電信技術中心
- Advertisment -
導入犯罪學理論 TTC惡意軟體偵測系統獲矚目
財團法人電信技術中心(TTC)於2020年開發完成可抗混淆技術的Android惡意程式風險評分系統Quark-Engine,獲得美國知名駭客研討會DEFCON 28 Blue Team Village肯定,同時入選HITB Lockdown 002 、EuroPython 2020等國際研討會,在國際間表現亮眼。TTC研發團隊歷經一年的深度技術研究,初登場成果即亮眼國際,研發團隊受邀在這三場研討會發表成果,向國際與會者展現台灣的資安研發能量。
以Quark系統針對Android惡意軟體進行偵測(資料來源:TTC)
DEFCON作為享譽全球最大的駭客研討會之一,來自世界各地的資安專家、研究員及駭客等每年都會出席這場盛會。TTC作為政府資通訊政策及技術智庫,提供資通訊產品檢測驗證、顧問諮詢及相關平台營運管理服務,為因應數位時代的安全防護,資通訊安全的相關研發也是TTC近幾年重要目標。TTC執行長范俊逸說,數位程度越高,資通訊安全更應該被重視。後匯流時代資訊及設備串流的複雜度增加,風險也相對提高,政府、企業及民眾都需要提高資安的意識。
Quark的開發靈感來自於台灣刑法犯罪行為的階段理論,依照犯罪的各階段判定犯罪的可能程度,例如謀殺罪定義了犯罪的5個階段「確定」、「預謀」、「準備」、「開始」和「實踐」。Quark不僅定義了惡意活動及其階段,還開發了權重和閾值來計算惡意程式的威脅級別,以此判定惡意程式的風險程度為高風險、中度風險,或低風險,並提供各個惡意行為的相關證據。
隨著新技術不斷演進,惡意軟體也越來越狡猾,使利用逆向工程來識別、追蹤惡意軟體的工作遇到更多困難。其中,程式碼混淆是惡意程式開發者最常用的技術之一。在本系統中,TTC團隊研發了一個Dalvik Bytecode載入器,該載入器完美搭配Android惡意行為的階段理論,且能夠忽略程式碼混淆技術。另外值得一提的是,Quark採取開源模式,在GitHub上開放原始碼,使更多使用者能夠貢獻及提出評論,希望能開發出更貼近市場需求的程式。
目前TTC仍在評估是否要針對Quark進行技術轉移,但TTC將會持續精進資安領域的研究,以鏈結政府及產業的中立第三方角色,繼續提供資通訊產業更專業、更前瞻的服務,為政府、企業及民眾創造更安全的資通訊環境。
為IoT安全把關 台灣物聯網資安聯合檢測中心正式成立
隨著物聯網垂直應用逐漸成熟發展、而隨之而來的資安威脅也成為企業須重視的關鍵。為此,財團法人電信技術中心(TTC)與桃園市政府合作、偕同優力(UL)、中華資安等國內外合作夥伴,於虎頭山創新園區成立物聯網資安聯合檢測中心,提供一站式資安檢測服務,引領台灣物聯網軟實力接軌國際資安標準。此外,TTC繼去年四月推出的物聯網資訊分享及分析中心(IoT-ISAC)平台後,今日也宣布對一般民眾免費開放,冀望透過國內首座物聯網資安情資資料庫,提供多元內容,提升全民資安防護意識與警覺性;並提供企業線上資安檢測服務,全方位為台灣物聯網資安把關。
物聯網的蓬勃發展,也將帶來「萬物皆可駭」的資安隱憂,一般民眾及中小企業所使用的物聯網設備,如Wi-Fi、網路攝影機、印表機、投影機、醫療設備、農業器具等,皆可能遭受駭客攻擊。相關攻擊除影響設備正常操作、財物損失及個人隱私外洩外,也可能淪為駭客工具導致更嚴重攻擊事件。此外,物聯網垂直應用也造成各領域也面臨資安威脅。以醫療領域為例,美國緊急醫療研究機構(Emergency Care Research Institute, ECRI) 2019年報告指出,駭客攻擊是10大醫療科技危害之首,駭客可藉由遠端滲透醫療系統或裝置,造成醫療設備效能降低、竊取個人及醫療資訊等。
有鑑於此,TTC攜手國內外資安專家與資源,共同成立物聯網資安聯合檢測中心,提升國內智慧產業資安能量。TTC自107年起執行國家發展委員會『亞洲.矽谷-強化物聯網資安防護裝備』計畫,第一期完成物聯網系統層級資安防護評估機制的建立,包含智慧家庭及智慧交通領域,也成立物聯網資訊分享及分析中心;第二期延續並擴增第一期成果,與桃園市政府經發局合作,偕同國際認證機構UL、中華資安及虎頭山創新園區-資安物聯網中心營運團隊(大同世界科技股份有限公司及互聯安睿資通股份有限公司),聯合於虎頭山創新園區成立物聯網資安聯合檢測中心,冀望整合多方能量,共同強化智慧產業資安防護能力,提升台灣物聯網產業的國際競爭力。
圖 財團法人電信技術中心與桃園市政府、UL、中華資安等產官機構,共同設立物聯網資安聯合檢測中心
