觀點

2015年安全事件大剖析 (系列一)

2015 / 02 / 09
編輯部
2015年安全事件大剖析 (系列一)

資訊安全回顧與展望 

     回顧2014年,展望2015年,儘管過去各種安全威脅或多或少都會繼續作惡而不會完全消失,但可以確定的是,政治與經濟因素依然會是主導今後安全威脅的兩大推動主力,前者讓進階持續威脅(APT)、目標式攻擊(Targeted Attack)、分散式阻斷服務(DDoS)攻擊或零時差漏洞攻擊(Zero-Day Attack)持續發火發熱。 至於後者在行動裝置、App與物聯網(IoT)時代的全面到來後,將有更大的空間與成功機率展開各種可以大賺一筆的駭客入侵、網路詐騙與網路勒索等Web攻擊,不可避免的,這使得2015年會再度成為「資料外洩年」,隨著攻擊面向與目標的擴大,新的一年裡恐怕會再度刷新資料外洩的紀錄。

     本文將分為兩系列來剖析2014年以來與今後2015年值得關注的安全威脅與趨勢。

愈來愈泛濫的資料外洩事件
     2014年可說是一整年都在不斷上演資料外洩的戲碼,而且資料外洩的規模一次比一次還驚人,自從零售巨頭Target以7千萬筆顧客個人資訊與4千萬筆金融卡資料外洩而登上史上最大資料外洩苦主寶座以來,資料外洩的數量動輒不是幾十萬筆(例如美國大美容用品店Sally Beauty及慈善連鎖超市Goodwill),就是上看幾百萬筆(例如富比士雜誌及辦公用品連續店Staples),但這些事件與全球最大家飾建材連鎖店HomeDepot的資料外洩案相比只是小菜碟,該事件光金融卡外洩張數便高達5,600萬,外洩的電子郵件也高達5,300萬筆,由此突顯出資料外洩規模,以及公私組織資料防護能力不足的嚴重性。

     根據2014年SafeNet《資料外洩水平指數》(Breach Level Index, BLI)指出,光就2014年上半年而言,就有超過3.75億筆客戶資料遭竊,較前一年同期增加了31%。有鑑於雲端運算市場到了2018年將有29%平均成長率的趨勢起見,透露出未來將會有更多雲端供應商被駭,同時有更多顧客資料遭竊。

     趨勢科技《2015年暨未來預測》指出,當前網路犯罪集團透過POS系統記憶體擷取程式(RAM Scraper)來竊取資料,並先後在2013年底全球最大連鎖零售商Target與2014年9月的美國家飾建材連鎖賣場Home Depot身上,締造有史以來最大的資料外洩事件。

    事實上支付系統已經成為駭客攻擊的最愛,這點可以從2014年一連串包括連鎖超市Acme Markets、奢侈品專賣百貨業者Neiman Marcus、特許經營飯店管理公司White Lodging、全美最大工藝品連鎖店Michaels、博弈業者Affinity Gaming、連鎖超市Albertsons與SuperValu、連鎖冰淇淋店Dairy Queen、三明治連鎖店Jimmy John,以及辦公用品連續店Staples等重大資料外洩事件中獲得明證。

    不僅如此,在Home Depot、Jimmy John及Goodwill等公司資料外洩事件中,全都因為駭客將第三廠商當作攻擊跳板而導致資料外洩的憾事發生,由此也突顯了第三方合作廠商的安全與否,嚴重攸關自身網路、系統及資料的安全性。此外,趨勢科技指出,除了外部攻擊外,公司內賊更是資料外洩的最大因素之一,其中尤以美國國家鐵路客運公司Amtrak外洩案最知名,因為過去長達二十年,其旗下員工一直暗地裡從事乘客個人身分識別資訊(PII)的販賣勾當。

    過去一直被視為安全性有如銅牆鐵壁的蘋果公司,自從2013年9月包括珍尼佛.佛倫斯(Jennifer Lawrence)在內的許多好萊塢知名藝人在iCloud上的私密照外洩後,便開始接連破功地出現資料外洩事件與其他安全問題。緊接著2015年1月,自稱Pr0x13的白帽駭客在GitHub對外發表自行開發的概念驗證攻擊工具iDict,透過該工具可對特定iCloud用戶發動暴力破解攻擊,並破解其密碼。 

   2015年1月,美國航空業與旅遊業者也開始淪為資料駭客的攻擊目標,其中36筆聯合航空客戶的忠誠卡帳號,被駭客竊得的登入憑證強行登入並遭到詐騙交易,同時帳號餘額、訂機位狀況與郵件地址都可能因此外洩。同樣的,美國航空也爆發1萬筆顧客帳號遭持劫事件。此外,近兩個月以來,有超過20個美國旅遊網站發生資料外洩,而且資料已被網路犯罪者賣到地下論壇。由此可見,進入2015年,資料外洩的攻擊觸角變得更加廣泛,我們必須得以更嚴謹的態度與做法來面對此一挑戰。

