2020年5月13日 星期三

【運動休閒智慧服務體系】老虎網路科技公司-智慧營運X聯合行銷~經營好省力


【Career職場情報誌】提供職場趨勢脈動、成功人士專訪介紹、學習進修課程等內容,讓你提升職場競爭力! 成功不是偶然,能力才是關鍵!【能力雜誌電子報】是專業經理人暨上班族提升競爭力最佳管道!
★ 無法正常瀏覽內容,請按這裡線上閱讀
新聞  健康  u值媒  udn部落格  
2020/05/14 第577期  |  訂閱/退訂  |  看歷史報份
  科技新知 【運動休閒智慧服務體系】老虎網路科技公司-智慧營運X聯合行銷~經營好省力
數據機常見CVE漏洞與CVE兩例個案介紹
Webduino-讓學童輕鬆學習物聯網的教育平臺
經緯航太開發無人機 引領智慧農業新未來

【運動休閒智慧服務體系】老虎網路科技公司-智慧營運X聯合行銷~經營好省力
FIND研究員:黃淑姿

【導入背景】

近年來運動風潮興起,愈來愈多的運動場館業者加入服務,這些業者過去多為健身教練或運動相關產業,擁有豐富的專業知識,但缺乏商業經營know-how,且多以人工作業、不知如何吸引顧客。透過服務體系的協助,讓運動場館業者經營更省力,能觸及更多潛在對的客群,並可以與休閒周邊產業合作,開創新的營收來源。

【導入過程】

《以數位服務為核心協助運動休閒相關業者發展》

有鑑於運動場館業者在經營上面臨的問題,體系服務營運商老虎科技,以數位服務為核心,協助業者以更省力的方式經營場館,並串連周邊運動休閒業者如零售業、食品業等,促進其與場館業者合作,再搭配法務、會計、行銷等支援服務業,提供場館業者經營諮詢服務。並定期舉辦聚會、活動,促進場館業者、零售業者、支援服務業者等進行互動交流。

【解決方案】

《以FB Messenger自動化預約,免跳出視窗》

在數位化服務上,因應多屏的溝通趨勢,除了原有的品牌官網、品牌APP之外,將於本計畫中新增FB Messenger自動化的預約服務,可於不同管道讓消費者進行課程預約、查看餘額及預約紀錄,並透過資料串接,後臺可進行POS管理、行銷活動發送、會員管理、員工管理,再結合銷售、客戶、人員管理三大面向,提供深入分析與交叉分析數據報表。

依據超過100家業者的訪談結果,95%以上的業者表示,超過7成的消費者經常在FB粉絲團留言詢問課程並預約,一來一往過程中,完成一單所需的時間大約要1-3天。經常在確認預約過程,非上班時間無法即時回覆,耗時的來回確認、錯誤的預約及漏單,造成消費者客訴,降低預約意願,甚至高達30-50%的消費者會放棄預約。

藉由新開發FB Messenger的預約服務,提供預約課程、付款、查看紀錄的功能,透過APIs串接商家管理後臺ERP、CRM、POS數據,對於消費者可以即時、無需等待,快速完成預約及付款,加速消費流程及優化消費體驗、降低消費的時間和資訊障礙;對於運動場館,相當於擁有一個全年無休,可以自動完成銷售服務的通路,大幅度地提高經營效率,減少客戶流失、強化客戶經營同時降低人事行政成本。

《提供跨課程、跨場館、跨品項的聯合行銷服務》

藉由方便的數位服務可以協助降低管理成本,另一方面,更需要吸引消費者到店。因此,在體系中建立聯合行銷網頁,針對不同客群之不同需求,提供消費者從自身地址位置出發,可按運動偏好類型與價格偏好,迅速找到適合自己的優惠方案,縮短決策思考流程。對場館業者來說,可透過這個平臺曝光品牌及方案,吸引喜好運動的消費者關注。對運動休閒周邊業者如餐飲、食品業者來說,擴大讓更多運動客群認識之機會,同時促成體系內成員合作,增加多重銷售通路與營收來源。

