沸沸揚揚的 ATM 盜領案,隨著部份嫌疑犯的落網,以及調查單位所公佈的資訊,對於整個犯案的過程有了更進一步的瞭解。在這個之前,陸續很多所謂的「專業人士」,發出了很多不同的論調,這些觀點有些確實可能與這個案件有部分關連,另外當然有一些是為了博取版面,誇大臆測的結果。然而這樣的案件會是唯一的案件嗎,有沒有那些會是其他銀行可以學習的經驗呢? 我們希望能從這次的教訓中,能提供給國內金融界一些警訊。
更換ATM設備硬體不是問題重點
在銀行高層所召開的記者說明會中提到,將陸續替換這次感染的相同機型,馬上有媒體報導了後續的軟、硬體更換的商機,但是真的只更換了硬體設備就真的能解決問題嗎?直到現在,還有部分的銀行資訊從業人員,抱持著一個觀點,說 ATM 是屬於封閉網路,所以 ATM 是不可能被感染病毒或是遭受惡意程式的攻擊,但是從調查局所公佈的資料中,卻狠狠的否定掉這樣的說法。
不可諱言,在最早期 ATM 程式需要執行換版作業時,資訊單位需要製作大量的磁碟片或是光碟,然後將這些磁片交由分行的行員,再視業務性質配合行員或是保全人員,將每一台的 ATM 逐一開啟進行程式更換作業,如果是這樣的情境,說 ATM 所處的網路環境,是屬於封閉式的網路架構還情有可原。但現在幾乎各行庫都是採用軟體派送的方式進行程式異動,如果是這樣的作業模式,也許 ATM 沒有直接對網際網路做連接,但包括派送主機或是程式更新主機,都有可能會因為業務的需要而有對外連接的情形,其實和以往的網路環境已經大不相同,又怎麼能一直堅持 ATM 是屬於封閉網路呢?
也就因為有這樣的想法,所以還是把 ATM 的管控重點,放在亂碼化設備或是基碼建置上,對於 ATM 所使用的作業系統,是不是原廠已經不再提供服務 (End of Service EOS),或是作業系統需要定期修補更新,往往就以ATM 有許多專業設計考量一語帶過。所以即便很早之前就有提出 ATM 作業系統需要考量更換的議題,但去年汰舊換新的比率還是非常有限,甚至在這次事件以前,很多銀行對於 ATM 的更新是沒有列入到現有的計畫中。同樣的狀況,也發生再去年度各行庫依照銀行公會所制定的「金融機構辦理電腦系統資訊安全評估辦法」中,雖然 ATM 也是檢測的項目之一,但 ATM 檢測的結果有很多需要改善的空間。包括這次事件發生後,很多銀行都開始針對調查局所公佈的惡意名稱進行檢視,但試問真的檢視惡意程式名稱就足夠了嗎?今天也許檢測了幾支惡意程式,或是逐步更新了 ATM 設備,但是問題發生的原因還是沒有痛定思痛的解決,並非杞人憂天,但這樣最多只是延緩事件發生的時間而已。
重點在於ATM程式更新/派送的控管機制
其次再以 ATM 的程式更新,外界有一種說法,說 ATM 的程式更新很少,所以一定是內神通外鬼,才有可能將惡意程式安裝在機台上。事實上在 ATM 機器中所播放的廣告,都是透過程式撰寫的方式,所以包括更動廣告、警語等都會有程式的更動,更何況是配合業務需要所做的調整。理論上來說對於 ATM 的程式,因為敏感性較高,所以程式的異動相對需要比較嚴謹,但有部分銀行最後一道控管卻常常流於形式。有些行庫甚至會採用白名單的方式進行程式異動控制,但白名單也會有疏漏的情形,最著名的例子就是南韓銀行被APT攻擊,就是將惡意程式植入在病毒掃描主機中被感染。這樣的例子有沒有讓台灣的銀行業有所警惕,重新檢視一下類似的風險會不會存在自身的單位中,或是只是當作研討會中一頁的教材,我想各位也許都已經有了答案。
當然就這個案子本身,還有許多可以討論的地方,包括網段的劃分、網路活動的監控、特許使用者的管控,甚至一般人員的資安意識訓練都有討論的空間,也相信如果沒有其他更新、更大的案子,這個案例還會不斷在研討會中探討。但即便把攻擊的手法背的滾瓜爛熟,但如果還是抱持著「船到橋頭自然直」的想法,反正我們就配合時勢做些調整,或是看看其他家做那些我們就跟進,只要主管機關不處罰就好,應該我們家不會有事的心態,那可以確認的是,下一個案例發生的間距一定會越來越短。
[活動訊息 歡迎參加]
7月28日(四) 資安人雜誌舉辦資安研討會,將帶給大家
金融科技(FinTech)的發展與威脅、誘騙感知如何來對付APT威脅、 網路金融犯罪常見的手法公開
活動時間:2016年7月28日 (四) 13:20 ~ 17:00
活動地點:國泰金融會議廳 A廳 (台北市信義區松仁路9號1樓) [無提供停車位]
報名網址:https://www.informationsecurity.com.tw/Seminar/ISevent20160728/