转载自苹果日报
http://www.appledaily.com.tw/realtimenews/article/new/20170608/1135619/
日前美国联邦贸易委员会(FTC)指控,我国知名厂商的无线路由器与摄影机存在严重安全瑕疵,骇客攻击已不再只是等民众上钩,举凡能够连网的产品,都可能是资安攻击目标,企业必须加速落实智慧联网(IoT)隐私与安全保护。有鉴于此,资策会「资安检测鉴识实验室(CFL)」今日正式揭牌启用,未来将提供自动化检测与漏洞挖掘服务。
骇客攻击模式与时俱进,随着物联网时代来临,相关应用潜藏的资安危机,资安专家指出,9成漏洞的弱点来自软体开发,企业将如何自保防范,实是刻不容缓议题。
资策会资安所所长林宗男特别以IP CAM为例,资安检测鉴识实验室在抽测市售IP CAM中,竟然发现某厂牌的韧体更新档没有加密,容易被窜改遭受攻击,并启动不需要的预设服务。此外,更在WiFi AP(基地台)检测发现,管理介面的管理者帐号密码可轻易被破解。
事实上,智慧联网设备资安检测以人工分析耗时耗力,缺乏自动化,其设备韧体安全(Firmware Security)又欠缺有效且及时的解决方案,供应商大多未提供作业系统与韧体之修补程式、测试工具及更新机制,因此造成安全弱点或漏洞修补的困难,然而如何自动化进行韧体拆解以发觉潜在弱点或夹藏后门,则是资安检测艰巨的挑战。林宗男表示,目前「资安检测鉴识实验室」技术团队已掌握以人工智慧为核心的资安检测工具研发,包括静态韧体解析扫描、智慧装置韧体弱点探析技术等,填补业界联网设备韧体安全、所需可检测高资安风险之关键技术。如此一来,就可降低漏洞修补的人力成本。(林芳如/台北报导)
