新聞中心‎ > ‎

資安分享

2017-06-05導入ISO 27001 ISMS資訊安全管理系統之前置規畫

posted Jun 5, 2017, 2:50 AM by 紀彥宏

作者:張傑生 / 臺灣大學計算機及資訊網路中心作業管理組程式設計師兼副組長

當上網變成跟「你吃飽了沒」一樣重要時,資訊安全變成生活中重要的課題。基於此趨勢,計資中心將導入ISO 27001 ISMS(資訊安全管理系統),全面提升校園資訊管理防護網。

前言
本中心預計於2009年正式導入ISO 27001,建置符合國際標準之資訊安全管理系統(ISMS)。在導入之前,我們將進行落差分析工作,檢視現有作業流程,並針對資訊系統進行弱點掃瞄,以瞭解現實狀況與日後欲達成之目標相差幾何。本文將分為兩部分,首先介紹ISO 27001與ISMS,其次說明本中心導入前置作業的工作規劃。
1. ISO 27001與ISMS介紹
隨著資訊科技日益普及,人們對於資訊系統的仰賴與日遽增,然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件,在在使得資訊安全的重要性逐漸成為各方關注的議題。

提升資訊安全防護的基本方向,大致可從技術面與管理面來談。傳統上架設防火牆、入侵偵測系統,或者是安裝防毒軟體、定期更新作業系統等,都是典型的技術手段。至於管理面的具體措施為建構「資訊安全管理系統」(ISMS, Information Security Management System),此處所指的「系統」與一般慣用的資訊系統、網站系統、Windows系統相差甚遠,比較貼切的解釋應該是組織內的管理規範、作業流程與文件表單。

簡單來說,在ISMS的範疇裡,資訊屬於有價值的資產(asset),攸關企業經營命脈,因此需要受到妥適保護。保護的目的在於維護資訊的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),一般簡稱CIA。機密性意指資訊需經授權方可存取;完整性表示客戶取得的資料必須正確完整,未經竄改;而可用性則代表當客戶有需要時,可隨時取得資料。ISMS從風險管理的角度切入,透過資產的鑑別,威脅與弱點的確認,讓管理者充分瞭解風險所在,並嘗試將風險降低至可接受的範圍內。舉例來說,系統管理人員最擔憂的狀況,不是價值數百萬的硬體設備故障,反而是便宜的硬式磁碟機損壞,理由是後者存放了寶貴無價的重要資料。為了控制這類突發狀況所衍生的風險,ISMS從管理面著手,不僅需要指出風險所在,還更進一步要求提出降低風險的具體方法。由技術面處理,不外乎將硬式磁碟機改為磁碟陣列,添購磁帶機等備份裝置,甚至規劃異地備援模式。然而採用了以上技術手段之後,該如何確認「有效性」,評估風險是否降低,又得回歸管理面,透過標準作業流程與表單,監督管理人員是否每日確實執行備份工作。此外,不定期舉辦災難復原演練,以確保磁帶資料可用、異地備援機制可順利接管系統,也是必要程序之一。風險管理的另一項重要目的,是讓管理階層能夠確實掌握,當類似災難發生時,人員所需應變時間,以及資訊系統需要多少時間可恢復正常運作。由此可知,要能有效強化資訊安全,必須由技術面與管理面雙管齊下,兩者相輔相成,方可收效。
在企業導入ISMS的過程中,經常發生的疑慮包括:是否有相關標準可供依循?未來當ISMS建置完成後,該如何評估適切性,量測有效性?最重要的是,該如何取信於客戶與商業伙伴,展現公司對於資訊安全的管理能力?為此,國際標準組織(ISO)於2005年頒佈了ISMS的國際標準—— ISO 27001:2005,提供有意建置ISMS的企業,一套完整的規範與標準;循此標準建置完畢後,可以透過公正獨立的第三方組織,進行稽核與驗證。基於ISO組織的公信力,在目前資訊產業界裡,ISO 27001可說是最廣為接受且受到尊崇的資訊安全管理標準。

2. ISO 27001 ISMS 之導入規劃
本中心屬於校內資訊單位,負責開發、管理、維運校內各式重要資訊系統,長久以來扮演著校內資訊樞紐的角色。雖然過去本中心接受校內外各式評鑑屢屢獲得評審委員的嘉許與肯定,然而我們不敢以此自滿,時時不忘自我警惕,積極思考如何能夠提供校內師生更為安全穩定的高品質服務。有鑑於近年來國內外各式資訊安全事件層出不窮,資訊單位面臨極大挑戰,中心決議自2008年九月起,規劃導入符合ISO 27001標準之資訊安全管理系統(ISMS)。我們期許藉由此次導入工作,有效提升核心業務的實質安全,而非僅止於文件上的表面安全。因此,我們額外投資人力物力,由技術面的角度切入,進行資訊系統的安全補強,這種工作模式有別於以往一般顧問公司所習慣的作業流程,對於導入與輔導的雙方來說,都是一次嶄新的挑戰。


照目前規劃(如上圖),在正式導入ISMS之前的重要工作有三:定義導入範圍(scope)、進行落差分析(Gap analysis)、實施教育訓練。

1. 定義導入範圍(scope)
本次導入作業,我們所定義的驗證範圍是特別挑選過的核心業務,包括:1.校務資訊系統入口、2.校務資訊系統資料庫、3.資訊機房。選擇這三者的原因是,入口網站直接面對使用者,其中更牽涉單一認證機制,安全性不容忽視;資料庫主機存放校內所有重要資料,舉凡人事、學籍、會計、薪資等,無所不包,重要性無庸置疑;資訊機房屬於基礎建設,作為所有資訊系統之安全根基,勢必列入重點工作項目。

2. 進行落差分析(Gap analysis)
以技術面來說,我們會分成以下四個步驟進行:
(1) 風險評估
委託專業資訊安全團隊,針對本次導入範圍,以駭客手法進行「滲透測
試」(penetration test),利用各式系統與程式弱點(例如:SQL Injection、Cross-Site Scripting等),嘗試破解重要資訊系統,最後提出系統安全漏洞報告。
(2) 弱點修復
針對被找出的漏洞與弱點,釐清問題根源,交由負責人處理,如果是人為疏失,應該立即修復。舉例來說,程式造成的安全漏洞,由程式人員修正解決;如果是作業系統問題,則請系統維護人員以更新方式修補;如果是機房管制不確實,則考慮加裝刷卡機制並配合監控攝影。
(3) 安全防護
資訊系統透過網路針對全世界開放,因此必須面對來自世界各地的惡意攻擊。即使自行開發的程式都已經過再三修補、確認無誤,但Microsoft Windows系統漏洞或者是IIS問題,卻得以讓惡意者有機可乘,發動Zero-Day Attack,在系統管理人員來不及修補應對的情況下,成功入侵。因此之故,過去多次進行系統弱點掃瞄結果,絕大部分的安全漏洞都是出現在Web端的應用程式。為了解決這類問題,中心決定採購Web Application Firewall,專門針對Web應用程式額外加強防護。
(4)風險履勘
完成上述弱點修復與安全防護兩項工作後,再次委託專業資訊安全團隊,進行滲透測試,比對先前測試結果,評估安全防護提升成效。

進行技術面的防護措施時,我們同時針對管理面進行落差分析工作:
(1) 資產清查
針對範圍內的所有資產,逐一清查列冊。此處所指資產,除了設備物品之外,尚包括人員、文件。以校務系統網頁主機而言,雖然硬體設備可能僅止於2-3台伺服器,但是為確保系統維運所衍生出來的網路交換器、資料備份設備、機房環境、不斷電系統等,都必須納入資產清冊。除此之外,系統文件、軟體程式、管理人員、甚至管理人員所使用的個人電腦等,也都屬於必須清查列管的資產。
(2)風險評鑑
完成資產清查後,則需針對每項資產,評估其風險值,俾使管理階層瞭解目前整體系統的風險威脅程度。評鑑風險的公式並非唯一,僅需針對業務需求選擇最適合方法即可。舉例來說,我們可以採用公式R=V*L*I計算風險。
Risk風險值
Value資產價值,參考CIA三項指標評定。
Likelihood發生機率
Imapct衝擊,災害發生所產生的影響程度。

一旦所有資產的風險值都計算完畢,後續在ISO 27001導入時,就可以套用規範所提出的133個控制項目,幫助降低風險。導入ISO 27001之最終目的,就是希望將所有資產的風險值降低至某一可接受程度,以「風險已受到有效控制」之立論,達成「資訊安全」的目標。

(3)實施教育訓練
中心將舉辦內部訓練,提升同仁之資安意識與技術能力,希望後續導入ISO27001之過程可以順利進行。目前課程大致規劃如後:

