Allion Labs /?Felix Kao

在物聯(lián)網(wǎng)的世界，不分產(chǎn)業(yè)、不分產(chǎn)品大小等級(jí)；只要有連網(wǎng)功能，就可能在網(wǎng)絡(luò)上遭受攻擊，進(jìn)而造成您個(gè)人財(cái)產(chǎn)損失甚至人身?yè)p失；而企業(yè)也將面臨病毒蓄意攻擊，導(dǎo)致中控主機(jī)當(dāng)機(jī)、產(chǎn)線中斷，蒙受金錢損失。因此，透過安全檢測(cè)找出潛在風(fēng)險(xiǎn)與其威脅強(qiáng)度是廠商的當(dāng)務(wù)之急。在「物聯(lián)網(wǎng)中自由、便利與安全的恐怖三角關(guān)系，您選擇了誰(shuí)？」-上篇，百佳泰特別針對(duì)廠商「輕忽安全嚴(yán)重性」或是「不知該怎么選擇方案」等種種的僥幸心態(tài)與不安，介紹了由百佳泰開發(fā)的一套快速有效、符合成本效益的「安全檢測(cè)方案」，將依照物聯(lián)網(wǎng)裝置特性、潛在安全風(fēng)險(xiǎn)以及應(yīng)用情境，來驗(yàn)證產(chǎn)品的風(fēng)險(xiǎn)等級(jí)，檢視產(chǎn)品的安全漏洞，并提供完整安全報(bào)告讓您有效加強(qiáng)安全弱點(diǎn)。

在了解我們的檢測(cè)方案之后，現(xiàn)在，就透過我們安全專家來分享物聯(lián)網(wǎng)裝置的實(shí)測(cè)案例，讓讀者更加貼近百佳泰安全檢測(cè)。

百佳泰安全實(shí)驗(yàn)室 智能燈泡案例分享

就算只是一個(gè)藍(lán)牙燈泡，亦可能隨時(shí)成為殭尸網(wǎng)絡(luò)的一份子

本篇分享的測(cè)試案例待測(cè)物為支持藍(lán)牙低功耗網(wǎng)絡(luò)（Bluetooth Low Energy Mesh）燈泡，可透過手機(jī)安裝對(duì)應(yīng)的App后由手機(jī)的控制接口操作燈泡，不僅僅控制開關(guān)，亦可與手機(jī)的鏡頭連動(dòng)觸發(fā)仿色功能，手機(jī)播放音樂時(shí)亦可設(shè)定為隨著節(jié)奏隨機(jī)跳色；在多人用戶之間亦可指定權(quán)限或轉(zhuǎn)移主控制權(quán)，連上云端之后可以透過IFTTT channel與語(yǔ)音助理設(shè)置連動(dòng)，功能堪稱相當(dāng)完備。一個(gè)聯(lián)機(jī)單純且無直接上網(wǎng)的裝置貌似安全，但若從安全檢測(cè)角度仔細(xì)審視，潛在風(fēng)險(xiǎn)其實(shí)遠(yuǎn)比想象中高出許多。

首先，我們將燈泡的聯(lián)機(jī)邏輯展開，從安全檢測(cè)的角度來檢視，實(shí)體裝置共有三個(gè)，分別為燈泡、App載體（手機(jī)）以及云端數(shù)據(jù)庫(kù)；而聯(lián)機(jī)則可拆分為近端聯(lián)機(jī)以及云端聯(lián)機(jī)如下圖示1：

圖示1：資安網(wǎng)絡(luò)聯(lián)機(jī)架構(gòu)

百佳泰的安全驗(yàn)證項(xiàng)目共有數(shù)十個(gè)項(xiàng)目，從測(cè)試結(jié)果得知，大部分的潛在風(fēng)險(xiǎn)竟來自于控制燈泡的APP（如下圖2），相信這結(jié)果令大家感到十分意外吧？！言下之意，黑客可偷取強(qiáng)度較弱的APP軟件密碼，便可遠(yuǎn)程控制接口操作用戶的智能燈泡，恣意開關(guān)燈泡裝置，在不該開啟的時(shí)候刻意浪費(fèi)消耗電力。讀者再想想，若是將燈泡換成監(jiān)視商場(chǎng)的IP攝影機(jī)，黑客便可輕易關(guān)閉攝影機(jī)，而讓盜竊者有機(jī)可趁。

圖示2：安全報(bào)告弱點(diǎn)分析比重

另外，根據(jù)國(guó)際級(jí)的漏洞評(píng)鑒系統(tǒng)（Common Vulnerability Scoring System，CVSS）的條件來推估報(bào)告中每項(xiàng)測(cè)試的風(fēng)險(xiǎn)等級(jí)，測(cè)試的藍(lán)牙燈泡裝置竟存在7個(gè)具有中高風(fēng)險(xiǎn)程度以上的漏洞，風(fēng)險(xiǎn)等級(jí)為4（風(fēng)險(xiǎn)程度從0到4，由低至高），有較高的可能被黑客利用并且攻擊，需要立即采取修正措施。

