费者资讯隐私受侵害。去年华硕也遭提出类似告诉,后来已经和FTC达成和解,需改善产品并接受20年稽核。这样的事件,也看出美国政府对于消费者权益维护的重视。
近一年来,无线路由器安全的问题又引起极大注目,因为美国联邦贸易委员会(FTC)开始重视无线路由器的安全,台湾品牌业者华硕(Asus)与友讯(D-Link)相继遭控告并要求改善,其中华硕的法律诉讼已经达成和解,并以改善产品及接受20年稽核为条件,友讯部分则还在进行阶段。
这已经突显出,资安议题是各厂商是无法避免的挑战和考验,过去以低标準看待的作法需要转变,现在这已经是可能影响市场对于品牌信任度,甚至各个网路设备厂商都无法倖免的一件事。
对于消费者而言, FTC这样的举动也就是在维护使用者的权益,这也让大家关注到,如果你自己都没有去注意,问题怎幺有机会去解决,你怎幺能信任你所使用的无线路由器是安全的。
IoT发展浪潮下,无线路由器安全能否确保,更显重要
在物联网的发展趋势下,许多电子产品不仅是具有连网功能,并且是24小时不中断的运行,安全问题将是一大议题。而我们周遭生活环境中,确实已经有数不清的连网设备,不论是开启手机Wi-Fi就能看到一大堆的无线网路,还有像是常见的监控摄影机、NAS网路储存等网路设备,随着连网应用的扩大,更不论还有智慧电视、智慧冰箱等各式各样的产品。
在今年1月4日,FTC其实也发起了物联网家庭资安检查挑战赛(IoT Home Inspector Challenge),同时祭出了2.5万美元的奖励。目的是为了解决老旧的物联网装置存在的安全漏洞,提升物联网家庭资讯安全,期望能有一套工具或方案,能替家中网路及所有IoT装置进行检查与安装更新,以及协助变更物联装置所内建、出厂预设或任何简单的密码。
这也意味着,过去长期忽视的网路设备安全问题,我们应该以更高的要求来看待。儘管目前各式IoT方案与平台也不断在发展,但由于无线路由器提供对外连线的能力,因此,是否具备足够安全性成为现在的一大重要课题。毕竟,对应行动需求而生的无线网路,也是网际网路一大门户,这种无线的接入方式,比起有线网路更难以防範。
去年恶意程式Mirai掀起风波,根据趋势科技在2016年下半的统计,受感染的国家遍布全球,其中有3成受害装置在美国地区。由于Mirai可侦测网路上使用出厂预设凭证,或固定凭证的物联网装置,并植入恶意程式,藉此将无线路由器等IoT连网设备,变成殭尸网路共犯。
若不改善,可能遭受更大规模的法律诉讼,厂商该有所警惕
有人会觉得,为什幺是台湾网路设备厂商接连被控诉呢?已经达成和解的华硕表示,FTC是否仅针对台湾的路由器厂商,他们无法评论,但能确定的是,FTC开始重视IoT的安全性,因此各个IoT相关厂商都会变成FTC关注目标。
从现在的这些动作与迹象来看,各国政府为了保护消费者,网路安全防护的需求已经逐渐升高,可不要置身事外。同时,发生了像是FTC这样的法律控告事件,也带来一些后续影响及效果,使得更多业者也收到警惕之作用。
达友科技副总经理林皇兴表示,在他所接触到的企业与厂商之中,也确实感受到,他们决定要将FTC控告列入要考虑的风险之一,甚至这样的问题也有在公司董事会中发酵。对于企业风险而言,普遍还会注意到的是,过去会有个案被消费者团体集体诉讼的例子,强迫这些业者更重视安全,这在美国相当热门,儘管这样的状况在台湾比较难发生,但厂商销售产品通常都是在全球,因此仍然不容忽视。
为什幺无线路由器的资安问题会层出不穷?
但从根本来看,为何Wi-Fi路由器的资安问题会不断发生,令人感到忧心呢?不论是受到漏洞攻击的影响,还是因安全瑕疵被控诉,甚至连美国政府在近年都採取实际法律行动。到底为何我们看到无线路由器的资安事件不断发生?