類別

科目

時數

資訊安全

技術面

網頁防火牆設定與管理

6

Windows 作業系統安全管理

3

Unix系統安全管理

3

安全程式撰寫

6

駭客攻防技術實作與演練

6

系統安全漏洞剖析

3

無線網路安全

3

資訊安全

管理面

資訊安全簡介與ISO 27001介紹

3

風險管理與風險評鑑

3

營運持續計畫與管理

3

ISO 27001架構與條文解析

6

ISO 27001導入範例與內部稽核

6


開始正式導入ISO 27001,期望利用六個月時間,完成ISMS建置與內部稽核等工作。並通過第三方獨立機構之稽核驗證,並取得ISO 27001認證,以昭公信。

2017-01-1215年薪資老系統為何出包?北市薪資報表外洩關鍵大剖析

posted Jan 11, 2017, 4:42 PM by 紀彥宏

從雅虎搜尋引擎發現的臺北市政府員工的薪資資料,其實是薪資發放管理系統所製作的薪資清冊,原本放在DMZ區,各機關出納人員只要連上網站、輸入帳號密碼就可以製作該月薪資報表,產出的報表連結則可以直接下載報表檔案。目前,系統設定要下載報表檔案的人員必須再次輸入帳號密碼確認,也禁止外部網路可以連上該系統

雅虎搜尋上可以找到臺北市政府部分局處單位的員工薪資報表連結,目前已經無法存取,主要原因在於,系統太老舊,難以躲避搜尋軟體追蹤,加上預設不用再行輸入帳號密碼即可下載報表,才造成此次資安事件。


台北市資訊局在9日獲警局通報員工薪資資料外洩後,緊急在10分鐘關閉薪資發放管理系統展開調查,但外洩事件隔天引起媒體大篇幅報導,紛紛擔心7萬員工薪資資料都曝光,資訊局在11日上午對外召開記者會說明事件始末,因為15年老系統的設計盲點,導致搜尋工具取得報表下載網址而釀災,資訊局也澄清,只有190筆報表連結外洩,而非媒體披露的全北市員工規模。為何這個15年前開發的薪資發放管理舊系統,不敵現在化搜尋工具技術的演進呢?我們特別專訪臺北市資訊局局長李維斌,深入剖析這起事件的發生關鍵,及臺北市資訊局後續的資安對策。

外洩190筆北市府薪資報筆連結,免登入就可下載報表內容

臺北市政府的「薪資發放管理系統」是由資訊局自行開發設計和維護的系統,主要是臺供臺北市政府136個機關、252個學校以及臺北市議會總共389各單位使用,主要是由出納人員負責薪資發放、考績、年終獎金以及其他帳款發放的業務。也因為牽涉範圍包含全部臺北市政府正職和約聘以及公立學校的人員,媒體報導薪資資料外洩時,也引起一陣恐慌。

李維斌表示,在1月9日資訊局接獲通報知道有疑似資料外洩事件後,先將薪資發放管理系統緊急下線,後來再觀察的確沒有其他資料陸續外洩後,暫時確認有找對資料外洩的源頭。

他說,資訊局便在1月10日緊急通報資通安全會報,當初因為以為只有內湖分局的資料外洩,認為是特例,所以初步判定唯一、二級的資安事件,只不過,後來進一步追查發現,除了內湖分局外,還有像是工務局等單位薪資資料外洩;而外洩資料除了薪資、獎金、員工薪轉帳戶外,也可以看到有一些是身分證字號。因為有牽涉個資外洩,資安會報建議將資安等級提高為三級。臺北市資訊局並於1月11日上午召開記者會對外說明。

從雅虎引擎搜尋頁面上發現的受駭單位其實不少,目前從搜尋引擎的網頁暫存快取頁面可以發現,受駭單位包括:臺北市建管處、中山堂管理所、臺北市公務人員訓練處、臺北市內湖區公所、臺北市文山區健康服務中心、臺北市政府交通局、臺北市政府地政局等單位,都可以查到不同月份的員工薪津清冊。

到底外洩的資料是什麼?李維斌指出,目前臺北市資訊局調查的結果,大約有190筆的薪資報表的連結外洩,不過每筆報表的受影響人數並不確定,但可以確定的是,臺北市府員工的薪資資料庫並沒有外洩。

李維斌進一步解釋,這些外洩的資料其實是由出納人員製作的當月薪資報表,以往只有各單位特定人員,有權連上這個放在DMZ區的薪資發放管理系統,輸入帳號密碼後,可以調閱內網員工薪資資料做成當月薪資報表後,報表完成會就會產生一個報表連結,有這個報表連結的人就可以下載該份薪資報告。

他也說,以往資訊局把有這個報表連結的人,視為是內部人士才可能有這個連結,所以,以前是有連結的人,可以直接下載該檔案,「這是一個內部系統存取權限設定錯誤的案例,才會造成此次薪資報表連結外洩的資安事件。」他進一步解釋,這是一種所謂的商業邏輯錯誤(Business Logic Fault),是一種作業流程或程式邏輯出現的錯誤,目前用工具的弱點掃描(Vulnerability Assessment )並無法檢測出這類的漏洞,依賴人工的滲透測試(Penetration Test)才比較有機會找到這類的弱點,但往往需要長時間、高頻率的檢測,也高度仰賴滲透測試工程師的功力,難度相當高。

薪資管理系統老舊難躲搜尋高效能,強制下載檔案需再輸入帳號密碼

臺北市資訊局也進一步調查發現,該份外洩的薪資報表連結只有在雅虎搜尋引擎上才找得到,其他包括Google搜尋以及百度搜尋都查不到相關資料。據推測,極有可能是有權製作薪資報表人員的電腦不慎安裝雅虎搜尋的工具列,因為這些工具列會記錄個人的瀏覽記錄,而雅虎將個人瀏覽記錄與公開搜尋結果混在一起,才造成一般人可以透過雅虎搜尋引擎,找到臺北市政府部分局處的員工薪資報表連結並下載。

「臺北市薪資管理系統是15年前打造的系統,當年使用ASP開發,為了便利各機關使用,也把系統放在DMZ區,各機關登上這個系統就可以開始製作報表。」李維斌表示,這個系統非常老舊,15年來都只能編列維護費用,當初因為VPN太難使用,也沒有採用VPN連網存取的設計,但隨著搜尋技術的進步,即便資訊局已經在robots.txt的語法中寫「disallow all」限制搜尋引擎的爬蟲,不要將該內部系統做搜尋結果的目錄索引,但事實證明,仍很難避免地讓該系統曝露在可以被部分搜尋引擎搜尋到的風險中。

李維斌表示,第一時間將薪資發放管理系統下線後,為了確保資料安全,再度上線時,則多了一到存取權限控管,即便有了報表連結,若要下載該份資料時,必須再度輸入帳號密碼後才能下載。此外,從目前網路上都連不上這個薪資管理發放系統來看,資安專家表示,北市府資訊局在網路防護上也做了緊急處置,從防火牆先檔下所有外部存取的連線,未來將可以統計機關IP再行開放。

北市府將陸續汰換老舊資訊系統,強化市府資訊安全

李維斌表示,不只是薪資發放管理系統老舊,迄今已經上線15年,許多早期的系統架構加上沒有納入資安考量,許多老舊系統都是市府資安的未爆彈,不知道什麼時候又可能再度發生類似的資安事件。

但他也說,依照臺北市政府的狀況,已經無法只是維修老舊系統,掃除這些資安地雷,所以,今年資訊局已經比去年多編列大概6千萬元的預算,希望逐步汰換一些已經是高風險的老舊系統。李維斌表示,臺北市議會已經通過資訊局預算,今年比去年新增2,314萬元,資訊局確認優先汰換老舊的薪資發放管理系統,其他預計汰換的系統還包括2005年打造的臺北市單一登入的入口網等。

除了資訊局逐步汰換老舊系統換,資安專家認為,目前市府已經限制從外部網路連上薪資系統(orgsalary.taipei.gov.tw),不論是設白名單、限制特定IP存取,或者是先暫時從防火牆斷所有外網連線都是有效損害控管的方式,但是若要進一步確認這些薪資檔案遭到多少人下載成功,要可以查看薪資網站的日誌記錄,查看只要有連到該網站的外部IP,而且有下載相關文件成功的紀錄,可以試圖從Log記錄分析這些薪資報表資料的外洩程度。

資安專家表示,北市府遇到的資安事件其實是常見的Google Hacking手法,利用搜尋引擎找尋系統的漏洞手法,主要是有很多的網頁程式寫法不夠安全,也可能是知道內部網址,搜尋到網站的目錄或檔案等資料,甚至可能找到管理者或伺服器的帳號密碼等,也會找到一些網站設定檔,透過這些資料的分析拼圖,就可以入侵某個網站的伺服器。

因此,資安專家建議,要避免內部系統被網路爬蟲(Web Crawler)爬走,必須要設置相對應的安全措施與授權方式,如果這個提供內部使用的系統網站必須和提供外部服務的網站放在同一臺伺服器上,也必須設定嚴格的存取控制權限(ACL),只允許白名單的來源存取相關資源。

[From ItHome]

2016-12-20如何抵擋Tb級DDoS攻擊

posted Dec 19, 2016, 7:41 PM by 紀彥宏   [ updated Dec 19, 2016, 7:42 PM ]

中華電信提供DDoS多層次縱深防護,可以防堵從外部線路DDoS攻擊進來的攻擊流量,透過Border網路的境外阻絕和邊境管制,將攻擊封包阻擋在中華電信線路外面。如果攻擊已經進入臺灣的網路骨幹,在Backbone網路進行控管,將攻擊封包黑洞或Drop掉。最後,影響用戶端網路服務,可透過隔離清洗方式過濾。(圖片來源/中華電信數據通信分公司)

在美國東部發生大規模DDoS攻擊當天,也就是臺灣時間10月21日一早,中華電信數據通信分公司資安處處長洪進福就接到來自國安體系的詢問電話。

因為這起攻擊規模估計超過1Tbps,中華電信是臺灣最大的ISP業者,同時也維運政府骨幹網路以及學術網路,所以,連電信主管機關NCC及行政院資安處都很關心一個問題,如果這樣的Tb級DDoS攻擊一旦在臺灣爆發,臺灣是否有能力阻擋呢?

