今年初,美國貿易委員會(FTC)指控,路由器大廠友訊(D-Link)生產的無線路由器及IP攝影機,可能因安全防護不足遭駭,導致美國消費者資訊隱私受侵害。去年華碩也遭提出類似告訴,後來已經和FTC達成和解,需改善產品並接受20年稽核。這樣的事件,也看出美國政府對於消費者權益維護的重視。

近一年來,無線路由器安全的問題又引起極大注目,因為美國聯邦貿易委員會(FTC)開始重視無線路由器的安全,臺灣品牌業者華碩(Asus)與友訊(D-Link)相繼遭控告並要求改善,其中華碩的法律訴訟已經達成和解,並以改善產品及接受20年稽核為條件,友訊部分則還在進行階段。

這已經突顯出,資安議題是各廠商是無法避免的挑戰和考驗,過去以低標準看待的作法需要轉變,現在這已經是可能影響市場對於品牌信任度,甚至各個網路設備廠商都無法倖免的一件事。

對於消費者而言, FTC這樣的舉動也就是在維護使用者的權益,這也讓大家關注到,如果你自己都沒有去注意,問題怎麼有機會去解決,你怎麼能信任你所使用的無線路由器是安全的。

IoT發展浪潮下,無線路由器安全能否確保,更顯重要

在物聯網的發展趨勢下,許多電子產品不僅是具有連網功能,並且是24小時不中斷的運行,安全問題將是一大議題。而我們周遭生活環境中,確實已經有數不清的連網設備,不論是開啟手機Wi-Fi就能看到一大堆的無線網路,還有像是常見的監控攝影機、NAS網路儲存等網路設備,隨著連網應用的擴大,更不論還有智慧電視、智慧冰箱等各式各樣的產品。

在今年1月4日,FTC其實也發起了物聯網家庭資安檢查挑戰賽(IoT Home Inspector Challenge),同時祭出了2.5萬美元的獎勵。目的是為了解決老舊的物聯網裝置存在的安全漏洞,提升物聯網家庭資訊安全,期望能有一套工具或方案,能替家中網路及所有IoT裝置進行檢查與安裝更新,以及協助變更物聯裝置所內建、出廠預設或任何簡單的密碼。

這也意味著,過去長期忽視的網路設備安全問題,我們應該以更高的要求來看待。儘管目前各式IoT方案與平臺也不斷在發展,但由於無線路由器提供對外連線的能力,因此,是否具備足夠安全性成為現在的一大重要課題。畢竟,對應行動需求而生的無線網路,也是網際網路一大門戶,這種無線的接入方式,比起有線網路更難以防範。

去年惡意程式Mirai掀起風波,根據趨勢科技在2016年下半的統計,受感染的國家遍佈全球,其中有3成受害裝置在美國地區。由於Mirai可偵測網路上使用出廠預設憑證,或固定憑證的物聯網裝置,並植入惡意程式,藉此將無線路由器等IoT連網設備,變成殭屍網路共犯。

若不改善,可能遭受更大規模的法律訴訟,廠商該有所警惕

有人會覺得,為什麼是臺灣網路設備廠商接連被控訴呢?已經達成和解的華碩表示,FTC是否僅針對臺灣的路由器廠商,他們無法評論,但能確定的是,FTC開始重視IoT的安全性,因此各個IoT相關廠商都會變成FTC關注目標。

從現在的這些動作與跡象來看,各國政府為了保護消費者,網路安全防護的需求已經逐漸升高,可不要置身事外。同時,發生了像是FTC這樣的法律控告事件,也帶來一些後續影響及效果,使得更多業者也收到警惕之作用。

達友科技副總經理林皇興表示,在他所接觸到的企業與廠商之中,也確實感受到,他們決定要將FTC控告列入要考慮的風險之一,甚至這樣的問題也有在公司董事會中發酵。對於企業風險而言,普遍還會注意到的是,過去會有個案被消費者團體集體訴訟的例子,強迫這些業者更重視安全,這在美國相當熱門,儘管這樣的狀況在臺灣比較難發生,但廠商銷售產品通常都是在全球,因此仍然不容忽視。

為什麼無線路由器的資安問題會層出不窮?

