无线网络安全问题时有所闻,许多路由器设备厂商仍抱着消极态度,始终没有好好面对,甚至连美国政府都开始控告无线路由器厂商要求改善,到底有哪些以往可能就被忽略的问题,需要注意呢?
今年初,美国贸易委员会(FTC)指控,路由器大厂友讯(D-Link)生产的无线路由器及IP摄影机,可能因安全防护不足遭骇,导致美国消费者信息隐私受侵害。 去年华硕也遭提出类似告诉,后来已经和FTC达成和解,需改善产品并接受20年稽核。 这样的事件,也看出美国政府对于消费者权益维护的重视。
近一年来,无线路由器安全的问题又引起极大注目,因为美国联邦贸易委员会(FTC)开始重视无线路由器的安全,台湾品牌业者华硕(Asus)与友讯(D-Link)相继遭控告并要求改善,其中华硕的法律诉讼已经达成和解,并以改善产品及接受20年稽核为条件,友讯部分则还在进行阶段。
这已经突显出,资安议题是各厂商是无法避免的挑战和考验,过去以低标准看待的作法需要转变,现在这已经是可能影响市场对于品牌信任度,甚至各个网络设备厂商都无法幸免的一件事。
对于消费者而言, FTC这样的举动也就是在维护用户的权益,这也让大家关注到,如果你自己都没有去注意,问题怎么有机会去解决,你怎么能信任你所使用的无线路由器是安全的。
IoT发展浪潮下,无线路由器安全能否确保,更显重要
在物联网的发展趋势下,许多电子产品不仅是具有连网功能,并且是24小时不中断的运行,安全问题将是一大议题。 而我们周遭生活环境中,确实已经有数不清的连网设备,不论是开启手机Wi-Fi就能看到一大堆的无线网络,还有像是常见的监控摄影机、NAS网络储存等网络设备,随着连网应用的扩大,更不论还有智能电视、智能冰箱等各式各样的产品。
在今年1月4日,FTC其实也发起了物联网家庭资安检查挑战赛(IoT Home Inspector Challenge),同时祭出了2.5万美元的奖励。 目的是为了解决老旧的物联网装置存在的安全漏洞,提升物联网家庭信息安全,期望能有一套工具或方案,能替家中网络及所有IoT装置进行检查与安装更新,以及协助变更物联装置所内建、出厂默认或任何简单的密码。
这也意味着,过去长期忽视的网络设备安全问题,我们应该以更高的要求来看待。 尽管目前各式IoT方案与平台也不断在发展,但由于无线路由器提供对外联机的能力,因此,是否具备足够安全性成为现在的一大重要课题。 毕竟,对应行动需求而生的无线网络,也是因特网一大门户,这种无线的接入方式,比起有线网络更难以防范。
去年恶意软件Mirai掀起风波,根据趋势科技在2016年下半的统计,受感染的国家遍布全球,其中有3成受害装置在美国地区。 由于Mirai可侦测网络上使用出厂默认凭证,或固定凭证的物联网装置,并植入恶意软件,藉此将无线路由器等IoT连网设备,变成殭尸网络共犯。
若不改善,可能遭受更大规模的法律诉讼,厂商该有所警惕
有人会觉得,为什么是台湾网络设备厂商接连被控诉呢? 已经达成和解的华硕表示,FTC是否仅针对台湾的路由器厂商,他们无法评论,但能确定的是,FTC开始重视IoT的安全性,因此各个IoT相关厂商都会变成FTC关注目标。
从现在的这些动作与迹象来看,各国政府为了保护消费者,网络安全防护的需求已经逐渐升高,可不要置身事外。 同时,发生了像是FTC这样的法律控告事件,也带来一些后续影响及效果,使得更多业者也收到警惕之作用。
达友科技副总经理林皇兴表示,在他所接触到的企业与厂商之中,也确实感受到,他们决定要将FTC控告列入要考虑的风险之一,甚至这样的问题也有在公司董事会中发酵。 对于企业风险而言,普遍还会注意到的是,过去会有个案被消费者团体集体诉讼的例子,强迫这些业者更重视安全,这在美国相当热门,尽管这样的状况在台湾比较难发生,但厂商销售产品通常都是在全球,因此仍然不容忽视。
为什么无线路由器的资安问题会层出不穷?