「若臺灣企業只靠自己沒有能力擋住Tb級DDoS攻擊,」不過,若臺灣企業真的遇到了這類攻擊,洪進福的答案是「可以」,但得透過多種手法和聯防來防禦。他解釋,單一企業擋不住必須尋求ISP業者協助,但就單一ISP業者面對如此這樣大規模的攻擊時,必須要做到區域聯防,就能擋住這樣大規模、大流量的DDoS攻擊。

阻擋Tb級DDoS攻擊,有賴上游清洗和下游阻擋機制

資安專家劉俊雄指出,面對DDoS攻擊,包括企業和ISP業者多數無法做到完全的防禦,大部分都從減緩DDoS攻擊的強度著手,要做到有效減緩,「上游就必須有流量清洗機制,下游則必須要有防禦機制去阻擋。」他說。

洪進福也同意這樣的觀點,他表示,中華電信本身則是採取多層次的縱深防禦機制,來防堵和抵擋這類的DDoS攻擊,可以根據攻擊來源和規模,選擇最合適的阻擋方式,包括:Border端可以採取境外阻絕和邊境管制的作法;Backbone骨幹端則可以採用境內管控;Edge端則做到DDoS隔離清洗服務。

洪進福進一步解釋,有些線路是從國外的ISP連進來臺灣,有些則是從國內的ISP線路連進來,國內的ISP線路就會透過臺灣網際網路交換中心(TWIX)連接,中華電信的線路就會去銜接這兩種國外和國內的ISP線路,並在銜接兩種線路的地方做防堵。

如果這樣的DDoS攻擊是從海外的ISP業者連進來,已經影響到臺灣像是海纜的頻寬使用,臺灣ISP業者可以利用遠端驅動工具,並且呼叫Tier 1的ISP業者進行聯防,把DDoS攻擊在境外阻擋完畢;有些時候,ISP業者也會利用Black Hole(黑洞)的機制,把遭受到攻擊的用戶IP路由導入黑洞,無法從外部存取到這個網站服務,藉此保全ISP業者其他客戶的安全性;如果這些DDoS攻擊影響到國內網路安全,ISP業者也會利用網路存取控制工具搭配邊境管制的手法,阻擋這些DDoS攻擊的封包影響臺灣的用戶。

有些時候,DDoS攻擊太大量時,境外阻絕或邊境控管阻擋不住,還是進到臺灣的網路骨幹,或者是攻擊是來自臺灣內部時,則可以進行骨幹內部的管控,透過限制頻寬的方式,將攻擊封包黑洞或者是把這些封包Drop掉。

洪進福表示,一旦這些DDoS攻擊已經兵臨城下,影響到用戶端的網路服務時,就可以透過DDoS隔離清洗的方式,把遭受攻擊的流量導入隔離清洗區,透過網路設備進行規則式攻擊流量的過濾,並分析一些惡意封包的攻擊行為模式進行阻擋,也可以限制連線數量並作攻擊分析,也可以透過客製化防護等措施,讓攻擊用戶網路服務的流量,可以大部分都被過濾掉,確保用戶網路服務的安全和穩定。

臺灣因為電信等基礎網路建設普及,有許多對外連線的網路接口,劉俊雄表示,即便臺灣不幸遭到大規模的DDoS攻擊,還有可能免於因為網路癱瘓,導致網路鎖國的狀態。

物聯網裝置成DDoS幫凶情況日益嚴重

從物聯網裝置的普及,以及惡意程式作者可以操控物聯網裝置的惡意程式Mirai開源釋出後,連帶使得這類物聯網裝置發動DDoS攻擊的事件增多,可以預期,「即便到2017年,這樣的物聯網DDoS攻擊規模和數量,絕對只會更多而不會減少。」洪進福說。

為了減少Mirai惡意程式或是其他殭屍網路程式對於IoT裝置威脅,已經有國家政府提供相關的準則,呼籲IoT製造商應該提高IoT裝置的安全性,像是美國政府已經在今年11月時,對外發表一份保護IoT策略準則(Strategic Principles for Securing the Internet of Things),藉此呼籲IoT生態體系業者,應該在設計、 生產及使用IoT裝置系統時,應該負起保障IoT安全的責任。

然而,洪進福認為,美國雖然有提出相關IoT裝置安全準則,但是沒有法令的規範,僅對IoT廠商呼籲是難以減少殭屍網路程式感染IoT裝置的威脅,而且,目前許多IoT裝置似乎沒有擁有自動韌體更新功能(簡稱FOTA),如果都沒有這些相關防護措施和規範,透過IoT裝置發動的DDoS攻擊還是會持續發生。[文 IThome黃彥棻、黃泓瑜]

2016-12-16快速認識常見DDoS攻擊

posted Dec 15, 2016, 9:38 PM by 紀彥宏

DDoS攻擊常見兩種策略,一是耗盡頻寬,二是耗盡系統資源,隨著IoT產業的發達,以及Mirai開源碼公布後,未來幾年DDoS攻擊頻率會越來越高,規模也會逐漸增大...

DDoS並非是新手法,早在2000年就出現了,不過隨著IoT殭屍大軍的出現,讓DDoS攻擊更具威脅。DDoS攻擊常見兩種策略,一是耗盡頻寬,第二策略就是耗盡系統資源,如耗盡記憶體、處理器等系統內部資源,導致系統無法處理合法的服務請求。攻擊者也可能同時採取這兩種策略。

若從網路協定層級來看,DDoS攻擊主要鎖定了Layer3(網路層)、Layer4(傳輸層)和Layer7(應用層)這三層。資安專家劉俊雄以開店做生意來比喻,網路出入口及上游像商店的門口跟前方道路,攻擊者在Layer3攻擊,如同一群人在商店門口前堵住了大門和馬路,正常要購物的人就無法進入商店而被阻擋在外。接著,他比喻網路基礎建設,如同商店內的設施及走道空間,攻擊者在Layer4的攻擊方式,是要把攻擊目標的伺服器、記憶體的資源耗盡,就像是一群人把商店內的走道和空間都堵住,正常流量無法在網站裡面進行瀏覽。最後,他比喻應用系統就像結帳櫃檯,攻擊者針對Layer7的攻擊,如同一堆人在櫃檯前面以假裝結帳的方式故意癱瘓櫃檯,無法為正常使用者提供服務。

劉俊雄將DDoS攻擊歸納成兩大類,分別是「打得大」跟「打得巧」兩種。前者以攻擊者藉由傳輸大量封包到攻擊目標的網路設備,造成對方的網路癱換。這種型態的攻擊操作門檻低,他認為,「打得大」將是未來主要的攻擊型態。

「打得大」早期常見是以1對1方式來癱瘓目標的DoS攻擊,不過現在常見的DDoS則是利用了反射和放大(Reflection and Amplification)流量的技巧來擴大攻擊規模,這也是今年常用手法。隨著IoT產業的發達促使更多人使用IoT裝置,以及Mirai公布開源碼後,在未來幾年這類由IoT殭屍網路發動的攻擊頻率會越來越高,而且攻擊規模也會逐漸增大。

「打得巧」的DDoS攻擊型態則不是透過超大流量來發動攻擊,而是鎖定網路系統漏洞或是協定機制的缺陷進行攻擊,過去2、3年較盛行。此類攻擊包括SYN Flood、Fragment Packet Flood(碎片攻擊)、Slow Attack(慢速攻擊)以及Exploit(漏洞攻擊)。

SYN Flood攻擊是在TCP連線三向交握通訊模式中,跳過傳送最後ACK資訊,或是在SYN裡面透過假造的IP位址,讓伺服器發送SYN-ACK封包到假造的IP位址,所以永遠無法收到ACK的資訊。透過這樣的方式,伺服器可能會花很多時間等抄收通知,造成網路的壅塞讓網站癱瘓。第二種 Fragment Packet Flood是指攻擊者透過發送極小的封包碎片繞過過濾系統或者入侵檢測系統的一種攻擊手段。第三種Slow Attack攻擊就是攻擊者利用通訊協定中的漏洞,對攻擊目標的伺服器建立較緩慢的網路連線,並且刻意將回應時間拉長讓伺服器無法完成網頁的需求,占用網路的連線來耗盡攻擊目標的系統資源,造成攻擊目標的網路癱瘓,就像是一般人打給客服專線詢問事情,但會故意放慢速度說話占據電話的線路。最後,Exploit就是攻擊者利用網路設備或是系統的漏洞攻擊。
[From IThome]

