2013年4月9日 星期二

防毒解藥變毒藥


防毒解藥變毒藥

在層出不窮的資安威脅下,我們把資安公司當成是最後一道防線,然而現下企業也必須考量全然信賴資安公司的風險。

上周韓國爆發駭人驚聞的大規模電腦當機事件,3萬2千多臺電腦竟然在3月20日下午2點集體當機。很難想像這3萬多臺電腦涵蓋了3家韓國銀行及2家電視臺,數量如此龐大、且分散在多家公司,竟然還能在下午2點同一時間當機,而且重開機只能看到開機磁區故障的訊息,完全動彈不得。

如此大規模集體癱瘓的景象,十足是科幻電影的場景,背後好像有著什麼不可知的神秘力量在操控,一聲令下,應聲而倒,不然數萬臺電腦怎麼有如此離奇的群體行為。而且,受害的還不只是企業辦公室裏的電腦,連銀行的ATM提款機也自動關機。災情衝擊之大,逼得韓國政府緊急提升國安警戒。

韓國給人普遍的印象是網路發達、資訊應用領先,然而此一攻擊事件之下,韓國企業卻像是紙糊的老虎一樣,脆弱不堪一擊。尤其受害企業還是銀行、電視臺等指標性大公司,更是讓人跌破眼鏡。

這起攻擊事件對企業是很大的警訊,其一是癱瘓式攻擊不再只針對網站或特定主機的服務,而能更深入到企業,癱瘓所有的電腦,直接中斷企業的營運。企業網站停擺影響的只是局部的功能,但所有員工的電腦停擺,對現代的企業而言,幾乎是宣告營運中斷。

其二,各方調查陸續挖掘出的事件真相,都證實了一個未曾見過的駭人手法,駭客竟然利用企業對防毒軟體公司的信賴,把防毒公司定期提供的病毒更新檔給調包,讓病毒更新檔夾帶駭客的惡意程式,在企業用戶電腦更新病毒檔時,也一併安裝了惡意程式。而這個惡意程式,就是用來控制電腦在下午2點自動刪除開機磁區。

駭客能把防毒解藥換成毒藥,關鍵在於先挾持防毒軟體公司的病毒更新主機。調查發現,起碼有兩家韓國當地的防毒公司被駭客入侵,發動此次攻擊的駭客已先掌握這3家銀行、2家電視臺的防毒軟體公司,只要攻下防毒軟體公司,利用他們的正常管道派送惡意程式,接下來就高枕無憂了。

要能造成大規模的電腦癱瘓,可不是一件容易的事。過去,駭客要發動DDoS阻斷式癱瘓攻擊,一開始得先挾持大批可供指揮的傀儡電腦,而要讓數千、數萬臺電腦上?,駭客得先找一些容易下手的網站,在其網頁植入惡意程式的連結,若該網站用戶的電腦不夠安全,就會被感染惡意程式,當惡意程式自動運作之後,駭客就能遠端操控這臺電腦,指揮這些傀儡電腦針對特定目標發動網路攻擊。但是,這整個過程充滿諸多不確定性因素,駭客不太能夠準確掌握發動攻擊時能有多少臺傀儡電腦可用,因為只要傀儡電腦關機,或是沒連上網路,就無法發動攻擊了(所以電腦不用的時候要關機),因此駭客只能想辦法挾持更多的傀儡電腦。

相較起來,韓國這次駭客攻擊的手法精細許多,明顯就是精心設計的針對式先進攻擊(APT)。想必駭客為達成目的,不擇手段,即便過程中要入侵資安公司也在所不惜。過去,我們會認為APT攻擊的主要目的,都是竊取國防或是重大的商業機密,好像離一般企業還很遠,但我們現在得對APT有更高的警覺。

這起事件之後,企業也必須思考一個過去鮮少面對的問題:資安公司還值得信賴嗎?

在層出不窮的資安威脅下,我們把資安公司當成是最後一道防線,但絕大多數的人都未曾想過這道防線有潰堤的一天。

這次韓國的防毒軟體公司被利用來散播惡意程式,突顯企業非常難克服的弱點。難道企業不應即時更新病毒檔嗎?不更新病毒檔或是軟體修補檔,絕對是有違資安政策的作法,但這次事件的關鍵就出在更新病毒檔,難道企業還需要再檢查防毒公司的病毒檔嗎?若要依賴另一家資安公司的解決方案來檢查,如何確定這家資安公司是值得信賴?再這樣下去就是個沒完沒了的無限迴圈,但擺在眼前的事實卻又是如此,所以企業不能再一味相信資安公司,因而不採取其他的配套措施;資安公司則不能只是再提APT攻擊如何可怕,要為企業所信賴,就必須開誠布公,證明其可信賴,對於誓言要保護企業安全的資安公司來說,責無旁貸。

撰文者:吳其勳/iThome電腦報周刊總編輯
轉載自《iThome》