物聯網(Internet of Things, IOT)資料安全
    根據IT公司FOW Community調查報告預測指出,到了2012年大約會有260億到2,120億之間的裝置連接到Web,換言之,屆時連網裝置將達到全球人數至少3倍之多,如此可觀的裝置數勢必會為資訊安全帶來非常嚴峻的考驗。

    再者HP Fortify針對當前普遍採用I oT裝置的安全掃描研究報告指出,70%時下流行的IoT裝置,包括電視、家庭恆溫控制器、遠端電源插座、灑水控制器、多裝置控制中樞、門鎖、家庭警報器、電子磅秤與車庫門皆內含安全漏洞,其中包括不適當密碼、加密或寬鬆的存取限制機制。正因為IoT會連接並整合無數的目標與系統,益使得其所招致的攻擊面甚大,所以這類產品必須一開始就先內建好安全防護機制。

    郵件安全廠商Proofpoint於2014年初也發表安全報告指出,2013年12月23日到2014年1月6日間曾發生一起IoT攻擊事件,預計有10萬台連網裝置發送超過75萬封惡意郵件。 

    有趣的是,趨勢科技在《2015年暨未來預測》中認為,由於IoT裝置的類型太過多元,所以對攻擊者而言攻擊效益似乎不高。但IoT裝置背後並集中儲存在裝置製造商資料庫中的資料,才是網路犯罪者最想鎖定的重點目標。不過,整個情況將會因「開放互連聯盟」(Open Interconnect Consortium, IOC)的成立與Apple HomeKit的發表而改觀,因為屆時在共通通訊協定與平台的建立下,攻擊者勢必展開對IoT的直接攻擊,甚至透過勒索軟體持劫智慧型汽車以求取贖金。

不安全的路由器
    除此之外,家用及商用路由器對駭客而言是個非常值得攻擊的目標,因為他們可藉此在特定網路內部建立攻擊其他裝置的立足點或灘頭堡。比起受感染的PC,遭劫持的路由器會更難以偵測察覺,畢竟絕大部分的路由器上沒有任何防毒或安全軟體在其上。藉由路由器的劫持及控制,駭客便能任意攔劫、檢測甚至修改任何裝置內送與外發的網路封包,同時能站在中間人的位置來解密SSL封包,並透過DNS劫持技術來讓合法網站淪為惡意或釣魚網站,也是值得密切追蹤注意。

永不停竭的漏洞攻擊
    漏洞攻擊是個永遠不會消失的安全議題,畢竟只要有系統或應用程式的地方,就免不了會有安全漏洞,當然漏洞嚴重性,全視該系統與應用程式的普及性與影響性而定。HP在《2013年度資安風險報告》中特別強調指出,除了令人難以防範的零時差攻擊成為APT、Web攻擊的萬靈丹外,年代已久、不受重視的安全性弱點常導致使用者蒙受重大的損失。

    不過,Palo Alto 2014版《應用程式使用狀況與威脅報告》卻表示,該公司所調查的漏洞入侵程式有94%集中出現在10個應用程式,同時有99%的惡意軟體會出現在UDP之中,且絕大多數由單一威脅所產生,由此說明了大部分的已知威脅活動多半都集中在少數的應用程式上。這也說明了APT駭客會什麼會壓寶在零時差漏洞上,如此才能發揮出奇不意的效果。

     趨勢科技《2015年暨未來預測》認為,隨著微軟Windows在安全上的改進與漏洞的逐漸減少,結果會導致駭客開始將攻擊矛頭指向開放原始碼系統平台與應用程式,這也是何以2014年接連爆出心在淌血(Heartbleed)與殼層衝擊(ShellShock)兩個史上影響層面最廣的開放原始碼重大漏洞的原因。

     Heartbleed與ShellShock可說是2014年兩大世紀安全漏洞,前者屬於開放原始碼網路傳輸加密函式庫OpenSSL上的安全漏洞,駭客可透過該漏洞攻擊竊取記憶體內容。由於約占當前全球Web伺服器一半以上數量的Apache都採用該函式庫,說明了該漏洞會對全球超過50%的Web伺服器造成影響。

     至於ShellShock則是GNU作業系統殼層程式Bash Shell上發現的漏洞,駭客可藉由請求來執行惡意程式,進而掌控系統控制權。由於Linux、BSD與Mac OS X皆採用Bash Shell做為預設殼層程式,除了全球50%以上Web伺服器皆屬Linux系統外,舉凡IoT裝置、Android行動裝置及老舊路由器都會受到波及,由此也說明了該漏洞影響層面會有多廣。

即將刊登: 2015年安全事件大剖析 (系列二), 敬請期待。