2016-12-16Tb級DDoS攻擊現身,每秒1.5Tb爆量創記錄

posted Dec 15, 2016, 9:34 PM by 紀彥宏

三起超大規模DDoS事件,竟來自同一個殭屍網路Mirai,近50萬臺殭屍電腦還上網出租,3千美元就能租5萬臺發動攻擊

今年9月下旬,號稱全球第三大、法國最大的雲端服務與主機代管供應商OVH創辦人兼技術長Octave Klaba,興奮地接連在Twitter上宣布了多項自家IT架構大升級的消息,19日才將10Gb網路架構,升級到了100Gb網路架構,20日則將倫敦到美國紐澤西州紐瓦克市間的跨大西洋線路頻寬,從200Gpbs升級到了600Gbps。

這家有15年網站代管維運經驗的法國雲端服務與主機代管供應商,近年積極布局全球市場,不只大舉擁抱OpenStack,甚至成為超級使用者得獎候選人之一,今年大手筆升級既有歐洲與北美IT架構,接著最後一季還將陸續進軍亞洲和澳洲市場,到當地設機房。

沒想到,顧客還沒享用到架構大升級後的好處,從9月18日開始,一群殭屍大軍就開始慢慢地發動了一波波史上罕見的大規模DDoS攻擊。

一連四天,OVH接連遇到了一波波Gbs的DDoS攻擊,超過100Gbps等級的攻擊至少出現26次,光是9月20日凌晨1點40分47秒,就有一波高達799Gbps,近9千3百萬個封包的DDoS攻擊流量湧進OVH。

14萬5千多個攻擊IP,發起1.5Tbps攻擊流量

23日,Octave Klaba統計了一下發現,四天來,超過145,607個IP(推測是網路監視器或視訊裝置),發動了這一波最高峰達到每秒1.5Tb爆量流量的DDoS攻擊。每個IP的攻擊流量至少1Mbps,最多達到30Mbps。攻擊類型包括了TCP的ACK攻擊、TCP的ACK加PSH攻擊、TCP的SYN洪水攻擊等。OVH這起事件震驚全球,因為這是史上第一次的Tb級DDoS攻擊,遠遠超越了2015年底BBC遭遇的602Gbps攻擊流量,也刷新了DDoS攻擊流量記錄。

另一個驚人的數字是發動DDoS攻擊的殭屍大軍,竟是來自全球的CCTV網路攝影機。OVH受到的攻擊持續了一周,而且不斷出現更多加入DDoS攻擊的網路數位攝影機(DVR)或CCTV監視器的IP,直到9月29日,Octave Klaba揭露了最後的統計,超過18萬支CCTV網路監視器參與了這波攻擊行動。DDoS設備和防禦服務商Arbor事後分析,這批發動攻擊的監視器來自一個名為Mirai的殭屍網路。

OVH不是唯一的受災戶。同一時段,9月20日晚上9點,知名的資安部落格KrebsOnSecurity,同樣也遭遇到了一波比BBC事件更大規模的DDoS攻擊,攻擊流量高峰達到665Gbps。原本提供免費DDoS防禦給KrebsOnSecurity網站的CDN服務商Akamai,也宣布停止DDoS防護,該部落格創辦人Brian Krebs改尋求Google的Shield專案庇護才讓網站得以恢復對外運作。Akamai日本暨亞太地區安全部門技術長Michael Smith事後回應我們的查證時解釋,因為KrebsOnSecurity遭遇到的DDoS攻擊流量太大,為了避免影響到Akamai付費用戶的頻寬,才決定將免費提供給KrebsOnSecurity的防護服務關閉。

根據Akamai在關閉服務之前蒐集到的資料發現,2萬4千個同樣是Mirai殭屍網路控制的遭駭裝置,對KrebsOnSecurity發動了269波攻擊。

同一時段,兩起超大規模的DDoS事件,竟來自同一個殭屍網路Mirai,換句話說,Mirai殭屍網路的攻擊能力,極有可能是兩起事件的加總,能夠動員超過4萬個裝置,發起超過2Tbps規模的DDoS攻擊。

北美DNS大當機,元兇也是Mirai殭屍網路

沒想到,OVH和KrebsOnSecurity只是開端,Mirai衝擊才要開始發酵。一個月後,10月21日周五早上美東時間7點開始,這次Mirai鎖定了美國網路服務商Dyn提供的DNS服務,發動了三波攻擊,兩波奏效(美東時間第一波5點到7點20分、第二波是9點50分到11點前後),來自全球各地的巨量DNS查詢塞爆了Dyn的DNS服務,甚至進一步造成了北美網路DNS服務大停擺,民眾無法瀏覽知名網站,包括如Twitter、CNN、eBay、App Store、Pinterest、Box、PayPal、Shopify、Github、Etsy等。Malwarebytes實驗室總監Adam Kujawa甚至稱這一天是網際網路死亡的一天,幾乎北美各大網站都無法瀏覽。

多位資安專家推估,這波攻擊流量也達到1.2Tbps之多,不過Dyn沒有證實這個數據,直到幾天後,Dyn公開調查結果坦言,這是一次非常精密計算後的攻擊,Dyn找來資安公司Flashpoint與Akamai協助分析,影響遍及上千萬個IP。該公司企業副總裁Scott Hiltone更證實,Dyn大當機事件,同樣是受到Mirai殭屍網路發動的大量攻擊,部分攻擊流量來自10萬個IP位址的連網裝置。

Dyn首席分析師Chris Baker分析發現,遭駭IoT裝置(主要是遭駭連網裝置,如網路攝影機)利用亂數產生一個12字元的次網域名稱,例如是0ljpgkllm2tl,再以0ljpgkllm2tl.www.目標網站.com來向Dyn的DNS服務查詢IP反解,因為Dyn的DNS查詢不到這個偽造的次網域名稱,循慣例自動再將查詢請求轉送其他授權DNS服務協助解析,但第二個DNS服務同樣也無法反解,又會繼續轉送請求給其他DNS服務。Chris Baker坦言,駭客只要發出一次偽造的DNS請求,可能會造成比平常多40~50倍的查詢流量來攻擊DNS服務,才造成了這麼大的影響。

今年下半年三次大規模DDoS攻擊,都指向同一個殭屍網路Mirai,不過,參與調查的Flashpoint發現,攻擊Dyn的殭屍網路IP,和先前攻擊OVH或KrebsOnSecurity網站的攻擊IP不盡相同,甚至是出現了大批新的攻擊IP。

造成Mirai殭屍網路大幅成長的主要關鍵,來自Mirai作者Anna-senpai突然在10月初時,在地下駭客論壇上公開了Mirai原始碼,Level 3威脅研究中心研究後估計,指揮Mirai的遠端命令及控制(Command and Control,C&C)伺服器增加了,受到Mirai感染的裝置也從原先的21.3萬臺增加到49.3萬臺,短短3周內就讓Mirai殭屍網路的規模成長了一倍。協助Dyn進行調查的Flashpoint的分析,也等於證實了Mirai殭屍網路規模持續成長的現象。

從駭客公開的程式碼可以發現,Mirai(音似日文「未來」)這支惡意程式,專門感染對象為IoT連線設備,如網路監視器、IP Cam、路由器或是小型Linux設備。Mirai一方面會偵測散布在網路上,採用出廠預設憑證或是固定憑證的IoT裝置,進而植入惡意程式,取得遠端操控這些裝置的權限,並且,Mirai還可以讓駭客透過C&C伺服器來操控這些遭駭IoT裝置,對特定目標發動DDoS攻擊。

由於Mirai惡意程式的出現,讓駭客能夠更容易地針對IoT裝置,植入惡意程式進行操控,發動DDoS攻擊。Flashpoint就發現,9月對資安部落格Krebs On Security和法國雲端服務與主機代管供應商OVH網路發動攻擊的Mirai殭屍網路,其中大多數的攻擊裝置都來自中國製造商雄邁生產的機版,這些裝置都內建同樣的憑證,也採用預設的使用者名稱root及固定密碼xc3511,且擁有嵌入式telnet功能設備,但是不允許使用者擅自變更SSH和Telnet服務的登入密碼,在這樣的條件下,駭客就可以透過telnet進行存取,等於是為駭客開啟大門侵入到內部系統。雄邁後續也宣布回收相關產品,不過,他們也無法預期回收成效。

Nexusguard網路安全員苗東毅指出,對IoT製造商而言,一方面他們所在乎的不是提高產品的網路安全性,而是可以把裝置很快地推銷出去。目前IoT設備缺乏一套有效網路安全認證,來要求IoT裝置製造商遵循。再加上,IoT裝置漏洞更新機制往往不健全,發現漏洞,IoT設備商多半不會主動更新裝置韌體來修補,而是等到駭客侵入後才處理,但事後修補往往來不及。