從報(bào)告結(jié)果我們可歸納出一個(gè)結(jié)論，并非只有物聯(lián)裝置才會(huì)有風(fēng)險(xiǎn)，在物聯(lián)網(wǎng)的世界，不論是實(shí)體裝置、APP軟件、云端數(shù)據(jù)庫(kù)或是傳輸聯(lián)機(jī)，只要有安全漏洞，就極可能遭受攻擊！然而，消費(fèi)者在第一時(shí)間總是將責(zé)任歸咎于裝置品牌廠商，并不會(huì)抱怨后端配合的相關(guān)廠商。事實(shí)上，裝置品牌商配合的APP開發(fā)商、網(wǎng)絡(luò)營(yíng)運(yùn)商以及云端服務(wù)器廠商，都應(yīng)該需要做好安全防護(hù)措施，甚至應(yīng)該有稽核檢查表，挑選符合安全標(biāo)準(zhǔn)的廠商，并檢視其安全能力！

導(dǎo)入開發(fā)階段的 Software軟件驗(yàn)證方案

如上一篇我們提及，「安全是一個(gè)風(fēng)險(xiǎn)控管的行為」，這如同人類每年需要定期做健康檢查來評(píng)估掌控自身狀況；而事實(shí)上，預(yù)防勝于治療，安全軟件開發(fā)周期始于產(chǎn)品設(shè)計(jì)，雖然產(chǎn)品設(shè)計(jì)時(shí)間導(dǎo)入安全會(huì)增加開發(fā)時(shí)間，但是事后修補(bǔ)所付出的成本反而越高且面臨的風(fēng)險(xiǎn)也越大，因此識(shí)別產(chǎn)品所面臨的威脅、評(píng)估風(fēng)險(xiǎn)、考慮安全需求及檢視安全設(shè)計(jì)是在設(shè)計(jì)時(shí)間皆需要思考的；廠商于開發(fā)階段時(shí)，透過白箱檢測(cè)方式的源碼靜態(tài)涵式庫(kù)分析，得以避免具安全風(fēng)險(xiǎn)的編程內(nèi)容及避用不安全函式庫(kù)等，以確保程序的安全性，百佳泰專業(yè)軟件實(shí)驗(yàn)室的開發(fā)團(tuán)隊(duì)，具備各項(xiàng)程序語(yǔ)法能力，能夠站在“開發(fā)者”的角度設(shè)計(jì)測(cè)試案例，確保測(cè)試中的路徑都可以被分析、執(zhí)行，以提供開發(fā)人員程序代碼優(yōu)化的反饋。

圖示3：白箱測(cè)試，又稱透明盒測(cè)試，不同于黑箱測(cè)試驗(yàn)證軟件的功能性，主要在測(cè)試應(yīng)用程序的內(nèi)部結(jié)構(gòu)與運(yùn)作

廠商除了在安全軟件功能開發(fā)上需要投入相當(dāng)時(shí)間與心力，另在整個(gè)物聯(lián)網(wǎng)產(chǎn)品開發(fā)周期，包括在EVT、DVT階段是否落實(shí)安全相關(guān)開發(fā)準(zhǔn)則、MP前是否通過一道重要關(guān)卡「安全檢測(cè)」等，實(shí)際測(cè)試產(chǎn)品是否存在安全漏洞，評(píng)估產(chǎn)品潛在風(fēng)險(xiǎn)，預(yù)先檢視產(chǎn)品上線后所可能面臨的資料安全攻擊。廠商唯有厘清每一個(gè)環(huán)節(jié)可達(dá)到的安全程度，方為確保產(chǎn)品安全信心的最佳判定依據(jù)。

百佳泰的安全檢測(cè)服務(wù)是物聯(lián)網(wǎng)裝置的神隊(duì)友

百佳泰能夠針對(duì)各產(chǎn)品特性及使用情境，提供快速有效、符合經(jīng)濟(jì)效益的安全檢測(cè)方案，從物聯(lián)網(wǎng)產(chǎn)品得五大連網(wǎng)架構(gòu)-裝置固件、裝置控制APP、云端服務(wù)器、近端聯(lián)機(jī)以及遠(yuǎn)程聯(lián)機(jī)切入，提出適切的國(guó)際標(biāo)準(zhǔn)的安全風(fēng)險(xiǎn)檢測(cè)，像是目前較知名的OWASP Top 10系列、IEC 62443系列等，透過網(wǎng)絡(luò)安全測(cè)試項(xiàng)目，替您的產(chǎn)品做安全把關(guān)。百佳泰深知，若產(chǎn)品滿足國(guó)際安全標(biāo)準(zhǔn)要求，更可明確彰顯產(chǎn)品其安全保證等級(jí)。

對(duì)于大多數(shù)的制造商而言，信息安全必須防守的范圍太大，其中最直接且有效的方式，是透過安全檢測(cè)來宣告產(chǎn)品的隱私數(shù)據(jù)保護(hù)、完整性、以及可用性三大能力，此三大能力依據(jù)不同的應(yīng)用情境會(huì)有不同的比重，例如：隱私數(shù)據(jù)在消費(fèi)者市場(chǎng)相當(dāng)重視，對(duì)于工業(yè)而言數(shù)據(jù)的完整性及可用性則需優(yōu)先考慮；無論在何種使用情境，透過百佳泰的客制化安全檢測(cè)服務(wù)，皆可忠實(shí)呈現(xiàn)產(chǎn)品在資料安全上的風(fēng)險(xiǎn)指標(biāo)。