昨(1)日,台灣及香港的《蘋果日報》網站進行全程實況轉播,卻遭受到猛烈的網路攻擊。這一系列攻擊從六月底報導香港爭取普選後開始,但再多打壓都不該讓新聞自由禁聲,因此沃草於上週日(29)在台大新聞所舉辦「沃草公民學院--台灣,你資安有洞嗎?」講座,邀請三位講者針對台灣資安狀況、政府在網路戰中的角色扮演,進行實務與學術分享。其中,台灣網路社群知名的資安專家、現任戴夫寇爾資安公司執行長翁浩正(Allen Own),以「在蘋果被駭之後——台灣資安現狀及潛在危機」為題,介紹不少資安事件及駭客攻擊手法,呼籲網路使用者應更有資安意識,政府與企業則應協助資安產業的發展,尤其政府更亟需建立資安通報統籌單位,對一觸即發的網路通訊大戰做好準備!
資訊安全你我有責 資安意識很重要!
翁浩正首先詢問台下觀眾,「資訊安全是誰的責任?」隨後他解釋,國家對於資安應有相關作為,如兩國之間的網路戰,國家應有相對應的作法以承擔風險;政府的政策與措施則進一步防止資安問題;企業內部防止機密資料外洩,也是資安的一環;個人若能知道駭客的攻擊方式、知道如何防禦,當大家都有足夠的資安意識,則可以防止很多資安問題。
他舉例,2009年PChome線上購物個資外洩,當時公關副理表示:「個資又不是氣體,怎麼會外洩?」這就是資安意識的不足。根據賽門鐵克報導,去年全球有5.5億筆個資外洩,而這還只是檯面上的數據。而台灣在2013年全體網路威脅中名列全球第9,全球不少防毒軟體、資安公司都很喜歡到台灣在台灣進行實驗、找尋攻擊範本,但台灣卻沒利用這個優勢好好發展資安產業。
此外,今年五月,eBay公布1.4億筆用戶資料外洩、AOL坦承系統遭入侵,駭客可能存取大量使用者帳號、美國零售商IT系統出問題,光是Target就有7000萬筆個資外洩;回到台灣,多家企業都使用第三方開發的系統,是否安全、經過資安評估?又如政府許多大案子,如戶政系統,到底有沒有方法去驗證開發者所提供的系統是可靠的?這些都是資安概念,需要大家多注意。
Cyberwar早已開始 九成駭客攻擊由國家級機構發動
翁浩正接著解釋駭客攻擊。他首先舉近日蘋果網站被攻擊為例,解釋「一般國家級駭客攻擊都不會讓你發現,目的是要竊取資料;但這次蘋果被DDoS攻擊,駭客除了侵入系統,甚至刪除伺服器資料,具有十分濃厚的恐嚇意味,而目的與攻擊者不得而知。」
不少資安公司的報告都指出,約莫九成的網路攻擊都是由國家級機構所發動,目的是要竊取機密情報。面對國家級駭客的攻擊,其實沒有太多防禦手法,只能換掉全部密碼、重灌電腦、猜測攻擊者是誰。去年三月,駭客癱瘓南韓電視台、銀行的電腦,格式化磁碟清空資料,後南韓公布調查報告,指控北韓為主謀,而攻擊籌劃時間長達八個月。
另外,翁再舉例「北韓在2009年將網路特種部隊擴編制3000人,有些派駐中國,以便從事海外滲透的任務。」不少電影中駭客侵入國家資料庫的情節都正在上演,雖然目前台灣的基礎建設資訊化程度不太夠,所以駭客攻擊尚未如此猖獗,但在美國與伊朗,都已有駭客攻擊基礎建設的前例、未來台灣也會面臨此問題。
「駭客」是什麼?不要再污名化駭客!