但从根本来看,为何Wi-Fi路由器的资安问题会不断发生,令人感到忧心呢? 不论是受到漏洞攻击的影响,还是因安全瑕疵被控诉,甚至连美国政府在近年都采取实际法律行动。 到底为何我们看到无线路由器的资安事件不断发生?
接口设定默认的弱点
我们先从一些简单的问题来看,像是在无线路由器的设定管理时,后台管理接口默认的账号和密码都是admin,或是管理者账号是Admin,密码默认为0000或空白,这对于设定过一些无线路由器产品的用户来说,可能并不陌生。 由于这类传统设计上的作法一再延续,但这到底是不是个问题呢?
好处来说,当设备新买或还原默认值时,用户即使不用说明书,凭着过去的经验也容易很快上手维护,相对而言,他人也很容易猜到这些设定,因此,普遍来说,就有一定的风险存在。
漏洞修补更新的弱点
更严重的问题在于,设备厂商是否积极维护产品的韧体,像是你知道你的无线路由器厂商,多久提供一次韧体更新吗?
对于设备厂商来说,并未妥善处理漏洞修补与通知的问题。 例如,常会出现产品存在的漏洞已经被通报多时,却一直没有处理的状况,或是修补完也没有善尽通知用户的责任。
对于用户来说,这不就是设备厂商没有好好替消费者把关。
设备厂商的挑战
若从更大的产业面向来看,像是OEM代工生态,在过去商业模式中流行机海战术,因此一些厂商会将设备开出规格后,由不同厂商来竞争,但这类产品后续的安全维护的运行是否也有规画,这是否也可能造就现在无法适时处理安全漏洞的情况。
系统服务商的挑战
换一个角度来看,像是宽带业者提供的调制解调器,现在也结合Wi-Fi路由器功能,但这类设备的安全防护性也令人感到忧心,我们并不清楚业者与厂商,是否经常性地进行远程更新与维护。
用户的心态更要调整
当然,用户也不能都将问题推给厂商,用户难道自己也没有一点责任吗? 尽管设备有不易更新软件的问题,用户容易因方便性考虑,而采取不安全的简易设定,但自己也该积极做好管理设定,对自己的网络安全负责。
而且,对于不安全的产品,消费者其实也应该团结起来,强迫这些业者更重视安全。 尽管国内比较难有消费者集体诉讼,但我们看到国内对于「灭顶」一事所采取的行动,已经反应出消费者对于食品安全意识型态的抬头,然而,在信息安全方面,大多数人似乎是较为冷漠的看待。
也许有人认为这不是民生关注焦点,但我们更要想到的是,国内近期也在强调资安即国安、资安才是信息国力的基础的问题,如果没有让一般人都将资安看成民生一样的重要,那我们的全民资安是否也只是空口白话、虚有其表。
政府应尽保护用户的责任
再换个角度来看,难道台湾政府没有监管的责任? 不论维护国内厂商权益,或者是同样要替本土与全球的顾客权益把关。 相信,政府也不希望让全世界都有,台湾路由器产品不安全的印象。
在Wi-Fi安全相关议题上,还有一个面向是公用免费Wi-Fi的安全问题,像是根据网络设备厂商Xirrus在2016年公布的调查显示,已经有91%的人知道公共Wi-Fi并不安全,但也有89%的人还是会继续使用。 这样的现象看起来很吊诡,但实际也就是如此,毕竟就是有连网的需求存在。 如何让自己Wi-Fi上网更安全,是用户也该面对的事。 (数据源/Xirrus,2016年10月)
厂商应强化产品资安品管,并积极提升对于后续漏洞问题的处理能力
一般而言,几乎各无线路由器厂商的产品,都曾爆出有各种漏洞或后门,因此设备厂商都会释出韧体更新版本,对应漏洞修补。 若从FTC这几次控告的内容来看,主要在意的面向,应该是厂商没有积极处理后续安全的问题,让用户蒙上更多安全阴影。
从资安的角度来看,林皇兴表示,厂商的产品研发过程当中,怎么把安全纳入考虑,后续因应措施如何对应修补,以及又该如何通知用户,都是挑战。
像是设备厂商在开发流程中,是否要将资安列入研发循环的重要部分,例如原始码的检测,以及事后的渗透测试,对于非资安厂商而言,这一块本来就比较弱,一般要藉助外面第三方团队协助检测。
另外传统硬设备厂商的思维,可能需要转变,需重视软件资安团队的培养。