看好台灣企業發展IoT潛力,國際安全科學領導機構UL本次也參與第二期計畫,在物聯網資安聯合檢測中心導入UL IoT安全評等 (IoT Security Rating),以國際上的IoT資安設計準則為基,融合產業標準共識,提供連網產品的資訊安全評估,並透由安全評等,在產品上標示所獲得的分級標誌,協助廠商展示產品的資安能力,亦幫助消費者在選購時能有所依據;更冀望國內物聯網廠商能經由公正第三方的國際驗證,取得國際市場的信賴。
物聯網資安聯合檢測中心提供一站式檢測服務,以物聯網系統端、網、雲等全面性的物聯網資安防護評估流程,提供消費者安全基準(Security Baseline)參考,有助廠商生產符合國際資安要求的產品,搶攻國際市場。目前已完成五本物聯網系統層級資安評估指引,應用範圍包含智慧家庭、智慧交通、智慧醫療及智慧農業等領域,導入實際場域進行測試後,發現多項物聯網裝置存在資安漏洞,並揭露於CVE(Common Vulnerabilities and Exposures)平台且取得編號,有效提出預警,及早發現潛在威脅。
此外,為提升民眾的資安防護意識,物聯網資訊分享及分析中心也已設置學習專區,免費開放給一般民眾使用,讓全民能夠即時獲得國內外最新物聯網相關資安情資。IoT-ISAC平台首創物聯網資安情資資料庫,將所蒐集到的IoT設備IP位置,藉由地理位置資料庫進行交叉比對與分析,透過視覺化的呈現,使民眾對台灣聯網設備的數量及類型等分布狀況有全面性的概觀,進而提升民眾資安防護警覺性,逐步實踐『資安即國安』目標。未來企業會員也可透過IoT-ISAC平台,主動上傳物聯網裝置清單,檢測是否有存在既有資安弱點情資,達到早期預警目的,降低物聯網設備受駭客攻擊風險機率。IoT-ISAC平台目前有30餘家企業會員,歡迎更多的企業及政府組織加入,共同維護台灣物聯網資訊安全。
打造安全物聯網 系統層級檢測方法提對策
對有意導入物聯網應用的企業或組織而言,資安是不容妥協的重點。但若要守護物聯網的資安,光是靠防火牆或防毒軟體這類工具,是不夠的。資安是一個系統層級的問題,因此必須要有系統層級的對策。財團法人電信技術中心(Telecom Technology Center)正與國際大廠及各領域的成員合作,共同制定資安檢測標準,並發展對應的工具跟方法論。而為了鼓勵各界利用,此標準為開放標準,任何組織或企業都可以利用這套檢測標準,來為自家的物聯網應用進行全面性的健康檢查。
財團法人電信技術中心副執行長林炫佑表示,系統層級的資安檢測標準可協助物聯網設備製造、系統整合,甚至是應用服務提供者,掌握物聯網系統的安全風險,進而落實對應的防禦措施。
財團法人電信技術中心副執行長林炫佑指出,國發會正在推動亞洲矽谷計畫,倡導物聯網應用,而強化物聯網的資訊安全,則是其中不可或缺的一環。但物聯網應用種類繁多,涉及的設備型態也十分多樣化,這使得守護物聯網資安的工作變得千頭萬緒,產業鏈的各方都必須承擔一定的責任。系統層級的資安檢測標準,則可協助設備製造商、使用者在實現安全物聯網的過程中,逐步理出頭緒,進而落實對應的防禦機制。
具體來說,要實現系統層級的物聯網安全,資安團隊必須先從威脅模型的建立著手,找出可能危害系統安全的資安威脅型態;第二步則是針對這些資安威脅型態進行系統漏洞偵測,找出防禦脆弱的環節;第三步則是針對這些環節進行滲透測試,確認是否能成功滲透。最後則是對此漏洞可能造成多大的損害進行衝擊評估。
這套標準作業流程可用來評估物聯網系統的安全程度,且根據電信技術中心的經驗,目前市面上有很多物聯網設備都是有漏洞的,而且很難修補。
林炫佑分析,這些漏洞之所以難以修補,主要原因有以下幾個:一、系統過於老舊,早已有大量漏洞被發現,但原廠已停止對這些系統提供修補或維護;二、系統在設計時沒有把資安納入考量,當發現漏洞時,修補的代價太高。因此,當企業或組織在採購、招標時,就應該把資安規格寫入招標採購書內,這樣供應商才會在產品開發時,把資安納入設計考量。
簡言之,要實現物聯網安全,使用者、系統整合商、設備供應商,乃至更上游的晶片業者,每個成員都有自己的守備區,只有當整個生態系統中的各方都扮演好自己在資安上該扮演的角色,物聯網系統的安全才能得到保障。
目前電信技術中心所提出的檢測標準跟分析工具,已經獲得超過30家設備商、系統整合商和地方政府採用,而為了進一步吸引更多廠商採納此標準,電信技術中心採取開放策略,將相關文件、資料放在網路上供有興趣的使用者參考。電信技術中心也會根據使用者的回饋意見,持續進行標準更新,讓此一標準跟相關工具不斷與時俱進。