翁浩正又提到,「駭客」一詞原指「熱中於電腦系統技術研究的專家」,但在大量誤用下,常被指稱是非法惡意破壞、入侵系統的人。駭客又分為「白帽(White Hat)」、「黑帽(Blacl Hat)」、「Cracker」、「Script Kiddie」等。
白帽駭客指的是資安專家,對系統安全進行研究並防禦修補,多數從事資訊安全相關行業;黑帽駭客則可能進行非法行為、Cracker則指專司攻擊者;Script Kiddie則是那些技術不純熟或不懂原理,只會使用現有攻擊程式進行惡意破壞的攻擊者,如一些青少年利用上網抓的木馬病毒去竊取網路遊戲的虛擬寶物。
面對攻擊 找出來源才是重點
翁浩正感嘆,台灣沒有足夠成熟的環境讓對資安有興趣的人成長,不少人因此轉往地下發展,最後被駭客組織吸收、進行非法行為。駭客組織又分為國家、政府、企業編制等,或是地下組織,如知名駭客組織Anonymous便是一例。這些駭客組織發起網路戰,為的可能是竊取國家情報、癱瘓網路、勒索、宣揚自我理念等,如當年跆拳道國手楊淑君的電子襪事件發生後,韓國的WTF(World Taekwondo Federation)便被駭客入侵,換掉首頁圖片。
面對這類駭客事件,政府或企業往往會有「我把被駭的網頁換回來」的盲點,而非試圖找出網站被駭的原因。他舉例,「你今天早上起床,在你家客廳發現多了一張部屬於你的椅子,上面還貼了別人名字,那你要把這張椅子丟出窗外、當沒看到、還是找出這張椅子是哪裡來的呢?你把網頁換回來,就像是把網頁丟出窗外,並無助於解決問題。」
攻擊手段百百種 資安加強才是王道
翁浩正並簡單介紹幾種駭客攻擊手法,其中包含:社交郵件惡意攻擊、DDoS攻擊、直接入侵伺服器等。
透過社交郵件發動的攻擊,能夠繞過公司的防火牆,直接寄到企業內部信箱,從而竊取資料。駭客在包裝惡意郵件時,會搜尋哪些主題比較容易吸引人點擊,如中華電信電子帳單.pdf;收件者往往是秘書等資安意識較低、卻又經手機密資料的人員。
DDoS攻擊則是最近幾波網站被攻擊的方式。若攻擊伺服器,能癱瘓整個網站;若攻擊DNS Server(如蘋果這次被攻擊的事件),當使用者輸入網域名稱時,雖然主機仍在運轉,但因DNS Server被癱瘓,以致無法連上該網站;若攻擊防火牆,則可能導致設備不能運作、網路不能流通。攻擊者也有可能利用Botnet,不斷發動攻擊,這樣的攻擊通常規模很大、難以防禦。
直接入侵伺服器的攻擊方式則是最常見的方式。攻擊者不需使用Botnet,便可直接向資料庫要資料;通常駭客入侵、取得權限後,便會清除所有log,完全沒有留下記錄,因此難以追查。
資安產業未受重視 台灣差國外一大截
談及台灣資安現況,翁浩正則提出以下幾點:
一、全民資安意識有待加強:有些人還以為密碼只能到八位,但實際上密碼已經到16位、甚至20位,使用者應避免過短密碼以免被破解。
二、無有力單位統籌、通報資訊安全問題:台灣政府有太多相關單位,以致缺少有力的統籌通報單位。
三、企業需重新評估資安價值:早年企業對資安較不重視,不會請資安顧問來做規劃與評估,但近年來已有改善。
四、開發者、管理者資安思維要加強。
台灣政府、企業、學界並沒有打造出資安產業的成熟環境,有興趣投入資安的學生沒有資安科系、學校可以就讀,只能轉往地下發展;當學界缺少資安人才,業界就只能找一般網管來進行培訓;而政府沒有提供相關資源、輔助企業提供更優渥的薪資,也是導致發展停滯不前的一環。
在美國,資安顧問的年薪是14萬美金,但在台灣完全沒有資安產業,相形之下並不受到重視。甚至連中國都有「烏雲網」,開放駭客提交哪些網站有漏洞,企業在這裡可以修補網站、並找到資安人才,是十分良好的正向循環。
此外,台灣的網站對於漏洞的掌握情況十分不佳。如前一陣子的heartbleed漏洞,駭客只要執行一行指令,便可獲取使用者的帳號密碼,但不少企業對於這個新漏洞並未有效掌握;而台北市政府對於17年前的「DNS Zone Transfer」甚至遲遲未修補,直到最近才改善,這是對於老漏洞的修補不及。
在這些對於資安漏洞,翁浩正呼籲使用者要能認知「安全風險是不會消失的,風險共存才是生存之道」。每年都有資安風險、駭客攻擊,使用者要能熟知安全風險、事件發生時,迅速進行通報、對資安事件進行演練,以降低損失。
圖為翁浩正以「在蘋果被駭之後——台灣資安現狀及潛在危機」為題,介紹不少資安事件及駭客攻擊手法,呼籲網路使用者應更有資安意識,政府與企業則應協助資安產業的發展,尤其政府更亟需建立資安通報統籌單位,對一觸即發的網路通訊大戰做好準備。