閱讀『臺灣網路安全攻擊反應時間:172小時』一文有感

Posted by Mr. Friday

底下這段文章,我看了心有戚戚焉,故轉錄在此與大家分享:

臺灣網路安全攻擊反應時間:172小時〈摘自兔眼看天下

NMT 209 封面 將來如果有機會編寫臺灣IT年表,2009年3月應該很有機會榜上有名。

許多人在3月3日一覺醒來,凡是首頁設為msn.com.tw的使用者,肯定會驚慌了起來,因為熟悉的MSN首頁不見了,取而代之的是看起來一片亂碼的網頁。但是看看網址列上的位址:msn.com.tw,是MSN沒錯啊,難道連微軟網站也失守被駭客入侵了嗎?

自此後兩個禮拜,臺灣網路界、安全界開始展開一段史上從未如此峰迴路轉的驚異大奇航,本刊網站也在第一時間獨家報導MSN、臺灣C|Net、ZDNET(這兩個網站是同一家公司)遭到大規模轉址的安全事件。

一場攻擊行動+反應遲緩的官方

這場網路追追追的行動之所以如此令人驚異,是因為在黃金72小時的時間內,所有外圍人員如媒體、安全業界始終錯估原因,從DNS Spoofing到ARP掛馬,從新加坡網路懷疑到中華電信網路,始終無法真正找出攻擊發動的源頭,也沒有人能夠提出統一理論足以完美解釋所有發現的證據與線索。

就連本刊報導,也從原先預估為DNS Spoofing攻擊訂正為路由器漏洞,後來也發現並非路由器本身的問題。

事實上,根據某Cisco路由器專家的檢測後發現,此次攻擊發動的源頭,應該是路由器在mirror port上的網路裝置如IPS等Layer 4設備遭到入侵所致。由於高階Layer 4設備本來就具備解析、插入、重組封包的能力,因此能夠輕易實現本次網頁轉址攻擊中,在正常封包前插入轉址指令的特徵。

為求驗證,某位不具名安全專家特地架設實驗室環境,以路由器+IPS成功重現相同的網頁轉址攻擊。

謎題解開後,中華電信也趕緊處置骨幹網路網段內可能出現問題的Layer 4設備,該網頁轉址攻擊事件就此平息。

但真正的問題才剛開始浮現,在這場攻擊之中,由於成因未明,故各單位相互推拖,ISP將推給網站,網站又推給使用者自己中木馬;等到成因漸漸浮現,問題可能出在網路供應商身上時,中華電信推給新加坡電信,新加坡電信又將問題丟回給中華電信;回報給臺灣官方單位時,卻得到「轉轉址而已,又沒發生事情」的回應而輕忽以待。

換句話說,整個臺灣網路安全界,在將近2個禮拜的時間內,均籠罩在「轉址攻擊何時會大規模爆發」的陰影中,直到該攻擊看似又無聲無息地消弭為止。

3月底,有史以來被查獲最為龐大的間諜網路-鬼網(GhostNet)意外曝光,臺灣網路深受其害,是否為各單位長期以來姑息養奸的心態所養出來的呢?

對詳細的網路攻擊技術細節有興趣的人,可以參考阿碼外傳的這兩篇文章:

不過,雖然攻擊的方式與過程已經逐漸浮上檯面,但攻擊的動機與發源地等等還是沒有查得清楚。可即使如此,我們還是可以看到官方單位踢皮球,以及最後無所謂的反應,真是令人傻眼。

去年下半年,我所認識的某資訊單位突然遭到不明攻擊。最重要的伺服器怎麼樣都連不上網路,導致所有網站服務停擺。業務主管、總經理在電話那頭急得直跳腳,系統管理人員在機房忙進忙出,重開機、換網路線後別人仍然連不上,怪的是換了個IP就可以正常連線,系統與網管人員你看我,我看你,乾瞪眼不知如何是好。

「Gateway的physical address對嗎?」老鳥一語驚醒夢中人,查了這台機器上gateway的實體位址,果然跟其他台不一樣,被攻擊了!半個小時後,系統恢復正常,是ARP spoofing搞的鬼。網管人員循線找到公司內部的某台Windows機器,裡面灌了側錄程式,在錄那台伺服器的封包。要不是因為上班時間,那台伺服器流量太高,側錄的機器撐不住,沒有把封包往回送而導致曝光,否則這起攻擊根本就不會曝光。

攻擊曝光之後,有找到誰幹的嗎?很可惜的是,沒有。該部裝了側錄程式的windows機器也只是台跳板,什麼時候、誰裝的都已經沒有紀錄可考。責任歸屬呢?windows負責人、伺服器負責人、網管你來我往互踢皮球,最後一樣不了了之。有因為這個事件而在資安上多加防範嗎?沒有。主管對外口徑一致是:「因為某台中毒的windows導致的。」天曉得他們連機器上裝的到底是病毒還是駭客軟體都分不清楚。

「無知」跟「不知反省」是我在這兩起事件當中看到最要不得的錯誤。誠然,網路攻擊花樣一直推陳出新,實難防範,但被攻擊了還渾然不覺得這有什麼關係,或是掩耳盜鈴說這無所謂,就實在讓人不知該說什麼才好。這突顯出許多主管對於網路安全的認識都還只是幼稚園程度。還記得幾年前當兵時,國防部下令要進行「資訊漢光演習」,屆時會請幾個外部廠商透過網路進行小小攻擊,抽測軍方資訊單位的電腦系統是否有確實防範網路漏洞。當本營輔導長,在抽測當天,一手高高握著被他拔掉的網路線〈全營對外只有這條網路線〉,一邊興奮的高喊:「這樣就不會被偵測到有任何漏洞了!」的時候,我認真的覺得,無知也是一種幸福。

喜歡這篇文章嗎? 分享出去給作者一點鼓勵吧!