但從根本來看,為何Wi-Fi路由器的資安問題會不斷發生,令人感到憂心呢?不論是受到漏洞攻擊的影響,還是因安全瑕疵被控訴,甚至連美國政府在近年都採取實際法律行動。到底為何我們看到無線路由器的資安事件不斷發生?

介面設定預設的弱點

我們先從一些簡單的問題來看,像是在無線路由器的設定管理時,後臺管理介面預設的帳號和密碼都是admin,或是管理者帳號是Admin,密碼預設為0000或空白,這對於設定過一些無線路由器產品的使用者來說,可能並不陌生。由於這類傳統設計上的作法一再延續,但這到底是不是個問題呢?

好處來說,當設備新買或還原預設值時,使用者即使不用說明書,憑著過去的經驗也容易很快上手維護,相對而言,他人也很容易猜到這些設定,因此,普遍來說,就有一定的風險存在。

漏洞修補更新的弱點

更嚴重的問題在於,設備廠商是否積極維護產品的韌體,像是你知道你的無線路由器廠商,多久提供一次韌體更新嗎?

對於設備廠商來說,並未妥善處理漏洞修補與通知的問題。例如,常會出現產品存在的漏洞已經被通報多時,卻一直沒有處理的狀況,或是修補完也沒有善盡通知用戶的責任。

對於用戶來說,這不就是設備廠商沒有好好替消費者把關。

設備廠商的挑戰

若從更大的產業面向來看,像是OEM代工生態,在過去商業模式中流行機海戰術,因此一些廠商會將設備開出規格後,由不同廠商來競爭,但這類產品後續的安全維護的運行是否也有規畫,這是否也可能造就現在無法適時處理安全漏洞的情況。

系統服務商的挑戰

換一個角度來看,像是寬頻業者提供的數據機,現在也結合Wi-Fi路由器功能,但這類設備的安全防護性也令人感到憂心,我們並不清楚業者與廠商,是否經常性地進行遠端更新與維護。

使用者的心態更要調整

當然,使用者也不能都將問題推給廠商,使用者難道自己也沒有一點責任嗎?儘管設備有不易更新軟體的問題,使用者容易因方便性考量,而採取不安全的簡易設定,但自己也該積極做好管理設定,對自己的網路安全負責。

而且,對於不安全的產品,消費者其實也應該團結起來,強迫這些業者更重視安全。儘管國內比較難有消費者集體訴訟,但我們看到國內對於「滅頂」一事所採取的行動,已經反應出消費者對於食品安全意識型態的抬頭,然而,在資訊安全方面,大多數人似乎是較為冷漠的看待。

也許有人認為這不是民生關注焦點,但我們更要想到的是,國內近期也在強調資安即國安、資安才是資訊國力的基礎的問題,如果沒有讓一般人都將資安看成民生一樣的重要,那我們的全民資安是否也只是空口白話、虛有其表。

政府應盡保護使用者的責任

再換個角度來看,難道臺灣政府沒有監管的責任?不論維護國內廠商權益,或者是同樣要替本土與全球的顧客權益把關。相信,政府也不希望讓全世界都有,臺灣路由器產品不安全的印象。

在Wi-Fi安全相關議題上,還有一個面向是公用免費Wi-Fi的安全問題,像是根據網路設備廠商Xirrus在2016年公布的調查顯示,已經有91%的人知道公共Wi-Fi並不安全,但也有89%的人還是會繼續使用。這樣的現象看起來很弔詭,但實際也就是如此,畢竟就是有連網的需求存在。如何讓自己Wi-Fi上網更安全,是使用者也該面對的事。(資料來源/Xirrus,2016年10月)