無論是回收遭駭IoT裝置,或是更新修補裝置的軟體,都會增加IoT製造商的成本,大部分IoT廠商多半不願採取行動,「IoT製造商對於網路安全意識相對薄弱的心態,就提高了IoT裝置容易遭到感染Mirai惡意程式的風險。」苗東毅說。

特別是Mirai殭屍網路在10月將原始碼公開釋出在網路上,這讓許多專業、非專業級的駭客都能夠輕易透過這些程式碼,操控Mirai所控制30萬臺裝置的殭屍網路,而且許多IoT裝置更容易遭到感染,並且操控它們發動DDoS攻擊。駭客也能透過改寫 Mirai程式碼,控制其他的IoT裝置,組成另一個殭屍網路大軍,發動更多的DDoS攻擊。目前,Mirai作者釋出原始碼之後,已出現為數不少Mirai殭屍網路,及新變種的感染程式。這些變種的感染程式,不僅可以破解IoT裝置的密碼,還能夠更進一步開採裝置上的漏洞,比原來的Mirai程式更強大。

Mirai殭屍出租服務現身,3千美元能租5萬臺攻14天

除此之外,網路上已經有些駭客提供租用Mirai的殭屍網路,租用5萬臺裝置的殭屍網路,需要3,000到4,000美元(臺幣約9.6萬至12.8萬元),可以針對特定對象發動為期2周的DDoS攻擊,讓還不擅於進行DDoS網路攻擊的入門駭客,也能夠透過租用的方式發動DDoS攻擊。這些情況將發動DDoS攻擊的門檻降低許多,導致DDoS攻擊的頻率和規模都會提高,殭屍網路的發展情況再之後也會蓬勃。

除了物聯網的興起帶來IoT裝置數量快速增長,讓駭客能夠控制的攻擊裝置數量變多和容易,以及Mirai釋出原始碼之後,造成殭屍網路的興起之外,整個網路環境的成長,也是讓DDoS攻擊從Gb級提升到Tb級規模的因素之一。隨著近期網際網路頻寬越來越大,駭客能夠操控殭屍網路的頻寬也是越來越大,所造成的DDoS攻擊的流量也會相對的提高。再加上傳統DDoS攻擊常用的反射、放大攻擊手法更能助長DDoS攻擊的流量規模。苗東毅估計,最大甚至可達100倍放大效果。資安專家劉俊雄認為,過去Mb級時代認為Gb級攻擊很可怕,現在Gb時代則覺得Tb級可怕,未來可能在Tb時代出現Pb級攻擊規模。

特別注意的是,近期Mirai殭屍網路發動的攻擊中,部分IP來源也包含了來自臺灣的IoT裝置來發動,如OVH事件中發現攻擊裝置包括了來自臺灣的監視器。其他非Mirai殭屍網路發動攻擊事件裡面也有臺灣遭駭裝置的蹤跡,例如6月資安公司Sucuri調查某珠寶店網站遭DDoS攻擊事件發現,發動攻擊裝置有24%來自臺灣的閉路電視。而11月俄羅斯主要銀行遭遇大規模的DDoS攻擊事件,發現有超過50%以上攻擊的裝置是來自於臺灣、美國、以色列和印度。

雖然,臺灣還沒出現Tb級DDoS攻擊,但是,根據遠傳電信企業暨國際事業群經理施文政長期監控旗下用戶流量時也發現,臺灣在去年8月底時,就出現了高達300Gb的殭屍網路DDoS攻擊,而且在3個月之內發動了好幾波攻擊。臺灣也逐漸成為Tb級殭屍網路鎖定的目標之一。


許多企業一旦遭到DDoS攻擊,普遍會相當驚慌,擔心主機資源耗盡,也擔心ISP是否能夠即時幫忙擋下攻擊流量。但大家關注攻擊流量本身時,中華電信數據分公司資通安全處處長洪進福提醒,不少DDoS攻擊背後真正目的,是為了發動APT攻擊,他說:「DDoS攻擊是外顯式攻擊,而APT是隱藏式攻擊,駭客會用DDoS掩飾真正APT的目的。」洪進福表示,這種DDoS攻擊隨之產生的威脅,就是政府和企業最害怕的APT攻擊,韓國是最明顯的例子,臺灣也有很多實際案例,就是看起來像是遭DDoS攻擊,但進一步協助事件處理時會發現,駭客真實目的就是APT。

因此,他提醒,當企業遭到DDoS攻擊同時,也得留意其他資安警告,如入侵防禦設備告警、APT偵測到有異常事件發生等。他建議,企業此時最好有一個可針對各種警告做蒐集分析的SOC(資安維運中心),且將這些異常進行事件的關聯性分析後,比較可找到駭客攻擊和企業受害的脈絡。

數聯資安產品行銷部產品經理顏懋仁近期執行金融業DDoS防護工作時,觀察到一特殊DDoS現象,有時駭客只攻擊1小時後便收手,但此「短暫」DDoS攻擊後,網路閘道端設備如IPS,因無法承受大量DDoS攻擊,會自動切換成關閉防護功能的Bypass模式,來確保經過設備的網路還可暢通,而駭客能藉機繞過IPS,送入惡意木馬等。

顏懋仁表示,企業多數採購閘道端設備為避免設備故障導致網路服務中斷,會加購Bypass模組,但設備跳到Bypass模組時,系統一定有警告和Log可查詢,網管人員千萬不能以為攻擊停止而輕忽此潛在威脅的警告。洪進福說,目前此假DDoS攻擊之名、行APT攻擊之實的產業,臺灣以政府、電子商務和購物網站為主,鎖定政府的目的在竊取更多機敏資料,電子商務和購物網站以用戶資料為主,駭客若無法拿到錢,也可轉賣給詐騙集團。

[From IThome]

2016-12-08臺灣2017年直播網紅業將是下一波DDoS攻擊標的

posted Dec 7, 2016, 8:58 PM by 紀彥宏


或許對很多臺灣的產業而言,包括遊戲業、博奕業等娛樂產業,DDoS(分散式阻斷式攻擊)已經是從十多年前就必須認真面對的營運風險,一個不小心,一個DDoS攻擊就可以癱瘓該公司的網站服務,一旦網路服務中斷,就表示該公司的營運受到影響,也會影響到公司後續的營運。

即便有不少臺灣公司對於DDoS攻擊並不陌生,但是,在今年下半年卻可以發現,DDoS攻擊已經有不同型態,尤其是攻擊流量之大,超乎許多人的想像。

舉例而言,法國OVH公司遭到1.5Tbps的DDoS攻擊流量,開了大家眼界;隨即而來,在十月份,駭客也透過操控全球的網路監視器,針對美國DNS網域伺服器業者Dyn發動DDoS攻擊,攻擊流量也高達1.2Tbps。上述的攻擊行為,都讓許多人驚覺到,Gb級的DDoS攻擊已經不夠看了,未來Tb級的DDoS將可能是主流。

但是,根據遠傳電信以及子公司數聯資安過去一年對於DDoS攻擊的觀察,以臺灣而言,Gb級的DDoS攻擊出現在2015年下半年,但是到2016年逐漸成為攻擊主流,平均攻擊流量30Gbps~50Gbps,預計2017年DDoS平均攻擊流量可望倍數成長到100Gbps;至於主要受攻擊的產業,也會從傳統的遊戲業、博奕業,轉到下一波的直播網紅業者。

網路第7層DDoS攻擊變多,留意閘道端設定Bypass的資安風險

目前DDoS攻擊最常看到的攻擊型態,主要是以OSI第3層網路層、第4層傳輸層,以及第7層應用程式層的攻擊為主,遠傳電信企業產品服務管理處經理施文政表示,以往多以網路層和傳輸層的攻擊為大宗,因為,通常只需要有足夠的金錢、購買足夠的傀儡網路(Botnet)發動DDoS攻擊,就可以癱瘓鎖定目標的網站服務。

但是近年來,他也觀察到一個趨勢就是,開始有許多駭客以攻擊應用程式層為主,除了中國有出現越來越多這樣針對應用程式的DDoS攻擊事件外,臺灣則陸續傳出,有金融業遭遇這類以應用程式層為主的DDoS攻擊;另外若是遊戲業者,在手機端的遊戲業者仍以網路層和傳輸層的DDoS攻擊為主,若是現在熱門的網頁遊戲,也有越來越多以應用程式層的DDoS攻擊為主。

不過,長期觀察臺灣DDoS攻擊演變的數聯資安產品行銷部產品經理顏懋仁則特別提醒,他們近期觀察到一個特殊的現象,那就是,駭客針對特定產業,例如金融業發動DDoS攻擊時,有些時候看起來像是一波又一波的攻擊,有些時候,駭客只有攻擊1小時後便收手,有許多資安人員常常會誤以為,這只是一波短暫的DDoS攻擊而已,攻擊結束就以為事情就結束了,反而掉以輕心。

實際上,顏懋仁表示,他們發現有一些金融業者在經歷這種「短暫」的DDoS攻擊後發現,許多在網路閘道端的設備,像是IPS因為無法承受DDoS攻擊,設定便直接跳掉,變成Bypass模式,而駭客便利用這個閘道端防護設備,無法發揮應有的防護功能之際,趁機植入惡意木馬程式等等。

