作者:財團法人台灣網路資訊中心 黃勝雄博士 |
美國創業家Marc Andreessen曾說軟體正吞噬世界 software is eating the world (Marc Andreessen, 2011),今日世界社會經濟與網際網路緊密結合,資訊科技不僅影響人們生活型態,甚至驅動產業邁向數位轉型。資訊社會提升生活的便利,但網路駭侵情況也隨著全球網路環境普及而隨之氾濫。
隨著數位服務的發展,資訊系統的軟體與硬體也更加複雜,軟體漏洞數量每年不斷成長。軟體漏洞是駭客入侵系統的主要媒介,網路駭侵影響網路安全並造成經濟重大損失。美國聯邦調查局資料顯示2019年網路犯罪造成的經濟損失超過35億美元(FBI, 2020)。除了軟體漏洞外,越來越多的網路攻擊肇因於硬體或記憶體安全漏洞,尤其是嵌入式IoT物聯網系統。2016年Mirai 殭屍病毒控制數百萬組IP物聯網設備攻擊Dyn 公司就是典型案例 (Nicky Woolf, 2016)。
圖1: 2016 年DDoS網路攻擊Dyn 公司 (Wikipedia)
現行軟體安全解決方式是每當發現新軟體漏洞,研究人員公佈新軟體修補程式供使用者更新。這種修補與祈禱(patch & pray)方式只能更新軟體層漏洞,無法解決硬體潛在問題 (Techopedia, 2016)。嵌入式IoT系統使用許多免費開源軟體,但嵌入式IoT系統很少提供軟體更新,尤其是醫療、汽車等嵌入式IoT設備。它們只是持續運行著有已知漏洞的舊版軟體。這些系統軟體更新週期非常遲緩,製造商如果要更新軟體,原廠必須對設備重新認證,確保系統核心更新或任何驅動程式更新不會破壞原來系統影響使用安全。
嵌入式IoT設備如果涉及作業系統更新,重新鑑定認證設備的成本將會非常的昂貴,甚至是不可能的任務。許多公司採取智財權IP授權方式將底層軟體與硬體委託OEM製造商生產,第三方軟體元件通常是預建軟體功能的授權,未經其他授權許可,OEM製造商不允許修改受智財權保護的專屬軟體元件。即便是單一元件沒有獲得授權許可,或者該元件只支援特定版本作業系統與軟體,也很可能導致整體系統無法更新的結果 (Scott Amyx, 2017)。
此外,硬體設備後續支援維護成本非常高,許多公司將技術支援與設備維護委託給未參與原始設計的第三方公司,這對系統更新將更難以執行。因為第三方公司並不了解原系統設備漏洞,或者沒有將漏洞回報給原開發團隊,甚至原開發團隊可能已經解散轉任不同工作。
綜合這些因素,防範惡意軟體不能只有更新軟體,更需要更新硬體。以手機市場為例,如果消費者的手機不是領導品牌,意涵著這個手機可能不會更新或者更新週期非常冗長。市場領導品牌手機有能力持續更新,代表該公司必須嚴格控制整體生產供應鏈,並有充分的市場銷售額才能彌補供應鏈管理成本損失。即便如此,在消費者手機硬體升級更換之前,手機品牌公司也只有短暫的幾年時間,利用修補與祈禱方式更新軟體,並祈禱手機更換速度比硬體漏洞揭露速度更快,拉長與問題距離減緩網路攻擊的衝擊。
傳統軟體修補更新方式已經無法因應今日複雜的網路環境所面臨威脅,我們必須重新檢視硬體安全架構與審驗整體供應鏈,從硬體安全架構解決根本問題,阻擋設備受到外部駭侵及破壞,如此才能終止修補與祈禱期面臨的威脅。
參考資料
- FBI National Press Office. (Feb 11 2020). Internet Crime Report. FBI Internet Crime Complaint Center 2019.
- Marc Andreessen. (Aug 20 2011). Why software is eating the world. The Wall Street Journal.
- Nicky Woolf. (Oct 21 2016). DDoS attack that disrupted internet was largest of its kind in history, experts say. The Guardian. From https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet
- Scott Amyx. (May 26 2017). The challenge of software updates for vulnerable IoT devices. From https://medium.com/@ScottAmyx/the-challenge-of-software-updates-for-vulnerable-iot-devices-4ed785592a34
- Techopedia. (Dec 28 2016). Patch and pray definition. From https://www.techopedia.com/definition/31040/patch-and-pray