还有就是,设备厂商是否要有专责的团队,在市场上做舆情监控,也是一个议题,不论是各漏洞揭发平台的信息,或是用户的信息反馈,越快能够掌握应变,也就越能实时实时修补。 林皇兴也特别指出,像是现在的资安发展态势,就很强调搜集资安情资。
但很可惜,我们看到现在资安厂商会联合起来,推动共通情资交换,但我们很少看到无线路由器厂商,会联合起来做这样的事情。
漏洞处理与反应速度
就目前的漏洞通报平台来看,国际上最具公信力的安全弱点披露与发布的标准协议是CVE,国内也有TWCERT。 而各路由器厂商也有表示,业界目前常见作法是参考OWASP top 10、SANS 25以及CERT等平台上的案例再做内部修改,国外也有一个专门针对无线路由器安全的Router Security漏洞平台。 另外,我们现在看到现在一些厂商的作法是,建立自己产品的漏洞通报平台,并以提供奖金为诱因,协助改善产品。
据我们与各设备厂商的一些了解,现在各厂商可能也都有一些对应的作法,但用户可能更在意的是,厂商能否定期提供产品漏洞检测信息,或是第三方的检测报告,甚至是一个详尽、易于检视的安全公告网站。
关于安全漏洞修补,瀚铼科技也指出,设备商通常会面临两种问题,一种是架构性的问题,通常影响范围较广,需要修补的时间较长,还要包含各项功能检测,效能评估等等;另一种是代码漏洞问题,通常可以在较短的时间内找到修复的方法。
当然,这其实也面对到,厂商在安全方面投入资源多寡的问题。 对于系统安全性弱点的修补与处理积极的厂商,用户才能够给予较多的信任。
面对无线路由器的种种资安问题,其实也让消费者可能感到头痛。 趋势科技网络威胁防御技术部资深经理林悟生表示,一般会建议消费者,在购买无线路由器设备前,最好要检查一下产品推出时间,若是太旧的产品,后续支持力度可能会有疑虑,同时,最好能够探听一下,了解品牌厂商对安全的重视度与反应速度,以及在这方面的声誉如何。
安全的组态设定
至于像是用户容易因方便性,而做出不安全设定的问题。 这次访谈的厂商中,群晖软件开发部资深经理陈揆驩提到了接口设计思维改变这件事,是一个观点。 像是可以强制用户在设置无线路由器时,一开始就要变更管理接口的账号与密码,才能进行后续设定。
另外陈揆驩也举例,像是Wi-Fi无线网络的加密方式,传统作法可能都是空白,用户若是拉开下拉选单,则可以看到WEP、 WPA与WPA2等选项,现在多数作法则是,让默认选项就是安全性较高的WPA2。
另外,我们也就各式产品的操作经验来看,还有一些机制应该也是能够利用,像是密码强度检测机制,禁止用户设定常见、太过简易的密码,还有像是提供协助用户检测安全性设定的精灵,可引导用户操作,或是在设定选项中增加易于理解的提醒说明。
当然,一些机制确实可能会让用户在设定步骤变多,或是感觉更复杂,在这样两难的情况之下,如何在安全与便利之间取得平衡,一直都是资安防护上的议题。 但对消费者权益而言,其实更可以要求厂商提出更好的解决办法,避免用户自己在不经意的情形下,做出不适当的设定。
若无法信任无线路由器的安全,各界现阶段可实行的补救措施
回到用户的角度来看,对于无线网络安全的漠视,也是普遍常见的问题。 以过去经验来看,通常只要设备的网络能够通,用户多半就不会管路由器有没有问题。 这也导致路由器的安全漏洞被曝光后,很难得到及时的修复,因此存在巨大的安全隐患。
一般而言,企业多半会有专门的网络管理人员,可以做好设备维护与监控,但对于一般用户或中小企业来说,可能并不一定,许多人可能连定期检查、更新的概念与习惯都没有,但人人家中却几乎都有一台无线路由器。
用户要采取必要的自保手段
不论是最基本的更改SSID、设定复杂度高的强密码,还有管理接口账号密码的修改,以及定期的硬件更新升级,或是更多进阶安全防护的管理设定,而这些都是用户本身能做的事。
其中我们也特别关注,如何让用户有更好的韧体维护升级方式呢? 在厂商提供设备的漏洞修补韧体之外,另一面向就是用户要能意识到,记得做好无线路由器的韧体更新。 这样的现象存在已久,该如何有效去教育用户呢?
