第195期 / January 5, 2014

產業觀察

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

2013年資安事件回顧

作者/簡順堂

[發表日期:2013/12/30]



歲末年終,筆者特別整理了2013年內發生的資安事件,他山之石,期帶給我們一些值得參考的訊息。

USSC網站被駭

2013年年初第一個重要資安事件就是美國量刑委員會(United States Sentencing Commission,USSC)的網站被駭客聯盟Anonymous攻陷。主要原因在於Anonymous支持RSS技術規格創始者Aaron Swartz於2013年初自殺身亡。而自殺原因普遍認為是由於2012年Swartz為了宣示網路自由及資訊開放的理念,於是從MIT(麻省理工學院)的網站下載了數百萬篇的論文公布在他的社群網站中,美國政府因此便依智財權保護法對他提告,使他面臨百萬美元的罰款以及卅五年的有期徒刑,引發了Swartz的憂鬱症。駭客聯盟Anonymous表示支持Swartz所追求的網路自由理念,於是便在1月25日駭入USSC網站,除了在網站上發布支持Swartz的影片與聲明外,還下載了許多經過加密的檔案,聲稱如果美國司法制度沒有任何改革,就要把這些機密資料公諸於世。Anonymous認為,美國司法判決結果對Swartz來說並不公平,而USSC在這場判決中具有重大影響力,是隸屬在美國聯邦政府下的獨立司法機構,主要負責確立和規範美國聯邦法院的量刑政策,也因此成為Anonymous的攻擊目標。

USSC後來發表聲明表示,遭受駭客入侵後,他們暫時關閉了網站和進行修復,並在幾個小時後回復運作,目前已知遭竊走的資料包括公開發行物、培訓資料、以及量刑統計資訊等。另一方面,FBI也表示已經展開調查,但沒有進一步說明細節。

在這裏,我們排開對駭客行為的評斷,就此事件,面對營運與業務都網站化的企業或組織來說,「網站的安全防護」無疑是第一要件,而WAF(Web Application Firewall)正是解決方案的最佳代表。WAF 可以檢視Client端與網頁應用程式間的HTTP/HTTPS 流量內容,可以偵測並阻止各種形式的網頁攻擊。

南韓320網路恐怖攻擊事件

接下來,是南韓所發生的「320網路恐怖攻擊事件」。3月20日下午兩點,韓國KBS、MBC和YTN電視臺的上萬名員工發現正在使用中的個人電腦突然關機,而且重新開機後螢幕只有一行字「ErrorCode 8002: Invalid MBR」,這訊息是說這台電腦的硬碟開機磁區已經損毀了。同一時間,新韓銀行、農協銀行和濟州銀行也有上萬臺個人電腦故障,部分銀行伺服器也停擺,網路銀行交易自然都中斷,ATM服務也自動關機了,導致多處民眾無法領款。

這次攻擊統計南韓被癱瘓了近4萬8千台電腦,經過資安專家解析,指出這次攻擊行為屬於APT(Advanced Persistent Threats) 先進持續性威脅攻擊,從惡意程式的產生日期來看,一部分惡意程式判斷在今年1月30日就已潛伏在受害企業當中,還有另一支則早在2012年7月30日就已進駐,國際資安專家研判駭客是先攻陷韓國當地品牌AhnLabs防毒軟體廠商的病毒碼更新主機,然後將惡意程式透過AhnLabs防毒軟體正常的更新系統(PMS, Patch Management System)派送到企業電腦中而散佈運作的。另個可能則是提供這些企業ISP的DNS伺服器遭竄改DNS紀錄,導致原本應連線到AhnLabs防毒軟體公司的PMS系統錯誤連結到惡意網站,而惡意程式可能又偽造更新程式的數位簽章,所以成功將惡意程式派送到用戶端電腦。

