網絡安全事件簿(1)網路駭客—你的瞭解有多少?
臺灣駭客所使用的手法及工具日新月異,攻擊的目標已從早期的伺服器,轉向個人電腦,想強化資訊安全,不光是把駭客擋在家門外就好,需達到三個目標:機密性、完整性及可用性。
這幾個月以來,如果打開電視或者瀏覽各大新聞網,「谷歌」這個Google正式中文名稱佔據了大量的版面。建議你試著從Google所提供的新聞搜尋功能,鍵入駭客二字,我現在查詢出現的結果,會看到「得意!17歲駭客:入侵大陸貼我國旗」在第一個搜尋欄位中出現。
回想十七歲當年,可能有很多人像我一樣,準備大學聯考佔據了大部分的時間,只有偶爾連上撥接BBS站,或使用各大學提供的免費撥接來存取一些網路資源。現在的網路發展與當年已不可同日而語,十七歲的年輕學生可以透過網際網路,輕鬆獲得許多與駭客相關的知識與工具,藉此進行一些危害資訊安全的行為,而且在媒體上佔據了版面,對於現在頻繁使用網際網路的日常生活來說,這項新聞提醒了我們必須對資訊安全有所警覺。
[size=-2]從紅線可以看到攻擊行為日趨複雜,藍線走勢則意味入侵所需的技術知識程度已逐年降低。資料來源:CERT/CC
駭客的威脅
事實上,在媒體的推波助瀾下,駭客這一詞早已被污名化,變成許多攻擊事件的主使者。在這樣地大肆炒作下,駭客入侵的嚴重性,一般人卻沒有太大的感覺,反而以一種羨慕技術高超的角度來看待駭客社群。
這並不是一個正確的看法,舉例來說,從 CIH 事件被報導之後,加上媒體持續的追蹤,誤導了一些年輕人的想法,他們以為要有某些豐功偉業,才能踏進資訊安全的領域,實際上並不盡然。一般而言,駭客可分為三大類:
指令小子(Script Kiddle)
Script Kiddle許多中文翻譯為指令小子,顧名思義他們會利用網路上現成的自動攻擊程式,以這些程式掃瞄出系統的許多弱點,讓這些人可以在未獲得授權的狀況下,取得系統權限。
這些人通常不具備相關知識,對這些系統弱點及掃瞄與運作方式都不熟悉,所以入侵經常無法成功,但是萬一得手,卻又不曉得已經造成重大危害,實在非常糟糕。
在臺灣,許多喜歡塗鴉網站(Defaced)的駭客便屬於此一族群,數量非常龐大。
白帽駭客(White Hats)
這些是懂得安全弱點的駭客,同時也知道如何找出並且利用弱點的人,script kiddle 所利用的工具,大多出於這些駭客之手。
這些人具備道德的良知,在企業或資安公司裡,默默協助資訊安全的強化,幫助甚大,異於那些亂搞卻不知其然的小朋友。
黑帽駭客(Black Hats)
與白帽駭客相同,差別在於他們不具備道德良知,只關注於利益或炫耀其技術。最可怕的莫於利用自身具備的能力,勒索他人。
由美國 CERT/CC 所做的一項研究中可以看出,要具備入侵及破壞能力的知識,困難度正在逐漸下降。
臺灣駭客與事件回顧
歷經幾年的發展,臺灣的駭客也出現了一些知名的個人或團體,甚至在國外發表過相關安全訊息。目前大多透過兩種方式維持聯繫,一是透過 IRC聊天室,一為透過所謂聯盟網站相互溝通。
在大多數人的認知裡,主修電腦相關科系的駭客比例應該是最高,實際上不盡然,臺灣具備此種能力的許多高手,並非主修相關科系,在國外甚至有芭蕾舞者在網路安全公司擔任重要研究角色,這點遠超出大家想像。在臺灣,駭客造成了一些影響,讓我們簡單回顧及說明歷年來由本土駭客所引發的事件。
1999年:黃姓軍醫案