厂商可提供App,改善通知及更新程序
面对这样的问题,林悟生也表示他们从去年开始注意到一个发展态势,现在不少网络设备厂商都在开发对应无线路由器的行动App,这对于韧体升级的通知与更新,应该能带来一些帮助,甚至当有触发攻击事件,也能藉由App来警示用户。 确实,App的应用对于用户来说,会比传统网页接口操作更直觉一些,也许能够带来更好的帮助。
业者应主动提供加值安全防护功能
另外,就趋势科技的观察,现在国外网络宽带服务业者也会提供一些防护项目,除了业者本身后端都有对应的安全机制,也会在路由器上增加安全功能,这样的需求应该也会慢慢带进台湾。
政府从法规面要求祭出重罚
早期过去很多购物网站都有数据外泄问题,但受到重罚的例子并不多见。 确实,台湾本身连资安法都还在进行中,因此现阶段还很难以此吓阻。
即便如此,为了保障消费者权益,而惩处失职业者,仍不失为有效手段。 像是经济部工业局、国家通讯传播委员会(NCC)等机构,理应推动更具体的管制措施,让整体产业能更受到信赖。
近期无线路由器安全大事记
2017年1月 美国贸易委员会控告路由器大厂友讯生产的无线路由器及IP摄影机,因安全防护不足可能遭骇,导致美国消费者信息隐私受到侵害。
2016年12月 Netgear无线路由器缺陷影响旗下11款机型,该公司在数天后即发布紧急安全性通知。
2016年9月 D-Link安全漏洞影响超过120款产品,其中也包含无线路由器产品。 同时,该公司的DWR-932 B产品遭爆出有约20个安全漏洞。
2016年7月 TP-LINK爆出域名没有续租而遭他人注册的纰漏,使得原本提供用户进入tplinklogin.net或tplinkextender.net进行路由器设置的作法,出现问题。
2016年4月 广达(Quanta) 4G LTE、Wi-Fi路由器遭爆出一系列的安全弱点与漏洞,其中不少被认为是不应该犯的错误。
2016年2月 美国贸易委员会控告华硕生产的无线路由器、个人云服务,因安全缺陷,未适时处理相关安全弱点并告知用户产品潜藏的安全风险,最终华硕愿受20年稽核换取和解。
上一篇:台积电7nm预定下半年试产明年第1季量产
下一篇:各类芯片狂飙,智能机不涨不行了
推荐阅读最新更新时间:2024-05-03 16:17
- 消息称苹果、三星超薄高密度电池均开发失败,iPhone 17 Air、Galaxy S25 Slim手机“变厚”
- 美光亮相2024年进博会,持续深耕中国市场,引领可持续发展
- Qorvo:创新技术引领下一代移动产业
- BOE独供努比亚和红魔旗舰新品 全新一代屏下显示技术引领行业迈入真全面屏时代
- OPPO与香港理工大学续约合作 升级创新研究中心,拓展AI影像新边界
- 古尔曼:Vision Pro 将升级芯片,苹果还考虑推出与 iPhone 连接的眼镜
- 汇顶助力,一加13新十年首款旗舰全方位实现“样样超Pro”
- 汇顶科技助力iQOO 13打造电竞性能旗舰新体验
- BOE(京东方)全新一代发光器件赋能iQOO 13 全面引领柔性显示行业性能新高度
- ADI有奖下载活动之12 ADI基于视觉的占用检测解决方案
- 直播已结束【解锁 TI Sitara AM2x MCU 在电机驱动中的新可能】
- 福禄克有奖直播|数据采集器的基础知识及其应用和校准
- 下载Mentor白皮书,迎接电路板与晶片日益复杂的设计挑战,还有好礼相送哟!
- 你眼中的TI DSP有多么的与众不同?
- 【EE团】超低价接近感应传感器开发套件火爆开团!!!
- 阅读是德科技 Power Supply、汽车电子精彩专题,让您的设计更精准!参与答题赢好礼!
- 免费申请评测:1.3元起的国产USB和Touchkey单片机CH554评估板
- 【有奖下载】英飞凌《时尚小家电功率器选型指南》,详解兼具强大功能与潮流款式的小家电设计!