Allion Labs / Felix Kao

在物联网的世界,不分产业、不分产品大小等级;只要有连网功能,就可能在网络上遭受攻击,进而造成您个人财产损失甚至人身损失;而企业也将面临病毒蓄意攻击,导致中控主机当机、产线中断,蒙受金钱损失。因此,透过安全检测找出潜在风险与其威胁强度是厂商的当务之急。在「物联网中自由、便利与安全的恐怖三角关系,您选择了谁?」-上篇,百佳泰特别针对厂商「轻忽安全严重性」或是「不知该怎么选择方案」等种种的侥幸心态与不安,介绍了由百佳泰开发的一套快速有效、符合成本效益的「安全检测方案」,将依照物联网装置特性、潜在安全风险以及应用情境,来验证产品的风险等级,检视产品的安全漏洞,并提供完整安全报告让您有效加强安全弱点。

在了解我们的检测方案之后,现在,就透过我们安全专家来分享物联网装置的实测案例,让读者更加贴近百佳泰安全检测。

 

百佳泰安全实验室 智能灯泡案例分享

就算只是一个蓝牙灯泡,亦可能随时成为殭尸网络的一份子

本篇分享的测试案例待测物为支持蓝牙低功耗网络 (Bluetooth Low Energy Mesh)灯泡,可透过手机安装对应的App后由手机的控制接口操作灯泡,不仅仅控制开关,亦可与手机的镜头连动触发仿色功能,手机播放音乐时亦可设定为随着节奏随机跳色;在多人用户之间亦可指定权限或转移主控制权,连上云端之后可以透过IFTTT channel与语音助理设置连动,功能堪称相当完备。一个联机单纯且无直接上网的装置貌似安全,但若从安全检测角度仔细审视,潜在风险其实远比想象中高出许多。

首先,我们将灯泡的联机逻辑展开,从安全检测的角度来检视,实体装置共有三个,分别为灯泡、App载体(手机)以及云端数据库;而联机则可拆分为近端联机以及云端联机如下图示1:

图示1:资安网络联机架构

 

百佳泰的安全验证项目共有数十个项目,从测试结果得知,大部分的潜在风险竟来自于控制灯泡的APP(如下图2),相信这结果令大家感到十分意外吧!?言下之意,黑客可偷取强度较弱的APP软件密码,便可远程控制接口操作用户的智能灯泡,恣意开关灯泡装置,在不该开启的时候刻意浪费消耗电力。读者再想想,若是将灯泡换成监视商场的IP摄影机,黑客便可轻易关闭摄影机,而让盗窃者有机可趁。

图示2:安全报告弱点分析比重

另外,根据国际级的漏洞评鉴系统(CVSS: Common Vulnerability Scoring System)的条件来推估报告中每项测试的风险等级,测试的蓝牙灯泡装置竟存在7个具有中高风险程度以上的漏洞,风险等级为”4”(风险程度从0到4,由低至高),有较高的可能被黑客利用并且攻击,需要立即采取修正措施。

从报告结果我们可归纳出一个结论,并非只有物联装置才会有风险,在物联网的世界,不论是实体装置、APP软件、云端数据库或是传输联机,只要有安全漏洞,就极可能遭受攻击! 然而,消费者在第一时间总是将责任归咎于装置品牌厂商,并不会抱怨后端配合的相关厂商。事实上,装置品牌商配合的APP开发商、网络营运商以及云端服务器厂商,都应该需要做好安全防护措施,甚至应该有稽核检查表,挑选符合安全标准的厂商,并检视其安全能力!

 

导入开发阶段的 Software软件验证方案

如上一篇我们提及,「安全是一个风险控管的行为」,这如同人类每年需要定期做健康检查来评估掌控自身状况;而事实上,预防胜于治疗,安全软件开发周期始于产品设计,虽然产品设计时间导入安全会增加开发时间,但是事后修补所付出的成本反而越高且面临的风险也越大,因此识别产品所面临的威胁、评估风险、考虑安全需求及检视安全设计是在设计时间皆需要思考的;厂商于开发阶段时,透过白箱检测方式的源码静态涵式库分析,得以避免具安全风险的编程内容及避用不安全函式库等,以确保程序的安全性,百佳泰业软件实验室的开发团队,具备各项程序语法能力,能够站在“开发者”的角度设计测试案例,确保测试中的路径都可以被分析、执行,以提供开发人员程序代码优化的反馈。

图示3:白箱测试,又称透明盒测试,不同于黑箱测试验证软件的功能性,主要在测试应用程序的内部结构与运作

 

厂商除了在安全软件功能开发上需要投入相当时间与心力,另在整个物联网产品开发周期,包括在EVT、DVT阶段是否落实安全相关开发准则、MP前是否通过一道重要关卡「安全检测」等,实际测试产品是否存在安全漏洞,评估产品潜在风险,预先检视产品上线后所可能面临的资料安全攻击。厂商唯有厘清每一个环节可达到的安全程度,方为确保产品安全信心的最佳判定依据。

 

百佳泰的安全检测服务是物联网装置的神队友

百佳泰能够针对各产品特性及使用情境,提供快速有效、符合经济效益的安全检测方案,从物联网产品得五大连网架构-装置固件、装置控制APP、云端服务器、近端联机以及远程联机切入,提出适切的国际标准的安全风险检测,像是目前较知名的OWASP Top 10系列、IEC 62443系列等,透过网络安全测试项目,替您的产品做安全把关。百佳泰深知,若产品满足国际安全标准要求,更可明确彰显产品其安全保证等级。

对于大多数的制造商而言,信息安全必须防守的范围太大,其中最直接且有效的方式,是透过安全检测来宣告产品的隐私数据保护、完整性、以及可用性三大能力,此三大能力依据不同的应用情境会有不同的比重,例如:隐私数据在消费者市场相当重视,对于工业而言数据的完整性及可用性则需优先考虑;无论在何种使用情境,透过百佳泰的客制化安全检测服务,皆可忠实呈现产品在资料安全上的风险指标。