這種攻擊方式讓各企業的防護機制無法察覺而造成大量的感染,也宣告了就算是專業的資安防毒供應商也應注意APT攻擊的防護,否則就會成為很大的笑話了。

APT是客製化的目標式攻擊;APT會使用偷來的合法數位簽章,繞過資安設備的白名單;APT會使用零時差漏洞;APT會使用加密碼的文件,繞過沙盒或虛擬環境的測試。凡此種種都讓我們必須跳開傳統的防禦觀念正視APT攻擊的防護,2013年各家廠商也推出了各種APT防護方案,應該算是今年最熱門的資安議題。

國內銀行個資外洩

國內在今年五月間某銀行網站因為網頁索引設計問題及網頁目錄讀取權限未作嚴謹設定,使它的網銀繳費中心可以查詢到大量的用戶連絡資料、甚至信用卡號,透過Google搜尋也能找到這些相關資料。金管會認定這家銀行內部控管制度上有疏失,依違反銀行法第45條之1第1項與第129條第7款規定裁罰400萬元。這個事件洩漏的個資在3萬筆以上,如果依個資法每個人向該銀行求償,即使只有賠償最低額度的500元,這家銀行也要損失1500萬元以上的。

當企業或組織面對網頁在不斷更新功能與資料的程序中,如何掌握這些更新是否是安全的,其實應該可以透過網頁的程式碼檢測(Code Review通稱為白箱測試)及滲透測試(Penetration Testing通稱為黑箱測試)來進行檢測,必須將這些檢測出來的安全弱點都改正後才能正式上線,以避免因為程式或網頁的弱點受攻擊而造成資料外洩或網站無法營運。

電腦勒索事件

最後跟各位分享的是電腦勒索事件,全球各地自10月起出現許多電腦被勒索的災情,國外媒體甚至估計有上百萬台電腦受害。一隻名為「CryptoLocker」的勒索軟體將受害者電腦裏的檔案加密,讓使用者無法開啟檔案,「CryptoLocker」要求被害者在三天內付出300美元的解密贖金,付款方式採用Bitcoin虛擬貨幣(比特幣),以及MoneyPak、cashU等匿名交易機制讓警方束手無策。三天到了如果不付錢,它將會銷毀解密私鑰,讓這些檔案永遠無法解密使用了,許多知名企業在重要資料被「CryptoLocker」加密無法開啟與嘗試解密手段無效後,只能乖乖選擇交付贖金來換取解密金鑰。

國際的資安專家研判「CryptoLocker」的攻擊途徑是透過社交工程方式以郵件挾帶惡意附件檔案或釣魚網站,誘使受害者開啟執行安裝了這隻惡意程式,這程式會搜尋網路上的C&C(Command and Control)控制伺服器,送出用戶端電腦的識別號碼,再由C&C控制伺服器產生加密使用的公鑰(Public Key)與私鑰(Private Key),然後「CryptoLocker」會下載公鑰到受害者電腦,至於私鑰則留在C&C控制伺服器。「CryptoLocker」獲得公鑰後,便會尋找受害者電腦的磁碟機,包括本機的硬碟、連結電腦的USB磁碟、網路芳鄰磁碟機、雲端硬碟、檔案伺服器的檔案等等,只要被「CryptoLocker」找到,都有可能被它用公鑰加密,而且使用的是AES與RSA 2048位元這些高等級的加密技術,如果沒有獲得解密的私鑰,依現在的電腦技術仍必須長達數年才可能進行暴力破解。

面對這樣的攻擊手段,公司內的社交工程防護意識的建立應該是最重要的,另外,幸運的是目前大部分的防毒軟體已經都可以偵測到這樣的惡意程式入侵了,因此,對每台電腦進行防毒軟體的安裝與隨時更新病毒碼與程式就是防護的重要手段了。

結論

上述四個事件,由駭客攻陷政府部門網站、銀行與傳播媒體被駭無法營運、網站個資外洩與電腦檔案被加密勒索,顯示目前資安攻擊的多樣性與演化,有朋友笑說2013年是「資訊安全」在被長期忽視的狀況下重新被世界大眾重視的起始年,資訊系統既然已經走入我們的生活中,安全問題便不容忽視了,並且應該注意最新的資安威脅與防護手段,選擇最適合自己企業與組織的資安方案,來讓大家安心的生活--生活在安全的資訊科技世界中。