【導入成果及今後展望】

《打造運動專業顧問體系(Fitness Service Ecosystem)》

於體系中藉由導入數位預約服務協助場館業者縮短銷售服務流程,提升服務品質,減少訂單流失機會,再加上聯合行銷網站,進行更多的曝光。除了線上的協助之外,還會定期舉辦交流活動,邀請經營成功的場館業者,分享經營要點,以及律師、消保官分享經營時要注意的事項,避免發生消費糾紛,並邀請食品零售業者分享產品特色,促進彼此合作。不只是讓經營變的省力,透過體系力量,也讓大家引客很省力,一起共好,把市場做大、做的圓滿。

 
數據機常見CVE漏洞與CVE兩例個案介紹
FIND研究員:李啟榮

通用漏洞披露(Common Vulnerabilities and Exposures, CVE)為資安業界常見的威脅指標之一,藉由分析數據機、路由器、物聯網裝置等漏洞,評估駭客利用漏洞所造成的影響規模,進行威脅指標評分。本研究藉由介紹數據機常見CVE漏洞,並配合案例說明,來探討CVE漏洞對數據機的影響,並依照CVE威脅指標對數據機業者提出安全性建議、改善數據機安全性。

【CVE通用漏洞披露概說:八大威脅面向、五級威脅指標】

CVE係由美國聯邦非營利組織MITRE,蒐集世界各地連網裝置發生的軟硬韌體漏洞;後來美國NIST旗下「國家弱點資料庫(National Vulnerability Database, NVD)」也採納了CVE指標,並以科學化計算方式,分析個別漏洞大小不等的嚴重程度,建立「通用漏洞評分系統(Common Vulnerabilities Scoring System, CVSS)」。

NVD於2019年依據2015年CVSS 3.0版修訂的最新版CVSS 3.1中,將CVE弱點影響程度,分成以下八種因素:

1.來襲方向(Attack Vector, AV):探討攻擊來源所在,包含網際網路、鄰近網路(如Wi-Fi、藍牙、LAN)、本機端

2.攻擊複雜度(Attack Complexity, AC):依據駭客的入侵難度分為高中低三級

3.權限提升需求(Privileges Required, PR):駭客是否需要取得更高一層的系統權限,發動更深入的攻擊活動

4.使用者操作需求(Interaction Required, IR):攻擊行動是否需要其他使用者觸發,例如網路釣魚、社交工程、觸發惡意指令等

5.影響範圍(Scope):漏洞是否只會影響到受害裝置本身,或者影響到與受害裝置串接的其他裝置

6.機密性影響(Confidentiality):駭客是否能存取敏感個資,甚至進行介入竄改等攻擊活動

7.完整性影響(Integrity):駭客針對漏洞攻擊後,裝置的管理權限是否被駭客全面攻破

8.可用性影響(Availability):駭客針對漏洞攻擊後,裝置是否能繼續正常運作

使用者可根據CVSS八項指標中不同程度的危險層級,經由公式計算,得出五種不同等級的威脅指數,來評估個別CVE漏洞的嚴重程度和損害規模。

1.無危險級:0

2.低危險級:1~3.9

3.中危險級:0~6.9

4.高危險級:0~8.9

5.嚴重級:0~10.0

藉由實施CVSS八種因素各自的危險程度分析,並利用科學化計算方法得到量化威脅指數,可協助數據機等連網裝置,藉由威脅指數來反映自身裝備漏洞的嚴重程度多寡,藉此提醒數據機業者應儘速進行補救與改善措施,並對使用者提出安全操作方法建議,減少高危險漏洞對數據機本身和使用者的衝擊和損害。

【數據機CVE個案說明:Cable Haunt、中華電信數據機】

對數據機業者而言,由於數據機肩負起內外網資料、訊息、指令相互傳輸的橋樑,數據機上被披露的漏洞除了讓駭客能破解數據機安全機制、控制數據機關鍵功能、竊取數據機敏感資訊以外,更能進一步入侵與數據機串接的內網連網裝置,發起更深入、更廣泛的攻擊活動。

因此,本研究藉由數據機CVE案例介紹,來探討CVE漏洞對數據機的影響,並以Cable Haunt、中華電信兩個實際案例進行如後說明。

一、CVE-2019-19494/19495 "Cable Haunt"

