暑假作業

文／吳佳翰


從下午兩點掌握入侵者的行蹤後，我們就一直處於緊張亢奮的狀態，依據資安事件應變的標準程序，攻擊者的目標已被刻意轉向比較無害的系統，由一組成員負責不動聲色地保持連線，進行監控，其他有可能被入侵者進入過的重要營運系統則被強迫離線以作為損害評估及證據搜集之用。入侵者小動作不斷，步驟有點亂，既無選擇性，也不夠純熟小心，不時地觸動入侵偵測軟體的警報。就好像一個頑皮的小學生在四下無人時進入電梯，將每一層樓的鈕都按，不過同時也包括了警鈴。


我們實在看不太出來對方的意圖及攻擊標的。但唯一可以確定的是，他已察覺到遭受監控，卻仍一路肆虐，同時並反向監控管理人員在系統中的一舉一動。這樣的目中無人、目無法紀，讓我們的鬥志在星期三的午後不斷地發酵膨脹。
從一個失控的駭客開始
其實早在攻擊初期，我們已掌握了來源位址及入侵的路徑，攻擊發自於所謂的信任網域 （trusted domain），同時也是另一個與我們部門在業務上連線的政府機關。原先我們以為是跳板攻擊，可是監控得越久，越發現這和所謂的跳板攻擊特徵有點出入，因為被用來作為跳板的的網域似乎提供了過多的資源給攻擊者，我們從未看過攻擊者對跳板本身的掌握程度如此之高。這只有二種可能，一是攻擊者已完全控制了跳板網域，但這可能性不太高，從攻擊者的從容程度來看，他在線上已有相當時間，對方網域的管理人員不可能毫無所悉。二是攻擊者為對方系統管理人員，但這也不大像，因為攻擊者所使用的工具及技巧都有些讓人心驚膽戰，況且一般系統管理人員業務繁忙，不致於如此悠閒。


負責監控的小組成員不斷利用電話將最新發現告知，包括所下的指令及所使用工具。許多跡象及所搜集資料都透露出不尋常的訊息，我們作了一個大膽的假設，這次的入侵其實是滲透測試的一部份，而且是一個完全失控的滲透測試。


我們當下立即向新上任的資訊安全官報告發現，並同時打電話至對方單位求証。
接電話的人是Sean，他毫不猶豫地承認有測試正在進行當中，同時還非常驚訝我們消息的靈通。他驕傲地，但刻意壓低聲音地告訴我，他的單位最近來了一個未成年的小伙子，因為持用偽造証件進入酒吧被抓，被法官判了二十五天的社區勞動服務。起初他只是被分派作些簡單的資料輸入及磁帶整理工作，但幾天之後他們發現他們收留的這位小兄弟竟然是身懷奇技的電腦高手，有過入侵學校電腦系統的記錄。基於這樣千載難逢的機會，Sean 及他的主管決定讓位小朋友小試一下身手來測試一下系統及網路的強度。


「你不要告訴別人，他曾上過報，有案底的。」Sean 說。他刻意咬字不清，放低音量，但興奮之情卻難以掩藏。至於我們網域所受到的影響，他覺得不必過於大驚小怪，反倒建議我趁這個時候了解一下系統脆弱的程度，一次消費，兩人受惠，機會難得。


聽完他的解釋，我的背脊突然有些發涼，大事不妙，損害評估的範圍可能必需要重新規劃，在放下電話的同時，我語重心長的告訴Sean：「如果我是你的話，我會立刻停止測試，然後回頭檢視一下系統損害的程度。」

滲透測試的兩面刃
我的擔心不是沒有道理。近年來滲透測試在媒體及電影的推波助瀾之下，突然成為資訊安全諸多領域中的一門顯學。好像一夕之間，所有資訊安全的議題都獲得了答案，所有安全管理上的難題也都得到了救贖。所以我們常看到某某單位稱已請某某專家或某某公司施行所謂的滲透測試，覺得滲透測試完，系統經歷過一番洗禮後，在強度及可存活度上應該經得起相當考驗。但事實上是，截至目前為止，全世界尚未有系統化的滲透攻擊方法論，以後也不太可能有，雖然有人歸納出來所謂的攻擊步驟，但大多只是提綱式的指引，真實世界裡的系統平台異質性過高，應用系統的設計太繁複，若沒有真本事，光會按圖索驥的初入門駭客充其量只能在系統防線外圍徘徊流連而不得其門而入。


沒錯，滲透測試可能是資訊安全領域中最具戲劇張力的課題，它像一個華麗而刺激的戰場，而且更因為有放棄追訴權同意書（waiver agreement）的存在，測試人員在完全不用擔心任何法律問題的情況下可以盡情的揮灑。但這也正是整個遊戲最危險的地方。很少人能理解到，滲透測試有如兩面刃，如不謹慎施行，所造成傷害的程度遠超過想像。滲透測試的規模應該是整體性的、有計劃性的，可被監控的、可以測量的，而且是可以被稽核的。在美國聯邦政府所規定的基礎資訊安全文件體系中，測試及稽核（Audit & Test Plan）是同一份文件，在施行上必須協同一致，不可偏廢。


所以說，在進行所謂的滲透測試前，前置工作相當的重要，範圍的定義，測試的時程、使用的工具及事後的稽核檢討都必須詳加釐清，測試標的失焦或目的未竟事小，若因工具的錯誤使用而使得線上系統失效，甚或波及範圍之外的其他系統，往往會造成難以估量的後果。尤其是駭客工具的使用必須謹慎而且有所節制，因為駭客社群所使用的工具原本就非為造福人群而設計，更改權限、破壞系統參數、置換掉原本合法的執行程式、安裝後門或木馬程式，所用技倆千奇百怪，不一而足。一旦安裝後，要完全移除，必須煞費一番苦心。