過往,許多企業在面對DDoS攻擊之後,往往只想著怎麼儘快讓線上服務恢復正常,通常不會意識到,有防護設備因為短暫的DDoS攻擊造成設定Bypass跳掉,而這樣的時間點就讓駭客可以甚機植入一些惡意或木馬程式,達到進一步入侵使用者電腦的目的。

直播和網紅匯集人潮和錢潮,是下一波DDoS攻擊鎖定對象

臺灣過往最認真面對DDoS攻擊的產業,其實就是遊戲業和博奕業,但是,遊戲業遭到的DDoS攻擊,有很多也是因為同業之間的競爭,透過跟駭客下訂單,針對同業發動DDoS攻擊的方式,只要同業的遊戲無法提供服務,更多沒有忠誠度的玩家們,就會再去選擇服務沒有中斷的遊戲業者玩線上遊戲。這樣,發動DDoS就可以順利達到他們的目的。人潮所在就是錢潮所在,只要有利可圖,就可能是駭客鎖定DDoS攻擊的標的。

但是,施文政表示,隨著各種直播App和網紅的興起,這種類似遊戲業的特性,也成為臺灣下一波DDoS鎖定的對象。他進一步解釋,現在的直播和網紅,特點不在於這些受歡迎的網紅,出現在哪一個直播平臺,只要網紅出現的平臺,就是人潮聚集的平臺,也就是錢潮匯集的平臺。

既然網紅直播的性質類似遊戲業者,除了具備娛樂的特性,當然免不了同業競爭。目前看來,臺灣各家直播平臺在使用上的差異其實不大,甚至於,除了少數特定的網紅外,各家直播平臺甚至都有具備類似特質的網紅。

網紅最重要就是要受歡迎,許多直播平臺也會提供類似儲值方式,讓網友們可以針對心儀的網紅送花或提供類似的獎勵措施,讓網友們可以以實際的方式,表達他們對網紅的支持。

「粉絲們並不在意網紅出現在哪一個直播平臺,」施文政坦言,因此,和遊戲業一樣,出現同業競爭甚至是發動攻擊、癱瘓直播網路服務的情況,也在預期之內。

例如,某個受歡迎的網紅出現在A直播平臺,其他競爭同業也會透過發動DDoS攻擊,癱瘓A直播平臺後,其他的BCDEF......等平臺,就可以跟這個受歡迎的網紅,重新談定合作關係,只要粉絲們知道網紅接著會出現在新的直播平臺,聚集足夠的人潮後,粉絲們儲值鼓勵網紅的獎勵方式,也同樣對直播平臺的營運有加分,可能會以和網紅拆帳的方式,鼓勵網紅的受歡迎,也同樣對直播平臺營運有正面效益。

施文政表示,臺灣的一些直播先驅業者,其實都已經有意識到,他們可能遭到DDoS攻擊的可能性,因此在相關的DDoS的防護上,不論是閘道端的資安防護設備,甚至是和ISP網路業者端採購的流量清洗服務等,是早就做好萬全準備的。不敢說,當這些直播先驅業者遭到DDoS攻擊時,一定可以完好無缺的倖免於難,但相較於其他毫無意識有遭到DDoS攻擊可能性的產業而言,這些直播先驅業者,早就已經對這種可能會癱瘓網路服務的DDoS攻擊,做好事先防範措施了。

每間企業都可能遭到DDoS攻擊,心中都應該有一套面對攻擊的劇本

資安專家劉俊雄就曾經指出,DDoS其實從開始出現到演變到今日,已經是快20年的老問題了,但是,攻擊手法最明顯的差異就是,攻擊流量越來越大,從早期只要幾Mbps的攻擊流量,就可以癱瘓一臺主機、一個網路服務,慢慢升級到要幾十Gbps甚至是幾百Gbps的攻擊流量,到現在,甚至出現1Tbps的攻擊流量。

但即便攻擊流量越來越大,劉俊雄認為,攻擊手法卻依舊大同小異,仍然是以網路第3層網路層、第4層傳輸層以及第7層應用層式層為主要的攻擊方式。他也以開店為例,把店門口及前方道路視為網路出入口及上游,店裡設施和走道空間視為基礎建設,把結帳櫃檯視為應用程式系統的話,所謂的L3攻擊,就是一群人衝到店門口堵住門和馬路;L4攻擊就是一堆仁塞爆店裡的走道和空間;L7的攻擊就是一堆人假裝結帳,癱瘓櫃檯。

近期剛發生的DDoS攻擊事件,就是前兩天歐盟委員會( European Commission)的官網,遭到DDoS攻擊,網站服務中斷數小時就已經恢復,目前也由歐盟CERT進行相關的調查和處理。

但是,以目前臺灣的網路攻防能力來看,臺灣企業是否有能力處理DDoS攻擊呢?劉俊雄認為,以目前臺灣為例,只要遭到10Gbps的洪水流量攻擊,10Mpps的SYN洪水攻擊,或者是每秒1千萬次的DNS查詢、HTTP請求或者是SSL連線等,甚至把上面的攻擊數據再減少為10分之1,臺灣企業都不見得有能力可以擋住。

劉俊雄表示,臺灣因為電信等基礎網路建設普及,有許多對外連線的網路接口,即便遭到大規模的大流量DDoS攻擊,還有可能免於因為網路癱瘓導致網路鎖國的狀態。

但他也坦言,目前臺灣許多ISP業者針對遭到DDoS攻擊的客戶,即便這些客戶都有另外購買流量清洗的服務,一旦超出ISP業者可以承受的處理範圍,ISP業者會以黑洞(Black Hole)的方式處理這個遭到DDoS攻擊的客戶,讓這個客戶IP路由導入黑洞,無法由外部存取到,藉此保全ISP業者其他客戶的安全性。

「不管是誰,第一次遭到DDoS攻擊時,面對這種打帶跑的攻擊形式,受害者往往是束手無策。」劉俊雄認為,多數有能力處理DDoS攻擊的業者,也都是從多次的受害經驗中,慢慢找出因應之道。不過,只要每個人、每間企業都能有意識到,每個人都有可能遭到DDoS攻擊,慢慢推演出一套因應DDoS攻擊的劇本,都有可能大幅降低DDoS對企業和使用者帶來的衝擊。

[From IT Home]

2016-08-01思科:勒索軟體轉向攻擊大型企業用戶

posted Aug 1, 2016, 1:06 AM by 紀彥宏


思科在2016年中的網路安全報告中指出,勒索軟體已成為最賺錢的惡意程式類型,而近期的攻擊案例來看,勒索軟體可能從個人轉向攻擊大型企業,預期鎖定大型企業進行攻擊的勒索軟體感染能力增加,具備自我散布能力,並要求更高的贖金,企業應做好資料備份以快速回復正常營運。

思科(Cisco)於上周發表的2016年年中網路安全報告提出警告,操作勒索軟體的駭客已將矛頭轉向大型企業的員工,因而呼籲企業應備份重要資料並建立因應計畫,以期能在遭受攻擊之後儘快回復正常運作。

思科指出,勒索軟體主導了惡意程式市場,它不但是歷史上最賺錢的惡意程式類型,而且繼個人之後,企業也逐漸成為某些勒索軟體駭客的目標。

駭客轉移攻擊目標有跡可循,除了Flash漏洞依舊是最常遭到攻擊套件利用的安全漏洞之外,思科今年4月揭露全球近320萬台的JBoss含有可被植入後門程式的安全漏洞,而這也是今年3月鎖定醫院發動攻擊的Samsam勒索軟體家族入侵醫院系統的管道。

思科指出,近來成功入侵醫療產業的攻擊案例可能已提醒其他駭客可從事類似的行動,不論是網路或伺服器端的安全漏洞都提供了駭客悄悄引進勒索軟體的機會,並有潛力危害各個不同的產業。

在駭客將攻擊目標從個人轉向企業之後,所要求的贖金亦將跟著水漲船高。此外,思科預期勒索軟體的感染能力將會與日俱進,未來的勒索軟體可望具備自我散布的能力,更普及也更有彈性,建議不論是企業或個人都應好好備份重要的資料並確保備份資料的安全性。

2016-07-26第一銀行ATM盜領事件遭駭流程示意圖

posted Jul 26, 2016, 8:54 AM by 紀彥宏   [ updated Jul 26, 2016, 8:55 AM ]


 階段1  從分行入侵內網

雖然調查局仍不願意排除內鬼接應的可能性,但根據數位鑑識結果,可推測駭客首先入侵的是個人電腦。從APT(進階持續性威脅)攻擊的角度來分析,駭客有可能透過魚叉式釣魚郵件的方式,騙取倫敦分行行員點選連結,下載木馬軟體,入侵其個人電腦後取得進入內網的能力。

 階段2  建立內網潛伏基地

攻佔一臺內網PC之後,駭客就等於在內網埋了一顆棋子,下一步就是要建立一個具備管理者權限的內網潛伏基地,可提供對外連線能力和入侵臺灣內網的跳板,根據資安專家分析,駭客取得一臺內網PC的控制權後,很容易取得更多內網情報,甚至是管理者帳號密碼。

