https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

軟體開發安全燒到嵌入式 裝置管理未來大重點

2012 / 06 / 19
吳依恂
軟體開發安全燒到嵌入式 裝置管理未來大重點

行動裝置製造商Ericsson曾預言,到了2020年,全球將會有500億台行動裝置連網。這當然不只是時髦的智慧型手機、平板電腦,甚至還包括了印表機、遊戲機、攝影機和機上盒(STB, Set-Top Box)等這類的消費性嵌入式設備,更別提影響層面更深的工業控制器、通信集線器、醫療設備、收銀系統等。

嵌入式裝置更多應用 連網連上安全隱憂

根據維基百科的解釋,嵌入式系統的設計多半是帶有特種目的,將軟、硬體包成套進行特定任務,所以嵌入式系統的核心通常由一個或幾個預先編程的微處理器或微控制器組成,跟一般的運算軟體不同,而嵌入式系統上的軟體多是暫時不變,所以常被稱為「韌體」。隨著目前嵌入式裝置的擴充性增高,例如以前被當作記事本使用的PDA,這類的手持裝置開始慢慢轉變成智慧型手機、Netbook、平板電腦等多種樣態及功能的連網裝置,從前只有高階商用印表機才有乙太網路孔,現在低階印表機可能都有網路功能。部分的嵌入式設備定義開始模糊,其面臨到的資安威脅也隨著連網而提高。

如果從消費性電子來看,受害者可能除了是終端的消費者以外,還有可能是付費電視的內容供應商,當然也會造成遊戲光碟、電子書的盜版,更甚者近年也有台灣遊戲機直接遭到山寨仿冒,而光是硬體鎖也已經無法防範,還必須考慮到軟硬體元件、系統、管理等多種面向,儼然已是另外一種新型態的資安威脅。就在上個月,某家廠商的AP Router就被發現有漏洞,然而,這就像微軟的漏洞定期通報一樣,資安專家說,這已是常態,幾乎每家難免都會有漏洞。

為了要提供更多的服務,必須透過連網功能,將資料送到遠端的設備上,因此也產生遠端遙控需求,而如上所述,嵌入式設備使用的都是專用系統,因此在過去連網需求不頻繁時,更是少有人想到要去修補漏洞、防範入侵。而近年來隨著企業內部的資料交換也越來越頻繁,工業系統也逐漸跟外面的世界搭上線,即使不被駭客入侵、受控制,讓工業系統癱瘓也會造成相當大的危害。

對於類似的PC來說,破解韌體並不是非常困難的事,資安專家王大寶說,由於PC的架構相對於封閉的嵌入式系統是開放式的,幾乎所有的知識皆可輕易取得,加上現今反組譯和逆向工程技術的發達,使得破解PC的韌體可以說是易如反掌。也因為如此,最近對於如何保護系統最後一道防線的韌體就變成了很熱門的課題,例如NIST就訂定了(NIST-SP800-147-April2011) http://csrc.nist.gov/publications/nistpubs/800-147/NIST-SP800-147-April2011.pdf 建議系統廠商如何保護PC韌體的安全。目前最常見的方法應該就是在建制韌體的時候加上一道認證的機制,然後用同樣的機制在更新韌體時確保韌體來源是可信賴的,當然PC系統也必須提供硬體的保護以防止駭客繞過認證的檢查達成其目的。相關的硬體保護一般是在晶片組中加上鎖住韌體儲存媒介的匯流排,如此就可以避免像是CIH這類的病毒直接存取韌體儲存媒介。

嵌入式安全相關新聞列表

時間點 事件 備註
2011.11
28th CCC德國 駭客年會
HP系列的印表機被發現有漏洞,可被駭客入侵。 Firmware更新時不需經數位簽章,驗證過程薄弱可被取代,造成Firmware可被遠端存取覆蓋。
2011.10歐洲某一電腦系統 發現Duqu病毒,為Stuxnet變種病毒。 具有有效可被利用的數位憑證
2011. Black Hat