這是國內破獲首宗典型的駭客入侵案。在這個時期,許多提供服務的主機並未針對系統漏洞進行檢查,並安裝修補程式,同時在連線時未使用加密的通訊協定,讓駭客可以輕易地在網路上以 Sniffer 攔截到不少 ISP 使用者帳號密碼,藉此登入主機,執行針對使用者電腦本機端的攻擊程式,取得管理權限。
2001年:刑事局破獲入侵證券商網路下單系統駭客
前面提到 script kiddle 利用自動攻擊的程式以獲得權限,而這是一個進階版的例子,駭客利用了這些工具,掃瞄網路下單主機、找出漏洞後,進而搜尋系統中包含客戶帳號密碼的檔案,並透過下單系統,利用這些資料登入後,接著進行買賣。
2003年:木馬駭客落網 警方要求現場寫解毒程式
繼BirdSPY木馬程式後,臺灣駭客在後門程式上的設計與實作已有大幅進展,並受到大陸駭客廣泛使用,多安裝在被入侵的臺灣使用者電腦主機之中。主要特色並非像傳統後門程式以直接連線執行,而是透過中繼的方式進行。被安裝後門程式的主機或個人電腦會主動對外連線,在當時一般防毒程式無法偵測到這項威脅,許多使用者因此受到波及。
2004年:16歲駭客「網路釣魚」竊密
臺灣駭客開始利用 phishing 方式,詐騙受害者帳號密碼。特別的是本案例中的駭客,竟然成功騙取了某駭客組織領袖的密碼,之後再成功取得網站管理者密碼,令正牌站長為之氣結,卻又不敢聲張。
2005年:駭客入侵大考中心 過去三年逾百萬筆資料外流
這是目前國內最神勇的駭客,媒體將他塑造成駭客天才,除了竊取資料外,還可以肉眼檢視資料,破解密碼,宛如電影「美麗境界(A Beautiful Mind)」中的 John Nash。
事實上,這只不過是肇因於簡單的 SQL Injection ,此漏洞在網路上公佈了已經有六年以上,而非全新的系統漏洞,這是程式設計人員的疏失所造成的駭客事件。
在網路時代,資訊安全愈顯重要
由以上這些事件來看,臺灣駭客所使用的手法及工具日新月異,攻擊的主要目標已經從早期的伺服器,轉向一般的個人電腦。除了攻擊本身所造成的影響外,受到入侵的原因甚廣。除了未及時針對漏洞補強,系統的錯誤設定、建置安全設備未設定良好安全政策、未定期檢視及修正安全政策等,這些皆屬經常發生的疏忽。
想強化資訊安全,需達到三個目標:機密性、完整性及可用性,不光只要把駭客擋在家門外就好。簡單的說,就是不讓未經授權的人讀取被保護的資料,確保被儲存的資料不受到不當的方式改變,並要求資料只能被擁有權限的人讀取。要符合這三大目標,對個人、學校單位或企業來說,並非一件可以簡單完成的工作,但是我們可以透過一些簡易的步驟及原則,逐步加強。在未來的專欄文章裡,將會依照不同的目標,透過實際的例子,進一步與各位讀者說明。
網絡安全事件簿(2)駭客攻擊目標大轉彎-個人電腦請小心
駭客們沒有必要去單挑安全防護越來越滴水不漏的企業及政府的主機系統,相較之下,攻擊數以萬計疏於防護的個人電腦,反而簡單多了。
隨著寬頻網路的普及、個人電腦功能不斷升級,加上政府與企業對主機系統防護愈來愈重視,駭客攻擊的目標已經逐漸轉向,而一般個人用戶往往缺乏安全防護知識與錯誤認知,更讓駭客開始大肆入侵個人電腦。
幾年前美國的911攻擊事件後,這樣的趨勢更是變得十分明顯,駭客們沒有必要去單挑安全防護愈趨滴水不漏的主機系統,攻擊數以萬計疏於防護的個人電腦使用者,反而簡單得多。
駭客的濫觴—從8LGM談起