介面设定预设的弱点
我们先从一些简单的问题来看,像是在无线路由器的设定管理时,后台管理介面预设的帐号和密码都是admin,或是管理者帐号是Admin,密码预设为0000或空白,这对于设定过一些无线路由器产品的使用者来说,可能并不陌生。由于这类传统设计上的作法一再延续,但这到底是不是个问题呢?
好处来说,当设备新买或还原预设值时,使用者即使不用说明书,凭着过去的经验也容易很快上手维护,相对而言,他人也很容易猜到这些设定,因此,普遍来说,就有一定的风险存在。
漏洞修补更新的弱点
更严重的问题在于,设备厂商是否积极维护产品的韧体,像是你知道你的无线路由器厂商,多久提供一次韧体更新吗?
对于设备厂商来说,并未妥善处理漏洞修补与通知的问题。例如,常会出现产品存在的漏洞已经被通报多时,却一直没有处理的状况,或是修补完也没有善尽通知用户的责任。
对于用户来说,这不就是设备厂商没有好好替消费者把关。
设备厂商的挑战
若从更大的产业面向来看,像是OEM代工生态,在过去商业模式中流行机海战术,因此一些厂商会将设备开出规格后,由不同厂商来竞争,但这类产品后续的安全维护的运行是否也有规画,这是否也可能造就现在无法适时处理安全漏洞的情况。
系统服务商的挑战
换一个角度来看,像是宽频业者提供的数据机,现在也结合Wi-Fi路由器功能,但这类设备的安全防护性也令人感到忧心,我们并不清楚业者与厂商,是否经常性地进行远端更新与维护。
使用者的心态更要调整
当然,使用者也不能都将问题推给厂商,使用者难道自己也没有一点责任吗?儘管设备有不易更新软体的问题,使用者容易因方便性考量,而採取不安全的简易设定,但自己也该积极做好管理设定,对自己的网路安全负责。
而且,对于不安全的产品,消费者其实也应该团结起来,强迫这些业者更重视安全。儘管国内比较难有消费者集体诉讼,但我们看到国内对于「灭顶」一事所採取的行动,已经反应出消费者对于食品安全意识型态的抬头,然而,在资讯安全方面,大多数人似乎是较为冷漠的看待。
也许有人认为这不是民生关注焦点,但我们更要想到的是,国内近期也在强调资安即国安、资安才是资讯国力的基础的问题,如果没有让一般人都将资安看成民生一样的重要,那我们的全民资安是否也只是空口白话、虚有其表。
政府应尽保护使用者的责任
再换个角度来看,难道台湾政府没有监管的责任?不论维护国内厂商权益,或者是同样要替本土与全球的顾客权益把关。相信,政府也不希望让全世界都有,台湾路由器产品不安全的印象。
在Wi-Fi安全相关议题上,还有一个面向是公用免费Wi-Fi的安全问题,像是根据网路设备厂商Xirrus在2016年公布的调查显示,已经有91%的人知道公共Wi-Fi并不安全,但也有89%的人还是会继续使用。这样的现象看起来很弔诡,但实际也就是如此,毕竟就是有连网的需求存在。如何让自己Wi-Fi上网更安全,是使用者也该面对的事。(资料来源/Xirrus,2016年10月)
厂商应强化产品资安品管,并积极提升对于后续漏洞问题的处理能力
一般而言,几乎各无线路由器厂商的产品,都曾爆出有各种漏洞或后门,因此设备厂商都会释出韧体更新版本,对应漏洞修补。若从FTC这几次控告的内容来看,主要在意的面向,应该是厂商没有积极处理后续安全的问题,让使用者蒙上更多安全阴影。
从资安的角度来看,林皇兴表示,厂商的产品研发过程当中,怎幺把安全纳入考虑,后续因应措施如何对应修补,以及又该如何通知用户,都是挑战。
像是设备厂商在开发流程中,是否要将资安列入研发循环的重要部分,例如原始码的检测,以及事后的渗透测试,对于非资安厂商而言,这一块本来就比较弱,一般要藉助外面第三方团队协助检测。
另外传统硬体设备厂商的思维,可能需要转变,需重视软体资安团队的培养。
还有就是,设备厂商是否要有专责的团队,在市场上做舆情监控,也是一个议题,不论是各漏洞揭发平台的资讯,或是用户的资讯反馈,越快能够掌握应变,也就越能即时即时修补。林皇兴也特别指出,像是现在的资安发展态势,就很强调蒐集资安情资。