-可用3G通訊網路遠端攻擊,解除汽車警報、發動汽車。

-破解、攻擊糖尿病人的血糖檢測儀器、胰島素注射設備。

-路由器的破解,針對OSPF(Open Shortest Path First)協定提出新攻擊手法。

利用手機傳送文字簡訊,就可觸發攻擊。

可擅改數據,危及病人性命。

對網路安全造成危害。

2010.12
27th CCC駭客大會
fail0verflow團隊成功展示突破Sony遊戲機PS3諸多安全系統設計,改機迷大改特改。 Sony主機破解,消費者得以在其上使用盜版遊戲。
2010.9 伊朗核電廠受到Stuxnet蠕蟲感染。 西門子的自動化生產與控制(SCADA)系統被Stuxnet透過Windows漏洞進入。
2010.2 Black Hat Tarnovsky發表破解TPM模組。包括使用這類晶片的衛星電視設備、微軟遊戲機Xbox 360等都可能被破解,可用來竊取衛星電視訊號,可「免費」製造遊戲機相容的周邊配備卻不用付權利金。 TPM模組(Trusted Platform Modul)是軟、硬體搭配運作,需要使用液態化學和氣體的技術,難度頗高,不是一般人可破解。
2009 俄羅斯 2009年初,ATM廠商Diebold更新其Windows CE修補程式,駭客趁機插入惡意軟體取代,對位於俄羅斯的ATM設備發出攻擊。 因為嵌入式系統安全性未受重視,所以利用ATM嵌入式操作系統漏洞比起攻擊銀行後台,難度相對容易。
2007 發現全球第一個遊戲機病毒PSP殺手(Hack.Exploit.PSPBRICK.a),冒充PSP 3.10版作業系統的破解程式,病毒會刪除PSP的4個重要系統檔,造成系統完全崩潰。 偽裝破解遊戲機程式,破壞使用終端系統。

 

軟體開發安全回歸源頭-資安意識

對一般的軟體開發工程師來說,多有專案時程的壓力,因此開發軟體也是務求功能至上。合勤企業網路事業處技術總監吳俊德表示,除了資安廠商對軟體開發安全的會比較重視,業界理的軟體開發人才多半都沒有資安sense,只求在時程內完成功能而已,一般從學校畢業的學生,學過相關課程也多是選修的密碼學,談不上資安,多是公司自己訓練所謂相關的安全軟體開發訓練。並且因為現今的IT環境需求,設備被要求要推陳出新的快、又要價格便宜,所以廠商幾乎都選擇採用開放源碼來開發產品,另外一方面也是能夠配合社群聯合力量加速產品開發。

 

如何將資安融入開發流程,是成本與風險的權衡學問。左起,合勤企業網路事業處技術總監吳俊德、行銷經理林采樺。

 

但這也造成了近年來越來越多的資安攻擊是針對設備來。吳俊德說, 主要是因為過去都是封閉式環境,現在採用open source後,如果被某駭客發現某個套裝程式碼有問題,就可以用在很多地方,尤其是一些有許多用戶的知名品牌,可能會在某些產品的相同系列型號都有類似的漏洞問題。因此國外有些產品都會送檢測共同準則(CC, Common Criteria),而目前NCC也正在草擬台灣的CC版本。

吳俊德說,合勤對於整個開發流程的安全性,亦是不斷持續改進,但每個公司都有不同的開發方式,差別很大。國際間雖然有些軟體安全開發建議,但是否遵循,則是看各公司對於法規遵循與成本考量間的權衡。同樣的,要採用方便又低成本的open source是一種趨勢,但是可能會帶來新的資安成本,是否要走回頭路?有些中小設備開發商,會用一些比較新、比較快的開發工具,快速達成任務,卻可能沒有滲透測試工具(Penetration Test)可以用,於是PT速度跟不上新工具開發的速度,可能就有一定的風險存在,而較有資安意識的公司則可能會規範一定要使用能被檢測的開發工具。

提升軟體開發安全建議:
a. 可以多到一些論壇、CERT、HIT等研討會,獲取資安漏洞的訊息。
b. 注意版本更新。
c. 看到別家公司被攻擊,情況類似可以拿來做為參考。
d. 開發流程的透明度。
e. 送第三方組織測試。