發現一篇小學生報告
果不其然，負責檢測離線系統的小組成員陸續回報災情：某些主機的重要目錄已遭修改、事件記錄也被移除。同時成員之一的Kelvin 告訴我，有一個稍早被攻擊並強制離線的系統，被丟了一些奇怪的文件，內容大談獨立戰爭和美國憲法，他說他雖然不是歷史專家也不是憲法學者，但很確定的，在這幾篇文件內所陳述的觀點及引述的事實錯誤百出，如果是小學生的家庭作業的話，應該是會被老師退回重寫的那一種。


我據實向剛自司法部調任來的資安官回報剛剛與對方的談話內容及目前現況。他十分不悅，他說：「被攻擊的系統是在正式環境下的系統，如果未知會我們而逕行攻擊，我一概視為未經授權的準攻擊事件。對攻擊事件的作業程序如何，你們應該知道如何處理。我不在乎他們的動機，不對的事情就是不對，就好像你不會拿真人去作汽車的安全氣囊撞擊測試！」
他除了要求我循資訊安全事件的處理原則通報及善後外，同時還打了兩通電話，給誰我不太確定，但其中一通是好像是地區檢察官辦公室，這下可難以善了了，我心中暗想。

罪魁禍首出現
第二天一大早，對方單位的資訊長帶領一群人浩浩蕩蕩，但也張張惶惶地闖進我們辦公室。比較引人注目的是夾在眾人之中有一張怯生生、驚慌失措的臉孔。那少年約莫十六、七歲，西裝略嫌過大，刻意梳理的髮型與所配帶的耳環不太搭調，一眼看來就不是聯邦政府僱員，我心下明白，這個可憐蟲應該就是這次災難的罪魁禍首。


對方的資訊長心虛而急促地解釋：「這是一次授權的滲透測試，只不過是有點失控，測試人員將你們的網域誤以為是測試網域，如果造成不便，請多多原諒，至於主管機關那裡，希望你們能協助美言幾句。畢竟這失誤並非有心，對吧？Todd？」
他身旁的那位少年很侷促不安地點點頭。


「失誤？不便？喔不，先生，我們事前未收到任何行文通知，這是入侵聯邦政府電腦系統，這是聯邦重罪，我們的應變團隊已將所有證據收集完備，也已通知了相關執法單位，一切按照規章辦事。」資安官很不以為然地回答。


對方鐵青著臉，不發一語。

資安官接著說：「這樣好了，為了協助我們了解這次失控的原因，我們希望Todd 老老實實地告訴我們入侵的方法與過程，包括交出所有曾使用的入侵工具。如果他合作情況還令人滿意，我們或許可以考慮你們的請求，這不是正式的盤問，現場也沒有執法人員，他不需要律師。」


對方欣然同意，我們隨後與Todd進行對話，八個政府機構，包括國會及白宮所使用的查詢系統能否全然回復上線營運，還有我們之後幾天能否擁有正常社交生活，能否安然入眠，他的回答內容是關鍵所在。


「你被告知的測試範圍是那裡?」

「他們告訴我任何在網域上的資源都可測試。」

「在測試之前，他們有沒有提供任何測試的規範文件給你參考？」

「沒有。」

「你從那裡作測試？」

「我房間裏的電腦，ADSL寬頻連線，他們在防火牆上開了一個口讓我自遠端連線。」

「你使用了那些工具？」

「忘了，硬碟上我所搜集的每一個工具幾乎都用上了，包括我自己寫的小程式。」

「你的攻擊步驟為何？」

「沒有記錄，走一步算一步，所有看到的系統都上去玩玩。」

「記不記得有碰過那些系統，作了什麼事，有沒有作任何記錄？」

「不記得了，拜託，他們只叫我盡力而為，並沒有叫我寫那些討厭的文件。」

「在測試的過程中，除了你之外，有沒有其他人操作你的電腦？」

「我媽媽、妹妹，和她的朋友Jennifer。」

「你妹妹年紀多大？」

「十一歲。」



一連串的問題問下來，幫助可說是一點也沒有，原本我們只是想知道到底在攻擊過程所發生鉅細靡遺的大小事情，以對系統的受損情況作更精確的掌握，但結果實在讓人失望，根據標準程序，主機一旦遭受攻擊，若無法完全掌握攻擊的內容及評估受損程度，這主機即被視為不可信任的主機，不可信任的主機所執行產生的結果不但不可信賴，而且在未重建之前不准進入正式的作業環境。

妹妹的暑假作業？
這真是個惡夢。接下來的幾天，所有工作人員將必須日以繼夜的進行系統重建、修補資料及強化的工作，技術支援部門人員將會被自各使用單位湧進的抱怨電話淹沒。


「喔，對了，還有一件事我忘了說。」



Todd 突然舉起手，我們彷彿看到一線生機。

「我可不可以有一個請求？」



情況發展到如此地步，我們實在不曉得他還能有什麼請求。


「是這樣的，昨天我妹妹好像有使用我的電腦作暑期作業，但我在硬碟上遍尋不著，我想她大概是把檔案存到你們這邊來了。我剛出門的時候，她叫我問問你們，方便的話，你們能不能幫她找一下，然後還給她，明天是暑假的最後一天。」


（本文作者為勤業眾信會計師事務所企業風險管理部經理）