談到駭客入侵,就讓我不得不想到8LGM的故事。什麼是8LGM?相信許多沒有資訊背景的讀者一定會覺得一頭霧水。8LGM是一個由駭客們所組成的業餘組織,他們在成立初期可說是聲名狼籍,因為早期由他們所發佈的Security Hole(安全漏洞)都附有如何入侵系統的原始碼,操作人員若是不夠謹慎,系統隨時有被入侵的危險。這個組織最近幾年已不再提供原始程式碼,不過8GLM所造就的環境,儼然就是駭客的濫觴。
約莫十來年前-也就是臺灣的學術網路剛剛發展之初,利用8LGM所公佈的原始碼與系統漏洞資訊,侵入主機趁機存取其他網路使用者的隱私或個人資料,這種擁兵自重的行為,曾經造成學術網路管理上很大的漏洞,在BBS上也曾經引起激烈的辯論攻防。如今看來,學生們在留言板上的激烈辯論,仍然是資訊人念念不忘、茶餘飯後閒聊的話題,或許這有點好笑,卻也點出了資訊安全的隱憂與重要性。
[size=-2]用8LGM所公佈的原始碼與系統漏洞資訊,這種行為曾經造成學術網路管理上很大的漏洞,在BBS上也曾經引起激烈的辯論攻防。
駭客開始挑軟柿子吃:個人電腦
如同前面所說,在企業與政府的主機系統防護愈來愈嚴密的刺激之下,加上個人電腦功能不斷推陳出新,許多線上應用程式在寬頻網路普及之後,更如雨後春筍般侵入每臺個人電腦之中。對駭客而言,這彷彿像是發現新大陸一般,只要成功入侵一部電腦,便取得了繼續攻擊其他電腦的跳板,電子郵件、MSN Messenger、Skype等都是駭客藉以入侵、癱瘓系統的管道。
日前媒體報導傳出eBay與PC home將聯手打造新的線上購物平臺,搶食這塊愈來愈成熟的市場大餅,其實,線上交易機制與從中衍生出的商業交易平臺,也是個人電腦受到駭客覬覦的幫兇之一。愈來愈多的網路交易資訊,儲存在電腦硬碟之中,駭客不像以往必須入侵線上交易平臺才能竊取相關資料,因為光靠劫掠個人電腦就已提供相當豐富的資源。
當然,太多企業或公司行號的員工,將商業資料儲存在個人電腦裏,這個誘因實在太大,而駭客們豈會輕易放過。
除了攻擊目標的轉換之外,駭客的攻擊方式也從以往直接針對伺服器,到現在開始使用網路釣魚(Phishing)來引誘電腦使用者連上惡意網站、下載惡意程式。先前Sony 利用Rootkit來安裝數位版權管理軟體,藉此捍衛旗下音樂產品的版權,類似的手法則常被駭客用來入侵個人電腦。利用應用程式設計介面(Application Programming Interface ,API)取得個人電腦的管理權限,是駭客慣用的手法,許多駭客甚至還會趁機將惡意程式植入電腦,造成電腦失能或毀損。駭客攻擊個人電腦的目的,也從以往純粹炫耀、警告等變成了經濟上的考量,藉由對重要檔案刪除或加密等威脅,達到了勒索取財的目的。
安全防護的關鍵在 「人」
在這樣的趨勢之下,大家會開始問:「作好個人電腦安全防護的關鍵在哪?」除了要有基本防駭的軟硬體設備如防火牆等外,其實根本的防制之道還是在於要有安全意識、要保持良好電腦使用習慣,也就是說,「人」才是關鍵。
有人說,網路防火牆是企業與個人最佳的資訊保全人員,這句話絕對是正確的。「有了防毒軟體為什麼還要加裝防火牆?」這是許多個人電腦使用者的疑惑,其實,防毒軟體與防火牆是相輔相成的,防火牆便如同電腦系統的保全人員,所有惡意程式想透過外部網路侵入內部網路系統,都要先經過防火牆的考驗,這也是防止駭客的基本防務;而防毒軟體便像是家中養的狼狗,電腦在防火牆的阻擋之下,駭客仍然能溜進內部網路時,狼狗便成了第二層保護網,希望能夠有效防止駭客植入的惡意程式,避免電腦功能受到損傷。
