利用企業更新軟體的正式管道來輸送病毒
* 你在乎網路的隱私權嗎?
* 你的資料還在裸奔嗎?
* 你擔心程式被竊取嗎?
* 你擔心機密文件被駭客入侵嗎?
* 資訊安全專家 - 正新電腦 - 將提供給您資訊保安的產品和服務。
近來發生數起駭客攻擊事件,如「320黑暗韓國」駭客攻擊事件、臺灣政府電子公文系統被駭等等,而最為適切的處理方式是第一時間讓所有關係人都知道狀況,全員主動提高警戒,因為封鎖消息、掩蓋事實,反而會讓駭客輕易再次得逞。
上個月,我們大篇幅報導「320黑暗韓國」駭客攻擊事件,因為這起事件的攻擊手法──利用企業更新軟體的正式管道來輸送病毒,不僅前所未見,更是殺傷力十足。
此一駭客攻擊事件啟動破壞的一瞬間,韓國大型企業的數萬臺電腦竟然就應聲癱瘓,受害企業的員工束手無策的局面,令人震驚。虛擬世界的戰爭,已經可以打亂真實世界的秩序了。
事隔不到一個月,類似的攻擊手法在臺灣也上演了。負責全臺各機關公文交換的電子公文交換系統,在5月中旬證實被駭客入侵。據了解,此一事件之所以被發現,是有一位公務員在電子公文交換系統網站下載最新版的用戶端軟體(eClient),結果防毒軟體隨即警告:該下載軟體是不安全的程式,有可能是木馬程式。該員將此現象向上呈報後,相關單位追查後證實系統已被入侵。
在320黑暗韓國攻擊事件中,駭客是利用防毒軟體的更新機制,讓使用者的電腦在下載防毒更新檔時,也一併下載了惡意程式,並且安裝在受害的電腦上。而上述的公務員在官網下載新版的用戶端軟體,實際上卻下載了木馬程式,可見駭客也是利用使用者下載更新軟體的機制,把木馬程式偷渡到使用者的電腦上。這樣的攻擊手法,與韓國駭客攻擊事件基本上是相似的。
從攻擊手法相似度來看,這起駭客攻擊事件可不容小覷,更何況電子公文交換系統是國家重要的資訊設施。負責國家資訊安全的行政院資通安全辦公室,雖遲至5月24日才對外發布的新聞說明,卻也直指這起事件的攻擊模式之新、手法之複雜與精密程度,乃過去所罕見,判斷是駭客長期埋伏且有組織、有系統的行為。不過,事件過程中行政單位的處理做法,卻顯現出封鎖消息的意圖。
在主管機關掌握證據之後,行政院技術服務中心在5月15日就發布資安通報,認為駭客攻擊,但是在隔一周、5月22日舉辦的電子公文交換系統業務會議中,主管機關卻對駭客攻擊事件隻字未提,只強調要各單位強化電子公文交換系統的安全性,並於現場提供新版光碟,要求各機關清查軟體,並安裝最新版的用戶端程式。
此舉令人匪夷所思,主管機關都已經確認系統被駭客入侵了,而且還要求各機關回去後要清查軟體,並安裝現場提供的最新版程式,顯然主管機關擔心有些機關已經中計,讓駭客偷渡木馬程式得逞,那麼為何不跟與會的各機關電子公文系統承辦人員說清楚,好讓大家提高警覺?
現在這麼做的道理,我怎麼想都想不通,難道是主管機關不懂嗎?應不至於如此,因為行政院資通安全會報對於資安緊急事件處理即有明確的說明:「當發生資安事件時,立即召集相關單位應變並通知各政府機關防範。」唯一合理的解釋,就是企圖掩蓋事實。
殊不知,面對駭客攻擊,尤其是這類鎖定目標、長期潛伏的新型態APT(Advanced Persistent Threat)目標針對式攻擊,若採取企圖封鎖消息的做法,只會讓駭客繼續得逞。唯有壯士斷腕,第一時間讓所有關係人都知道狀況,全員主動提高警戒,才能改變原本敵暗我明的不對等情勢,讓駭客知難而退。
就以更新用戶端軟體來說,或許主管機關以為只是用戶端程式有問題,只要各機關重裝軟體就行了。但說不定木馬程式早就常駐在受害電腦了,只把用戶端程式換成新版本,根本解決不了問題。唯有告知駭客入侵的事實,提醒各機關其連線電腦可能已有木馬程式,必須整臺電腦清除等等,這些都得明明白白說清楚,才能讓所有受害電腦都回復到安全的狀態。否則,只要有任何一臺電腦不安全,駭客就會有機會再犯。
Google近日甚至宣布,對於他們所發現的軟體安全問題,當他們反應給軟體廠商之後,該廠商若未能在7天內告知消費者,並提出因應方法,Google就會直接對外宣布安全漏洞問題。之所以這麼做,是因為封鎖消息、掩蓋事實,並無法有效對付駭客。
友善連結: http://www.ithome.com.tw/itadm/article.php?c=80900
SafeNet資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
※ 您也可以加入我們的 Twitter (資安專家-正新電腦) 隨時獲得最新訊息哦!
https://twitter.com/keypro_pronew
上一篇:個人資料保護