廠商應強化產品資安品管,並積極提升對於後續漏洞問題的處理能力

一般而言,幾乎各無線路由器廠商的產品,都曾爆出有各種漏洞或後門,因此設備廠商都會釋出韌體更新版本,對應漏洞修補。若從FTC這幾次控告的內容來看,主要在意的面向,應該是廠商沒有積極處理後續安全的問題,讓使用者蒙上更多安全陰影。

從資安的角度來看,林皇興表示,廠商的產品研發過程當中,怎麼把安全納入考慮,後續因應措施如何對應修補,以及又該如何通知用戶,都是挑戰。

像是設備廠商在開發流程中,是否要將資安列入研發循環的重要部分,例如原始碼的檢測,以及事後的滲透測試,對於非資安廠商而言,這一塊本來就比較弱,一般要藉助外面第三方團隊協助檢測。

另外傳統硬體設備廠商的思維,可能需要轉變,需重視軟體資安團隊的培養。

還有就是,設備廠商是否要有專責的團隊,在市場上做輿情監控,也是一個議題,不論是各漏洞揭發平臺的資訊,或是用戶的資訊反饋,越快能夠掌握應變,也就越能即時即時修補。林皇興也特別指出,像是現在的資安發展態勢,就很強調蒐集資安情資。

但很可惜,我們看到現在資安廠商會聯合起來,推動共通情資交換,但我們很少看到無線路由器廠商,會聯合起來做這樣的事情。

漏洞處理與反應速度

就目前的漏洞通報平臺來看,國際上最具公信力的安全弱點披露與發佈的標準協定是CVE,國內也有TWCERT。而各路由器廠商也有表示,業界目前常見作法是參考OWASP top 10、SANS 25以及CERT等平臺上的案例再做內部修改,國外也有一個專門針對無線路由器安全的Router Security漏洞平臺。另外,我們現在看到現在一些廠商的作法是,建立自己產品的漏洞通報平臺,並以提供獎金為誘因,協助改善產品。

據我們與各設備廠商的一些瞭解,現在各廠商可能也都有一些對應的作法,但使用者可能更在意的是,廠商能否定期提供產品漏洞檢測資訊,或是第三方的檢測報告,甚至是一個詳盡、易於檢視的安全公告網站。

關於安全漏洞修補,瀚錸科技也指出,設備商通常會面臨兩種問題,一種是架構性的問題,通常影響範圍較廣,需要修補的時間較長,還要包含各項功能檢測,效能評估等等;另一種是代碼漏洞問題,通常可以在較短的時間內找到修復的方法。

當然,這其實也面對到,廠商在安全方面投入資源多寡的問題。對於系統安全性弱點的修補與處理積極的廠商,使用者才能夠給予較多的信任。

面對無線路由器的種種資安問題,其實也讓消費者可能感到頭痛。趨勢科技網路威脅防禦技術部資深經理林悟生表示,一般會建議消費者,在購買無線路由器設備前,最好要檢查一下產品推出時間,若是太舊的產品,後續支援力度可能會有疑慮,同時,最好能夠探聽一下,了解品牌廠商對安全的重視度與反應速度,以及在這方面的聲譽如何。

安全的組態設定

至於像是使用者容易因方便性,而做出不安全設定的問題。這次訪談的廠商中,群暉軟體開發部資深經理陳揆驩提到了介面設計思維改變這件事,是一個觀點。像是可以強制用戶在設置無線路由器時,一開始就要變更管理介面的帳號與密碼,才能進行後續設定。

另外陳揆驩也舉例,像是Wi-Fi無線網路的加密方式,傳統作法可能都是空白,使用者若是拉開下拉選單,則可以看到WEP、WPA與WPA2等選項,現在多數作法則是,讓預設選項就是安全性較高的WPA2。

另外,我們也就各式產品的操作經驗來看,還有一些機制應該也是能夠利用,像是密碼強度檢測機制,禁止使用者設定常見、太過簡易的密碼,還有像是提供協助使用者檢測安全性設定的精靈,可引導使用者操作,或是在設定選項中增加易於理解的提醒說明。