建立安全開發流程、稽核制度

具有資安研究背景的Canonical軟體工程師蔡志展則認為,使用開放原始碼倒不一定與資訊安全與否劃上等號,open source的好處在於促成資訊散佈更快,眾人取得資訊的管道多學習速度也快。但這並不一定與資安直接關聯,安全與否比較是與專業與否相關,並且越多人知道也等於越多人能夠找出可能的漏洞,並且得以立即修補更新。他認為要達到軟體開發安全的目的,可以透過一些安全規格的規範與機制來達成,但這背後當然都會影響到整個開發流程、組織。所以關鍵點還是回到源頭-是否具備資安意識。而這通常都是軍方或是政府單位,才會對安全規格有所規範,或是廠商發現到安全漏洞付出太多的售後服務成本,才會回過頭來改善。 



 

 
Canonical軟體工程師蔡志展說,近來越來越多的嵌入式設備可被網路存取,因此需多加關注遠端存取、遠端管理的問題。

 

而許多嵌入式系統的作業系統都很龐大,是由許多不同的元件組合而成,元件設計的各廠家,其軟體開發安全程度自然也都不同,這也造成了控管上的問題。從Kernel、Library、debug tool等,要整合程式碼會用到許多元件與軟體,蔡志展說,通常廠商會有一套系統來做軟體版權、版本的管理,一方面是避免侵權(例如手機廠商之間的專利權官司),一方面也是確保所使用的軟體與元件都有最新的版本,確保已更新,隨時掌握產品可能出現的風險。

上述的軟體管理列表系統是最基礎的管理,台灣許多廠商已經都逐步建立起。更進階的,還有Code Review、稽核制度等,例如除了使用自動化工具檢測以外,一個工程師寫完程式後,會有第二個工程師進行檢查等。蔡志展說,由於這方面的成本跟制度比較不容易做到,台灣少有廠商達成。

裝置到裝置風險性增加 安全受矚目

此外,近兩年來,國外也開始出現單一裝置認證(Unique device authentication)的應用,SafeNet亞太區副總裁陳泓說,例如做遊戲機設備的廠商,對每台遊戲機也內建裝置識別,方便後續的遊戲軟體銷售,確認是本人網路下單付錢; 也有的客戶是在硬碟裝置上安裝晶片識別碼,方便之後做追蹤管理;其他案例像是,印表機廠商在墨盒上面安裝晶片,讓印表機藉以感應辨識是否為原廠墨水盒。蔡志展認為,這也比過去僅用帳號、密碼來做認證安全多了。

McAfee台灣暨香港區總經理葉精良表示,IPv6的時代已經來臨,將來只要跟IP相關的裝置,都是需要防護的端點,未來的商機將會在於物聯網。也就是說,在未來物聯網的世界裡,裝置與裝置之間的溝通,可能都要靠安全晶片來確保。

Intel於2010年以76億美元買下資安大廠McAfee後(詳見「軟硬兼施」 Intel砸76.8億美金買McAfeehttp://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5863),拓展其主導的PC、伺服器運算市場,並且串連越來越多的連網裝置安全防護,例如金融業的ATM提款設備,目前ATM所遭受的攻擊多半來自於網路,而且與網路銀行不同的是,要對實體ATM進行漏洞修補及監控,其所付出的成本將會太高。所以Intel也在嵌入式平台上整合安全功能,為嵌入式裝置提供安全防護,例如之前McAfee也與NCR合作,在ATM提款機中提供安全管理技術Solidcore Suite for APTRA,確保內部憑證資料不可被輕易的修改、刪除或取代。蔡志展也說,例如生產線系統或ATM這類工業應用嵌入式系統過去也多為Wintel架構,Intel若從此處著手拓展其競爭力是相當合理的推測。Intel亞太區技術行銷服務事業群產品行銷經理盧進忠也說,Intel的安全晶片推動在台灣也已多年,儘管其功能多達二、三十項,但7年來仍以簡化介面、系統設定為主,協助廠商開發如資產管理、遠端存取控制、網路控管等,著重在管理為主,接下來與McAfee的合作將會更加強化安全方面的進展。

裝置大戰看來只會越燒越熱,並且來的速度超乎想像,就像iOS裝置當初突然襲捲你我生活圈一樣。如果設備開發廠商還不能體認到這點,提升軟體開發安全,到時候恐怕只有做不完的售後服務,或許還要背上資料外洩的罪名!