但很可惜,我们看到现在资安厂商会联合起来,推动共通情资交换,但我们很少看到无线路由器厂商,会联合起来做这样的事情。
漏洞处理与反应速度
就目前的漏洞通报平台来看,国际上最具公信力的安全弱点披露与发布的标準协定是CVE,国内也有TWCERT。而各路由器厂商也有表示,业界目前常见作法是参考OWASP top 10、SANS 25以及CERT等平台上的案例再做内部修改,国外也有一个专门针对无线路由器安全的Router Security漏洞平台。另外,我们现在看到现在一些厂商的作法是,建立自己产品的漏洞通报平台,并以提供奖金为诱因,协助改善产品。
据我们与各设备厂商的一些了解,现在各厂商可能也都有一些对应的作法,但使用者可能更在意的是,厂商能否定期提供产品漏洞检测资讯,或是第三方的检测报告,甚至是一个详尽、易于检视的安全公告网站。
关于安全漏洞修补,瀚铼科技也指出,设备商通常会面临两种问题,一种是架构性的问题,通常影响範围较广,需要修补的时间较长,还要包含各项功能检测,效能评估等等;另一种是代码漏洞问题,通常可以在较短的时间内找到修复的方法。
当然,这其实也面对到,厂商在安全方面投入资源多寡的问题。对于系统安全性弱点的修补与处理积极的厂商,使用者才能够给予较多的信任。
面对无线路由器的种种资安问题,其实也让消费者可能感到头痛。趋势科技网路威胁防御技术部资深经理林悟生表示,一般会建议消费者,在购买无线路由器设备前,最好要检查一下产品推出时间,若是太旧的产品,后续支援力度可能会有疑虑,同时,最好能够探听一下,了解品牌厂商对安全的重视度与反应速度,以及在这方面的声誉如何。
安全的组态设定
至于像是使用者容易因方便性,而做出不安全设定的问题。这次访谈的厂商中,群晖软体开发部资深经理陈揆驩提到了介面设计思维改变这件事,是一个观点。像是可以强制用户在设置无线路由器时,一开始就要变更管理介面的帐号与密码,才能进行后续设定。
另外陈揆驩也举例,像是Wi-Fi无线网路的加密方式,传统作法可能都是空白,使用者若是拉开下拉选单,则可以看到WEP、WPA与WPA2等选项,现在多数作法则是,让预设选项就是安全性较高的WPA2。
另外,我们也就各式产品的操作经验来看,还有一些机制应该也是能够利用,像是密码强度检测机制,禁止使用者设定常见、太过简易的密码,还有像是提供协助使用者检测安全性设定的精灵,可引导使用者操作,或是在设定选项中增加易于理解的提醒说明。
当然,一些机制确实可能会让用户在设定步骤变多,或是感觉更複杂,在这样两难的情况之下,如何在安全与便利之间取得平衡,一直都是资安防护上的议题。但对消费者权益而言,其实更可以要求厂商提出更好的解决办法,避免使用者自己在不经意的情形下,做出不适当的设定。
若无法信任无线路由器的安全,各界现阶段可採行的补救措施
回到使用者的角度来看,对于无线网路安全的漠视,也是普遍常见的问题。以过去经验来看,通常只要设备的网路能够通,使用者多半就不会管路由器有没有问题。这也导致路由器的安全漏洞被曝光后,很难得到及时的修复,因此存在巨大的安全隐患。
一般而言,企业多半会有专门的网路管理人员,可以做好设备维护与监控,但对于一般使用者或中小企业来说,可能并不一定,许多人可能连定期检查、更新的概念与习惯都没有,但人人家中却几乎都有一台无线路由器。
使用者要採取必要的自保手段
不论是最基本的更改SSID、设定複杂度高的强式密码,还有管理介面帐号密码的修改,以及定期的硬体更新升级,或是更多进阶安全防护的管理设定,而这些都是使用者本身能做的事。
其中我们也特别关注,如何让使用者有更好的韧体维护升级方式呢?在厂商提供设备的漏洞修补韧体之外,另一面向就是使用者要能意识到,记得做好无线路由器的韧体更新。这样的现象存在已久,该如何有效去教育使用者呢?