據了解,一銀的海外分行都各自有專線連回臺灣總行,從駭客可以如入無人之境的侵門踏戶來看,至少確定,總行對於海外分行登入連線的部分,並沒有進行相當嚴格的身分確認,加上有內網專線的幫忙,使得海外分行和總行系統,並沒有實質且明顯的分野。

調查局主管曾經私下透露,一銀在保護客戶資料的資料庫系統,採取了非常嚴謹的防護措施,但是對於內部系統之間的使用,可能是基於「都是自己人」的心態,加上一般員工都不想要太麻煩的認證系統,這也使得海外分行和臺灣總行連接的系統,往往只需要簡單的帳號、密碼就可以順利登入。

也因此,駭客控制了一臺不起眼的錄音系統伺服器,進一步透過這臺伺服器建立潛伏基地,展開了進軍臺灣總行內網的行動。

 階段3  暗中蒐集入侵情報

因為錄音系統也是一銀內部系統之一,穿透防火牆的存取連線行為也是合法行為,不易遭監控軟體發現。

後來發現儲存在ATM系統的木馬程式,是儲存在C:\install以及C:\Documents and Setting\Administrator\兩個目錄中。

資安專家指出,如果透過軟體派送的惡意程式,在上述兩個資料夾中都有發現,就邏輯推論,派送的軟體應該比取得管理員權限的程式,可能更早1~2個月,駭客就已經進入分行的內部系統中放置木馬。

在這段期間,駭客不僅掌握了第一銀行總行內網的網路拓樸,至少概略架構可以得知,另外也能發現,一銀ATM更新方式,不是過去的實體光碟更新,而是透過一套軟體派送伺服器來更新ATM程式,駭客只要竊取了派送系統管理者帳密,再蒐集到ATM的實體位置和IP的對應,就能明確攻擊特定位置的任一臺ATM,例如這次就是鎖定北中22家分行的ATM。

 階段4  ATM入侵準備

根據調查局追蹤,駭客在7月4日透過ATM軟體派送伺服器,發送了一個可以開啟ATM遠端連線服務(Telnet Service)的DMS更新包,可將Telnet服務從手動模式轉為自動開啟模式。

 階段5  開啟ATM遠端控制

收到這個更新包的ATM系統,自動按照例行系統更新程序執行,等到下一次系統重新開機後,ATM就會自動開啟了遠端連線服務,讓駭客可以遠端控制這臺ATM。

根據調查局統計,除了41臺成功遭駭的ATM,另有3臺ATM也遭植入木馬,但駭客沒有成功控制ATM。可推測,可能是因這3臺ATM還未重開機,因此沒有套用駭客客制的更新包而躲過一劫。

 階段6  植入ATM控制木馬,發動盜領

過了幾天,7月9日時,駭客再次從遠端登入,開始將木馬程式派送到ATM設備中,包括了控制ATM遠端吐鈔程式cngdisp.exe及cngdisp_new.exe,以及顯示受駭ATM資訊的惡意程式cnginfo.exe。

另外還上傳了一個批次檔cleanup.bat,可用來執行微軟內建加密刪除工具sdelete.exe,銷毀所有木馬程式。

遠端駭客先透過Telnet在ATM執行惡意程式cnginfo.exe開啟吐鈔口,負責取款的車手早在幾天前就先入境臺灣,在遠端駭客指定的時間到特定ATM面前,來確認吐鈔口是否開啟,若成功開啟表示該ATM已遭控制,車手就回報給遠端駭客進行下一個動作。

遠端駭客確認入侵成功後,開始執行遠端執行cngdisp.exe或cngdisp_new.exe吐鈔,每次吐鈔60張。所以,從ATM監視影片上才看到,車手完全不用接觸ATM或輸入密碼,就能取款。清空這臺ATM的鈔票後,車手再前往下一臺ATM繼續盜領。而遠端駭客也會執行自動刪除批次檔cleanup.bat,用sdelete.exe刪除所有入侵木馬程式和Log記錄檔。

從銀行治理上,第一銀行一直是模範生,是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位,加上金管會對於銀行向來是高度控管,而且一銀在ATM上,也一直都還是採用SNA封閉網路架構的銀行,也難怪,爆發ATM盜領事件時,震驚社會及金融圈。

資安專家表示,從目前外界可以獲得的資訊來看,一銀的ATM網路和內部辦公網路並沒有有效隔離,一銀對ATM上啟動哪些服務和作業系統日誌都沒有監控,這也會造成一銀爆發如此重大ATM盜領事件時,無法有任何事先預警機制。

若進一步解析第一銀行的IT治理,我們也可以發現盲點所在。

首先,不論是ISO 27001或者是ISO 20000,都是以資訊單位為認證範圍的認證,加上,金融業長期認為,封閉網路系統的ATM是比較安全的,都使得一銀缺乏足夠的警覺性面對這樣的盜領事件。

再者,一銀的ATM設備雖都有安裝防毒軟體,但這次木馬軟體得經過調查局鑑識後,才確定為惡意程式,對防毒軟體而言,很難事前分辨出這是惡意程式來攔截,只會判定為是一種具備特殊功能的執行檔時。

白名單控管ATM存取更安全

不少資安專家建議,銀行面對這類關鍵服務時,應該以白名單方式來控管,僅允許少數合法程式可以在ATM系統中執行,而非由防毒軟體來判斷應用程式的安全性。

第三,ATM裝置上缺乏相關的預警系統,例如,ATM有異常金錢提領時,為什麼沒有任何警示;而當ATM的現鈔與帳務盤點有不符時,第一時間為何沒有事先預警等等,也都是讓這樣的盜領事件,殺的讓人措手不及的原因。

許多資安專家都呼籲,不論是一銀或其他金融業者,主管機關要求的各種資安與IT管理認證,不應該只是為了認證而認證,不應該將所有經歷都放在填ISO表單,全部紙本作業看起來安全,事實證明,就是有可能爆發讓人異想不到的資安事件。

「技術性的檢驗落實,才是IT與資安認證的重點。」一位老牌資安專家語重心長地說。

2016-07-25為何封閉的ATM不安全?

posted Jul 25, 2016, 6:55 AM by 紀彥宏   [ updated Jul 25, 2016, 9:29 AM ]

這次臺灣發生第一銀行ATM盜領8,327萬事件,對許多資安專家而言,發生這樣的資安事件並不稀奇,因為從2013年開始,一直到去年,從俄羅斯、東歐、歐洲等,都已經先後發生許多起這樣神乎奇技的ATM盜領事件。

先前資安公司推出類似的資安報告,像是荷蘭與俄羅斯資安研究公司Group-IB及Fox-IT在2014年聯合發表的資安報告《AnunAk:APT Against Financial Institutions》中,詳細揭露了這個俄羅斯黑幫集團,利用開源銀行木馬Carberp,來客製化出專門攻擊銀行和支付系統的惡意程式Anunak,專攻特定廠牌Wincor(德利多富)ATM,可竄改銀行吐鈔上限,並可同時遠端遙控多達52臺ATM吐鈔來盜領金錢。此俄羅斯犯罪集團已經利用相同手法,不只偷遍俄羅斯,也橫行美國與歐洲多國的銀行。

到了2015年2月,卡巴斯基推出資安報告《Carbanak APT:The Great Bank Robbery》,根據這份報告統計,光在2013年晚期,這類ATM盜領造成的損失就已高達10億美元(約新臺幣310億元),其中受駭的銀行更遍布俄羅斯、美國、德國、中國或烏克蘭等。不過,這樣ATM盜領事件並不是每一起事件都可以盜領很多錢,像有單一銀行ATM損失就高達730萬美元(約新臺幣2.26億元),其他更多的損失往往是來自直接透過線上平臺轉帳帶來的損失,有銀行光是線上轉帳損失就超過1千萬美元(約新臺幣3.1億元)。

但即使這樣的ATM盜領案例層出不窮地在國際爆發,卻少見臺灣金融業者重視,反而是,像孟加拉央行被盜領的事件,臺灣金融業者關心程度還更高。綜合下來,其實源於幾個臺灣金融業者某些不夠落實、半調子的資安觀點,才導致臺灣的銀行業者缺乏對這類資安事件的心理準備。

 迷思 1  臺灣ATM使用封閉網路,所以比較安全

所有臺灣的銀行業者,除非是採用IP ATM的銀行業者,全部都一致認為,許多臺灣ATM還是採用封閉SNA(Systems Network Architecture)網路架構,ATM直接透過SNA和後端帳務及客戶餘額主機連線,不僅網路傳輸時加密,也使用3DES與後端銀行主機做加密,加上ATM業者也會在ATM設備安裝防毒軟體強化其安全性。因此,多數銀行業者都會說,臺灣ATM使用封閉網路架構,所以比較安全。

事實上,真的如此嗎?一銀的狀況其實也是許多臺灣的銀行業者縮影,如果ATM真的是封閉網路,那光是ATM軟體升級,就必須透過ATM設備工程師,親自拿光碟或隨身碟,到每一臺ATM設備升級作業系統。

但是,從一銀的作業模式可以發現,該銀行其實已經有一套更新ATM軟體的派送伺服器,像是六月底,一銀更新ATM系統時,就是透過網路而非實體升級。

嚴格來說,銀行說的封閉網路只局限在兩個端點,ATM連到後端帳戶系統,是採用SNA封閉的內網架構;ATM更新伺服器和ATM設備,也是SNA;但是,從外面派送的更新軟體內容到ATM更新伺服器時,看樣子就是透過網際網路升級,而非SNA封閉網路架構。其實,銀行業者定義的封閉網路並不完整,大部分都是指和後端帳務系統連網的網路架構,但是,更新派送的部份,終究不全然採用封閉網路架構。銀行是否還可以使用封閉網路的字眼,企圖混淆視聽呢?