本案例由丹麥資安團隊Lyrebirds,於2019年12月在採用博通(Broadcom)晶片的Sagemcom、Netgear、Technicolor、COMPAL四家歐洲數據機產品所發現;根據Lyrebirds指出,Cable Haunt漏洞是一種駭客藉由變造的JSON發動遠端攻擊,造成數據機緩衝區溢位(Buffer overflow),使駭客能從遠端控制數據機,執行惡意程式。

而Cable Haunt漏洞被駭客開採,並奪取數據機後,可進行如下攻擊活動:

1.竄改預設DNS伺服器

2.發動中間人攻擊

3.竄改韌體機碼

4.上傳、更新與覆寫韌體而不被察覺

5.切斷ISP韌體升級

6.竄改所有數據機參數

7.獲取並設置SNMP OID數值

8.竄改所有跟數據機串接的MAC位置

9.竄改數據機序號

10.奪取數據機當作殭屍網路媒介

另根據CVE所登錄的CVSS v3威脅指標,將Cable Haunt的威脅指數評定為8.8(高危險級),並列舉如下威脅指標:

1.來襲方向:網路攻擊

2.攻擊複雜度:低

3.權限提升需求:無

4.使用者操作需求:無

5.影響範圍(Scope):僅限於發生漏洞之裝置

6.機密性影響:高

7.完整性影響:高

8.可用性影響:高

由於數據機依存於ISP提供的網路連線,並經由ISP進行線上韌體更新,再加上四家採用博通晶片的數據機都採用博通的相似設計。據Lyrebirds估計,Cable Haunt的受害規模多達兩億臺,雖隨即通報ISP儘速修補漏洞;但Lyrebirds也指出,由於尚未有更進一步獲得確認的已知漏洞修補訊息,上述攻擊動作可能只是冰山一角,需要做更長期的後續追蹤。

二、CVE-2019-13411/13412(中華電信Port 3097漏洞)

2019年11月,臺灣資安工作團隊Devcore的專家蔡政達,於中華電信提供的寬頻數據機發現致命漏洞。蔡政達藉由實施攻擊行為的概念驗證,察覺中華電信數據機上的Port 3097,有直接中華電信骨幹網路的攻擊途徑;而駭客可藉由Port 3097進入數據機管理介面,並以Script指令注入來獲取僅採用預設防護的系統密碼,再利用數據機If-else邏輯的Fallback機制,輸入不受系統支援的指令並附加攻擊字串,達成攻擊數據機的目的,以實施流量側錄、密碼與個資竊取、遠端入侵連網裝置、配合紅隊演練(模擬入侵)來規避白名單政策等攻擊活動。

此一漏洞由於發生在中華電信機房和數據機之間的Port 3097連線,加上管理介面安全參數設定之嚴重缺失,使得駭客可用較低的技術門檻發動大規模攻擊;依據CVE所登錄的CVSS v3威脅指標,將中華電信於Port 3097出現的字串處理漏洞CVE-2019-13411的威脅指數評定為9.8(嚴重級),並列舉如下威脅指標:

1.來襲方向:網路攻擊

2.攻擊複雜度:低

3.權限提升需求:無

4.使用者操作需求:無

5.影喜範圍(Scope):僅限於發生漏洞之裝置

6.機密性影響:高

7.完整性影響:高

8.可用性影響:高

另外CVE-2016-13412漏洞,可允許攻擊者執行特定指令並讀取所有的檔案,威脅指數7.5(中危險級),威脅指標如下:

1.來襲方向:網路攻擊

2.攻擊複雜度:低

3.權限提升需求:無

4.使用者操作需求:無

5.影喜範圍(Scope):會影響到其他相關裝置

6.機密性影響:高

7.完整性影響:無

8.可用性影響:無

中華電信在本次重大數據機漏洞事故中,由於漏洞位置明確、後臺管理介面的帳號密碼不設防,使駭客能用簡單的方式奪取數據機控制權,並竄改數據機參數、盜取使用者帳號密碼,令成千上萬用戶暴露在危險之中,且漏洞也會影響與數據機串接的連網裝置,牽一髮而動全身而Devcore團隊也研判Port 3097漏洞影響上百萬臺家用數據機的安全性,並立刻通報中華電信儘速修補,釋出韌體更新檔以預防後續更大規模、更深入的影響。