當然,一些機制確實可能會讓用戶在設定步驟變多,或是感覺更複雜,在這樣兩難的情況之下,如何在安全與便利之間取得平衡,一直都是資安防護上的議題。但對消費者權益而言,其實更可以要求廠商提出更好的解決辦法,避免使用者自己在不經意的情形下,做出不適當的設定。

若無法信任無線路由器的安全,各界現階段可採行的補救措施

回到使用者的角度來看,對於無線網路安全的漠視,也是普遍常見的問題。以過去經驗來看,通常只要設備的網路能夠通,使用者多半就不會管路由器有沒有問題。這也導致路由器的安全漏洞被曝光後,很難得到及時的修復,因此存在巨大的安全隱患。

一般而言,企業多半會有專門的網路管理人員,可以做好設備維護與監控,但對於一般使用者或中小企業來說,可能並不一定,許多人可能連定期檢查、更新的概念與習慣都沒有,但人人家中卻幾乎都有一臺無線路由器。

使用者要採取必要的自保手段

不論是最基本的更改SSID、設定複雜度高的強式密碼,還有管理介面帳號密碼的修改,以及定期的硬體更新升級,或是更多進階安全防護的管理設定,而這些都是使用者本身能做的事。

其中我們也特別關注,如何讓使用者有更好的韌體維護升級方式呢?在廠商提供設備的漏洞修補韌體之外,另一面向就是使用者要能意識到,記得做好無線路由器的韌體更新。這樣的現象存在已久,該如何有效去教育使用者呢?

廠商可提供App,改善通知及更新程序

面對這樣的問題,林悟生也表示他們從去年開始注意到一個發展態勢,現在不少網路設備廠商都在開發對應無線路由器的行動App,這對於韌體升級的通知與更新,應該能帶來一些幫助,甚至當有觸發攻擊事件,也能藉由App來警示使用者。確實,App的應用對於使用者來說,會比傳統網頁介面操作更直覺一些,也許能夠帶來更好的幫助。

業者應主動提供加值安全防護功能

另外,就趨勢科技的觀察,現在國外網路寬頻服務業者也會提供一些防護專案,除了業者本身後端都有對應的安全機制,也會在路由器上增加安全功能,這樣的需求應該也會慢慢帶進臺灣。

政府從法規面要求祭出重罰

早期過去很多購物網站都有資料外洩問題,但受到重罰的例子並不多見。確實,臺灣本身連資安法都還在進行中,因此現階段還很難以此嚇阻。

即便如此,為了保障消費者權益,而懲處失職業者,仍不失為有效手段。像是經濟部工業局、國家通訊傳播委員會(NCC)等機構,理應推動更具體的管制措施,讓整體產業能更受到信賴。 

 近期無線路由器安全大事記 

2017年1月 美國貿易委員會控告路由器大廠友訊生產的無線路由器及IP攝影機,因安全防護不足可能遭駭,導致美國消費者資訊隱私受到侵害。

2016年12月 Netgear無線路由器缺陷影響旗下11款機型,該公司在數天後即發布緊急安全性通知。

2016年9月 D-Link安全漏洞影響超過120款產品,其中也包含無線路由器產品。同時,該公司的DWR-932 B產品遭爆出有約20個安全漏洞。

2016年7月 TP-LINK爆出域名沒有續租而遭他人註冊的紕漏,使得原本提供用戶進入tplinklogin.net或tplinkextender.net進行路由器設置的作法,出現問題。

2016年4月 廣達(Quanta) 4G LTE、Wi-Fi路由器遭爆出一系列的安全弱點與漏洞,其中不少被認為是不應該犯的錯誤。

2016年2月 美國貿易委員會控告華碩生產的無線路由器、個人雲服務,因安全缺陷,未適時處理相關安全弱點並告知用戶產品潛藏的安全風險,最終華碩願受20年稽核換取和解。

資料來源:iThome整理,2017年3月

 

 相關報導 無線路由器安全問題浮上臺面,該是面對的時候!

熱門新聞

Advertisement