 迷思 2  XP即使終止延伸支援,在封閉網路也安全

目前臺灣銀行業者ATM作業系統的主流,除了在2013年新採購的ATM多是內建微軟Windows 7以上的作業系統外,許多舊款的ATM大多採用在2014年4月8日就終止延伸支援的Windows XP Professional(簡稱XP),以及在2016年1月12日終止延伸支援的Windows XP Professional Embedded(簡稱嵌入式XP)作業系統。

從一銀事件來看,目前有438臺ATM採用微軟XP作業系統,只有2013年之後採購的54臺ATM,是採用Windows 7作業系統。其實,第一銀行早在2013年下半年,就已經在評估,要汰換用了7~10年的老舊ATM設備。但是,為什麼一銀到現在還有過半以上的ATM,仍使用微軟XP的老舊ATM呢?合理推論就是,即便是使用微軟XP,但封閉網路會降低駭客透過網路入侵ATM的風險,難保一銀有許多已經超過10年使用期限的硬體ATM設備,在其他預算排擠效應下,遲遲無法升級或汰換。

早在2年多前,ATM設備商NCR臺灣及香港區總經理區萬康便曾受訪指出,針對使用終止支援作業系統的銀行業者,應該要參考由信用卡公司提供的PCI規範。首先,建議使用終止支援作業系統的ATM設備,只允許白名單的應用連線,確保系統的完整性;其次,雖然不限時間,銀行必須要有清楚、合理的設備或產品升級計畫,以ATM使用工業主機通常可以耐用7~10年,超過10年不汰換,就是一個不合理的升級計畫。

從一銀事件看來,ATM設備端並沒有只允許白名單應用連線;再者,推測一銀仍有超過10年未汰換的ATM設備,都讓自家ATM風險往上升。甚至於,我們也應該譴責,如果有任何業者的商用系統,還在使用微軟XP這種軟體孤兒,這些業者都不道德。

 迷思 3  銀行資安稽核做得好,防駭能力一定好

有許多資安專家表示,臺灣金融業者的確是在資安設備採購上,投資最多金錢的產業,加上監理機關高度控管,不論是一年N次的內稽和外稽,都讓金融單位的資安像是銅牆鐵壁般的安全。

事實證明,臺灣金融業資訊部門花太多時間應付相關稽核,包含資安稽核,卻缺乏足夠的防駭思維,最明顯的例子就是,僅有少數金融機構有半獨立的資安部門;甚至僅有少數的金融業者,在銀行內有自己的資安事件處理團隊(IR Team)。

畢竟,目前也只有富邦金控有聘請專長打擊網路和科技犯罪的前警政署資訊室主任李相臣,擔任富邦金控資訊處長,負責相關的資安事宜而已,其他多數金融業者,仍把資安部門視為資訊部門的附屬品,更不會把資安能力視為提升公司營運能力的重要環節時,資安人員在銀行內無法出頭,更不用奢望有專門的資安團隊可以有心力鑽研怎麼防駭客,怎麼做好資安事件處理。

 迷思 4  臺灣人不懂怎麼駭入ATM,就比較安全

第一銀行董事長蔡慶年在7月18日的記者會上宣布,將要全數汰換舊款Wincor Pro Cash 1500的ATM設備,此時也有資安研究人員想協助了解是否有新手法的可能,但可惜是設備代理商不願意出借設備,並向銀行業者說明一旦出借,代理商將不會針對該銀行的ATM設備的漏洞進行升級、維修。

事實上,這臺設備已經可以在網路上購買,而且在俄羅斯還有許多中國的地下論壇,早就針對此次一銀受駭的ATM廠牌Wincor,有專屬的發文專區,從最基本的操作說明、操作手冊、操作介面,甚至如何遠端入侵的攻擊手法等,形同是半公開在網路上,有心人士一定找得到。

從此類鴕鳥心態,以為只要臺灣人不懂如何攻擊ATM,就表示臺灣不會發生這類ATM攻擊事件;到代理商惡劣自保心態等,都讓真正的資安技術交流地下化,最後的結果就是,當俄羅斯人、中國人知道怎麼攻擊Wincor ATM時,臺灣人因為不知道如何攻擊,更不懂得如何防護,只能作為刀俎上的魚肉,任人宰割罷了。

2016-07-13國外ATM盜領案件 vs. 國內ATM盜領

posted Jul 12, 2016, 10:24 PM by 紀彥宏


近日,媒體沸沸騰騰的報導,國內發生首宗ATM感染惡意程式遭盜領的案件。嫌犯直接從ATM中提領現金高達七千萬元。一時之間國內各行庫針對這則新聞不斷提出對策,主管機關也要求各行庫擬訂因應計畫。但就目前媒體的資料,反而偏重在嫌犯逃離的路徑,或是地下匯兌的管道,對於真正的原因,也是眾說紛紜,包括有專家表示,是因為快速換版所造成的,也有人說是內神通外鬼。但都沒有較為明確的答案,甚至也有聽聞硬體供應廠商要出來召開記者說明會。但這樣的案例,其實就在國外已經有多次發生,我們就從國外相關的報導進行探討,希望對這起案件能提供一些其他的思維。 

就目前我們手邊所看到的資料,類似的ATM案件從2013年起開始在俄羅斯興起,在蘇聯地區平均犯案所得每次約為2萬盧布,至今已經至少犯下50起案件,獲取的金額已經超過十億盧布。而每次從攻擊開始到犯案,其中潛伏的時間長達六週,主要攻擊的對象,就是讓ATM提款機能夠順利吐鈔。如果資料正確的話,那這種就是典型的進階持續性攻擊(Advanced Persistent Threat, APT)。而攻擊的源頭則是透過郵件的寄送,並且將惡意軟體夾藏在郵件中。當使用者不慎打開後,惡意軟體就常駐在使用者端,並且利用遠端桌面協議的漏洞(Remote Desktop Protocol RDP),建立起與ATM之間的連線。當然,集團成員也會利用多種工具,去掩蓋所留下來存取的軌跡。在整個入侵的過程中,除了透過電子郵件傳送外,同時也會一支m*的open source檔案,嘗試取得該台個人電腦的使用權限,並且透過該台電腦,與其他伺服器取得連線後,記錄IP位置並且繞過防火牆,藉以建立攻擊管道。在這一連串的過程中,其中有一隻非常罕見的惡意程式,名為” Barus” ,利用這支程式把被感染的伺服器與遠端進行連結,並且修改相關的設定。 

如果在仔細回推一下整個事件的源頭,還是透過一般使用者,當他開啟來路不明的電子郵件,或是打開附加的檔案,所有的災難就接踵而來。去年度因應主管機關的要求,針對銀行業進行社交工程演練,並且列入資安檢測的項目之一。但初期執行點擊的比例還有改善的空間。在連接到伺服器之後,最後最主要的一步是要連接ATM的網路。如果網段區隔的不清楚,或是沒有密切注意網段間的連絡,就有可能輕易找到目標。一旦找到目標後,換言之這個網段下同型號的ATM應該是無一可倖免。以上述所提到的攻擊方式,最終的攻擊對象就會與這次國內銀行發生盜領事件的ATM是屬於同一種廠牌。駭客在找到ATM設備之後,就會更改Registry Key的設定,將其中負責提款模組下一組名為”value_1”的設定值及另外一支” “KDIAG32”的程式加以修改,如此一來對於駭客集團而言,幾乎可以說是大功告成,接下來就是要在現場將惡意程式啟動,並且享受結果。 

這個駭客集團從2014年下半年起,將觸角觸及到美國、澳洲、西班牙等地,並且不斷的翻新作業的程式,但我們可以發現基本的攻擊模式是沒有改變的。而從國外的調查報告中得知,這個集團目前也開始對西歐或其他地區開始佈署重兵。雖然無法證明國內的案件與這個集團有關,但這樣的攻擊手法也是可以提供我們做參考。就在晚間法務部調查局的新聞稿中檢測到「cngdisp.exe」及「cngdisp_new.exe」這兩支惡意程式的存在。就目前各行庫而言,除了與案件中相同的機型建議停用並進行檢測之外,其他的行庫,如果使用不同的機型或是使用不同廠牌的ATM,建議還是要對內部的網路進行監控,如果有發現到試圖嘗試連線,或是連線失敗的案例,還是需要儘可能得找出原因,畢竟資安工作絕不是一天兩天就可以做完的。

1-10 of 17