防火牆要成為最佳的資訊保全人員,還要配合使用者良好的使用習慣與安全意識,並得確時貫徹執行。許多駭客入侵的機會點是可以被避免的。大家都知道,不要隨意開啟寄件人不明郵件的附加檔案、防止輕易連結隨電子郵件而來的不明網址、謹慎使用隨身碟等,都可以大幅降低駭客入侵的機會。
另一方面,當線上遊戲盛行後,雖然帶動了token的使用頻率,但若是因此而讓隨身碟或智慧卡(smart card)長時間與電腦主機相連結,同樣將增加駭客掌控電腦的機會,他們可以藉由此一管道侵入。
有了防護工具的協助,加上個人對於網際網路系統謹慎使用,便可以杜絕大半可能遭受駭客攻擊的弱點。當然,駭客技術可說是日新月異,可能受到入侵的新弱點隨時會產生,個人電腦使用者還可以透過防毒軟體更新、吸收安全防護資訊等方式,讓自己的電腦隨時處於相對安全的狀況。
當然,世事無絕對,定期備份資料,則可以讓你在相對安全的電腦環境之下,得到絕對安心的感受。
網絡安全事件簿(3)資安威脅闖進校園
校園資訊安全的威脅除了來自於學生本身之外,來自外部的攻擊或破壞行為,更是讓人防不勝防。
男女朋友彼此的學校距離遙遠,雙方都常會因猜忌與不安而產生想要監控對方的企圖,這是大學男女交往常常會面臨到的問題。最常見的監控方法不外乎打電話、突襲檢查、安排眼線等;對於有資訊背景或有相關常識的大學生而言,似乎多了一種選擇-侵入對方學校的主機伺服器,設法取得管理者權限,藉此檢查對方電子郵件內容,或取得對方即時通訊軟體的對話記錄檔案,達到類似徵信甚至「抓姦」的效果。這種日常生活經常上演的戲碼,某種程度上已透露出校園安全的隱憂。
內憂:無法嚴格規範不守規矩的學生
學術單位象徵著一定開放程度的自由空間,學校在制定網路安全策略時,無法像企業一樣對員工與其他使用者做出嚴格的規範;在這樣的背景下,又要肩負防止惡意攻擊的責任,學校的資訊安全部門處於極為兩難的境地。而校園資訊安全的威脅來自兩個層面,一個是校園內部,另一個則來自校外的攻擊。
內部的安全威脅來自於學生本身。學生由於年少輕狂,時間又多,對於利用自身資訊能力來展現自我價值,可說是樂此不疲,因此架設FTP站臺、下載/上傳非法檔案等,在學術網路的世界中屢見不鮮;又有甚者,透過PHP來讀取某些資料、入侵校園主機竊取機密資料等也是大有所在,許多還更牽涉到法律問題。除了這些具有資訊背景的學生高手之外,一般的同學常常因為缺乏防護觀念,在休假離開/返回校園之際,將病毒透過筆記型電腦帶回了學校的宿網,因此引起病毒在學術網路中擴散,這些難以徹底防範的安全事件,都讓學校頭疼不已。
外患:學網淪為入侵他國網路的跳板
除了內部威脅之外,許多來自外部的攻擊或破壞行為,更是讓人防不勝防。由於學術網路的頻寬夠大,往往招致來自校外的駭客入侵主機,竊取教學內容、專利資訊或是學生資訊等等。
近年來七月份總會出現一則提醒大家注意國際駭客的新聞,內容提及由於正值學校單位的暑假期間,許多國際駭客抓準學生大量使用網路資源所產生的漏洞,大舉入侵臺灣學術網路系統,也由於源頭難以追蹤,臺灣學術網路也成為駭客攻擊其他國家網路系統的跳板。
為了維護學術自由的理想之餘,同時兼顧安全防護,一些基本的網安策略,如以帳號及密碼來管理學術網路使用者,絕對是需要學校單位確實執行的。
漏洞入侵花樣多