厂商可提供App,改善通知及更新程序
面对这样的问题,林悟生也表示他们从去年开始注意到一个发展态势,现在不少网路设备厂商都在开发对应无线路由器的行动App,这对于韧体升级的通知与更新,应该能带来一些帮助,甚至当有触发攻击事件,也能藉由App来警示使用者。确实,App的应用对于使用者来说,会比传统网页介面操作更直觉一些,也许能够带来更好的帮助。
业者应主动提供加值安全防护功能
另外,就趋势科技的观察,现在国外网路宽频服务业者也会提供一些防护专案,除了业者本身后端都有对应的安全机制,也会在路由器上增加安全功能,这样的需求应该也会慢慢带进台湾。
政府从法规面要求祭出重罚
早期过去很多购物网站都有资料外洩问题,但受到重罚的例子并不多见。确实,台湾本身连资安法都还在进行中,因此现阶段还很难以此吓阻。
即便如此,为了保障消费者权益,而惩处失职业者,仍不失为有效手段。像是经济部工业局、国家通讯传播委员会(NCC)等机构,理应推动更具体的管制措施,让整体产业能更受到信赖。
?近期无线路由器安全大事记?
2017年1月 美国贸易委员会控告路由器大厂友讯生产的无线路由器及IP摄影机,因安全防护不足可能遭骇,导致美国消费者资讯隐私受到侵害。
2016年12月 Netgear无线路由器缺陷影响旗下11款机型,该公司在数天后即发布紧急安全性通知。
2016年9月 D-Link安全漏洞影响超过120款产品,其中也包含无线路由器产品。同时,该公司的DWR-932 B产品遭爆出有约20个安全漏洞。
2016年7月 TP-LINK爆出域名没有续租而遭他人注册的纰漏,使得原本提供用户进入tplinklogin.net或tplinkextender.net进行路由器设置的作法,出现问题。
2016年4月 广达(Quanta) 4G LTE、Wi-Fi路由器遭爆出一系列的安全弱点与漏洞,其中不少被认为是不应该犯的错误。
2016年2月 美国贸易委员会控告华硕生产的无线路由器、个人云服务,因安全缺陷,未适时处理相关安全弱点并告知用户产品潜藏的安全风险,最终华硕愿受20年稽核换取和解。
资料来源:iThome整理,2017年3月
?
?相关报导 「无线路由器安全问题浮上台面,该是面对的时候!」
I 相关 / Other
交通部台湾铁路管理自1995年9月以来,票价从未调整。原本行政院曾于2007年核定票价调整方案,不过随即遇到金融风暴,因此并未实施。转眼又过了10年,台铁至今依然维持20多年前的票价,也导致台铁员工薪资无法提升,
文化部今天说,影视及流行音乐产业局将全面检视有料音乐相关案件暨104年流行音乐产业促进计画获补助案,检讨流行音乐奖补助措施及查核机制,建立举报事项标准作业流程。乐团茄子蛋日前在社群网站脸书指出,有料音乐有
托育孩童致死案件层出不穷,有立委呼吁全面检讨“居家式托育保母管理制度”,对不适任保母建立更明确的标准。对此,卫福部社家署今天(20日)表示,针对初次收托的保母,1年将访视4次;收托1年以上的保母,1年访视1次,
2017世界棒球经典赛开打,台湾迎战以色列、荷兰双双失利,无缘再晋级复赛。艺人孙协志昨晚在脸书呼吁勇于面对、彻底改革,而不要每次都只是口头检讨,却拿不出无实质作为。孙协志盼球队“勇敢接受,勇于面对,该改变
上个月发生的蝶恋花赏樱团国道翻车事故,引发各界对于游览车安全的讨论。民进党立委陈曼丽今天(3日)举行记者会,要求长期采畸形靠行制度经营的运输业,应作执法上的检讨。陈曼丽表示,交通部日前公布连续两期评鉴优