【小結】

由於數據機除了擔任內網與外網的中介橋樑,並藉由與連網裝置串接的功能,成為連網裝置與外界交換指令和訊息的閘道;資安專家針對數據機漏洞依據CVE攻擊指標加以分析後,指出數據機安全防護上的常見重大缺失,包含管理介面僅預設帳號密碼明文儲存、未封鎖不必要連接埠等等,並藉由實際攻擊行為演示來提醒ISP和數據機使用者,漏洞對數據機本身和其串聯之連網裝置之威脅。

因此,數據機業者除了要依據資安專家建議進行漏洞修補外,也要配合ISP從源頭防杜駭客的第一波攻擊,更重要的是協助使用者配合正確數據機參數調校和安全性設定等方式,中斷駭客成功入侵的最後一哩路。

資料來源:

1.Cable Haunt vulnerability. Retrieved April 28, 2020, from ZDNet: https://www.zdnet.com/article/hundreds-of-millions-of-cable-modems-are-vulnerable-to-new-cable-haunt-vulnerability/

2.(2020). Cable Haunt. Retrieved Aprill 27, 2020, from Lyrebirds: https://cablehaunt.com

3.(2019, June 17). Common Vulnerability Scoring System Calculator. Retrieved April 28, 2020, from National Vulnerability Database: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

4.(2018年10月20日). [Day 5] 這個漏洞有多嚴重? [上]. 2020年4月28日 擷取自 IT邦幫忙: https://ithelp.ithome.com.tw/articles/10203313

5.蔡政達. (2019年11月11日). 你用它上網,我用它進你內網!中華電信數據機遠端代碼執行漏洞. 2020年4月28日 擷取自 Devcore: https://devco.re/blog/2019/11/11/HiNet-GPON-Modem-RCE/

 
Webduino-讓學童輕鬆學習物聯網的教育平臺
在數位科技趨勢下,我們生活各個層面勢必大受影響,未來的趨勢走向資訊化的進程,人才孕育方面將面對的是更躍上國際化的技能培養,在英文、程式語言、物聯網等成為未來科技人才必備的基礎技能,慶奇科技研發Webduino整合式物聯網教育平臺,讓學習程式語言的門檻降至國、高中生,希望透過系統式平臺讓物聯網的概念在學童們腦內更加具現化。而如何將程式語言、Coding 納入課綱,並有效協助學 ...
 
經緯航太開發無人機 引領智慧農業新未來
農業是民生和文明的基礎,如何更有效率的發展智慧農業已是未來農業發展的趨勢,臺南市、嘉義縣政府與經緯航太科技公司合作,在經濟部工業局的支持下共同推動「無人機農噴應用試驗」,希望能透過無人機的技術價值轉化為生活應用價值,讓傳統農業邁向科技化智慧化的時代。<<詳全文>> ...
 
費城管弦樂團 免費線上音樂廳開張
費城管弦樂團正在自家網站陸續放上高畫質音樂會影片,提供免費隨選收看。目前第一波2018-19樂季期間拍攝的內容已經上架,包括 Benjamin Grosvenor、 Emanuel Ax演奏的鋼琴協奏曲、歌劇《Amahl and the Night Visitors》、馬勒九。

邪惡勢力當心 福爾摩斯回來了!
墜崖失蹤的福爾摩斯,三年後神秘出現在華生面前,他究竟是如何死裡逃生的?面對昔日仇家的恐怖追殺,福爾摩斯要如何解決這些難題?
 
本電子報著作權均屬「聯合線上公司」或授權「聯合線上公司」使用之合法權利人所有,
禁止未經授權轉載或節錄。若對電子報內容有任何疑問或要求轉載授權,請【
聯絡我們】。
  免費電子報 | 著作權聲明 | 隱私權聲明 | 聯絡我們

沒有留言:

張貼留言