漏洞發生的問題很多,包括錯誤或不安全的設定,以及程式撰寫未考慮周詳是最常發生的原因。例如常聽到的Buffer Overflow、SQL Injection 都是因為在欄位輸入的時候,程式沒有詳細的檢查與限制,才會導致這樣的結果。此外,不安全的設定,也是造成校園系統帳號密碼外洩的原因之一。舉例來說,現在網路有許多以網頁為操作管理介面的免費軟體,甚至開放原始碼的系統,非常容易安裝及使用,卻忘記把網站伺服器上面的磁碟資料夾索引(directory indexing)關閉,所以入侵者可以直接瀏覽網站的資料夾,檢視內容,甚至可以把整個記錄帳號密碼的檔案抓走,造成系統的資訊外洩。甚至有可能被搜尋引擎的spider程式收錄,提供駭客方便的查詢管道。
[size=-2]用Google的「Site」指令搭配「Index of」關鍵字,搜尋開放資料夾索引的網站。
遭到入侵,輕者主機癱瘓,重者吃上官司
學術網路一旦遭受攻擊,會產生情況與程度不一的不同結果。不管是遭受到DoS(Denial of Service,阻斷服務)/ DDoS(Distributed Denial of Service,分散式阻斷服務)、被蠕蟲(Worm)或木馬程式(Trojan)感染,還是受到垃圾郵件(Spam) / 網路釣魚詐騙(Phishing)。
手法引誘成功,結局多半不外乎是主機受到癱瘓、控管或毀損,只是受害情形有天壤之別;輕者也許只要清除有問題的檔案、重新安裝作業系統與應用程式即可,重者有可能導致機密資料永久毀損,甚至因此賠上學校信譽或吃上官司。
DoS攻擊是一種很簡單但也很有效的進攻方式,能夠利用合理的服務請求來佔用過多的服務資源,使合法用戶無法得到原本的服務。DDoS攻擊則是一種基於DOS特殊形式的攻擊,駭客透過對大批主機系統與設備的控制,讓它們同時對目標發動Dos攻擊,破壞性遠勝於單純的Dos。許多時候主機無法提供你應有的服務機制,很有可能就是受到這種攻擊而導致資源耗盡所產生的結果。
[size=-2]DDoS攻擊會先遙控多部殭屍電腦(Zombie)連線至受害者的主機系統,造成癱瘓。
蠕蟲是針對電腦程式所設計之病毒,會透過網際網路傳播,有別於一般電腦病毒,蠕蟲並不具備竄改程式的能力,但通常會夾帶別種更具破壞性的電腦程式、四處傳播。木馬程式一如木馬屠城記以木馬掩人耳目,能攻其不意而逞其陰謀。木馬程式就像披著狼皮的羊一般,讓系統使用者或管理者在沒有察覺的情況下,輸入系統使用者代號及密碼,而導致入侵,讓主機系統受他人掌控。在線上遊戲或其他正常網路行為的掩飾之下,系統往往就此遭受攻陷。
垃圾郵件與網路釣魚類似,都是透過未經許可擅自寄送的商業郵件,詐騙網友的個人資料,達到騙取機密資訊的目的。垃圾郵件不一定涉及詐欺,但所有的網路釣魚則都是駭客惡意設下的一種騙局。經過許久以來的經驗傳承,幾乎所有人都已經能夠意識到一般垃圾郵件的手法,但新型態的網路釣魚騙局卻在HTML頁面直接使用了合法公司網站的圖檔,讓人很難加以判別真偽,也因此掉入了數位陷阱之中。
[size=-2]網路釣魚詐騙信件。
不過正所謂「姜太公釣魚-願者上鉤」,許多受到入侵的學術網路主機系統,還是源於學生不正當的網路使用習慣所造成,下一篇我們將針對氾濫的校園資安威脅來源,提出有效與實際的防護建議。
作者/林佶駿
Juniper Networks新興科技部門技術經理,曾任職臺灣電腦網路危機處理中心(TWCERT)、鈺松國際資深技術顧問,敦陽科技資訊安全事業處資訊安全顧問。擁有美國CERT/CC講師認證、CEH講師認證、CISSP證照。
曾發表多項安全弱點,協助執行電腦犯罪鑑識,擁有豐富的網路安全滲透測試服務經驗。
[
本帖最後由 蔡逸竹 於 2006-9-11 20:22 編輯 ]
