觀點

不要成為駭客攻擊的跳板-從GFORCE事件談起

2002 / 01 / 18
不要成為駭客攻擊的跳板-從GFORCE事件談起

刑事局偵九隊日前證實,去年911事件後,國內某ISP業者專線客戶電腦主機疑遭親賓拉登駭客團體GFORCE(又名G-Force、GForce Pakistan)做為跳板,攻擊美國軍方與政府網站,數次成功入侵並毀損許多隸屬美國政府及民間之電腦主機,且在被入侵網站首頁留下「Gforce反擊」字眼。本文將概述整個事件發展狀況,並提醒企業提高對電腦安全維護的警覺性,避免淪為網路駭客攻擊的中繼站。
關於GFORCE
全名為GForce Pakistan的駭客團體是因為抗議印度跟巴基斯坦合作進行核子試爆造成喀什米爾不穩定而成立,2000年二月成立,目前成員至少有8人,大多是學生及IT從業人員。Gforce的駭客頭頭綽號叫“Heataz”,目前任職於巴基斯坦卡拉奇的一家網路公司。GFORCE在最近非常活躍,根據鈺松國際電腦系統及通訊網路安全實驗室(Tiger-Force)由attrition網站上統計得到的資料,從2000年7月3日至10月24日共有189個站台遭該組織入侵。然根據國外媒體報導,截至目前為止這個駭客團體已經成功入侵了1600個網站。


鈺松國際表示,Tiger-Force藉由所蒐集的Gforce入侵資料(如圖,利用unicode漏洞所入侵)分析得知,這個組織事實上並沒有利用特別或未知的入侵手法,反而是以一些已知的漏洞入侵系統,如sadmin,wu-ftpd及ttdb等(sadmin是Solaris 2.5、2.5.1、2.6、 2.7的漏洞, 而wu-ftpd則是在2.6.0之前SITE EXEC的漏洞, 主要是針對Linux的機器),所針對的平台為Solaris、Linux及Windows作業系統。


當鎂光燈焦點都鎖定在中東駭客時,其實美國駭客在這場網路戰並未缺席。911恐怖攻擊當天,一些美國的愛國駭客便在IRC(Internet Relay Chat,即時聊天網路)上討論要對巴基斯坦及阿富汗網站進行攻擊,另外也有人散發spam mail(垃圾郵件),鼓吹大家入侵伊斯蘭教及支持恐怖主義的網站,在隔天就成功入侵巴基斯坦政府網站及一些隸屬的電視台網站及政府網站以及taleban.com、talebanonline.com,除了入侵之外,DoS攻擊及郵件炸彈(Email bombing,是指某一使用者對某一個郵件地址重複發出大量的同一份郵件)也被廣泛應用,造成了部分阿富汗網站及伊斯蘭教的新聞論壇當機。


正視網路安全議題
面對台灣ISP業者用戶端遭巴基斯坦駭客組織入侵,作為跳板以攻擊美國國防部及軍事網站之事件,警方呼籲無論是一般電腦使用者,還是電腦管理人員,都應提高對電腦安全維護的警覺性,賽門鐵克也提醒台灣企業必須正視網路安全這個議題,並且採取實際行動,使企業網路環境更安全,建議如下:











刑事局偵九隊日前證實,去年911事件後,國內某ISP業者專線客戶電腦主機疑遭巴基斯坦駭客團體GFORCE,攻擊美國軍方與政府網站;特別提醒企業提高對電腦安全維護的警覺性,避免淪為網路駭客攻擊的中繼站。



1.企業對待網路犯罪(cyber-terrorism)應抱持嚴肅且未雨綢繆的態度,而非心存僥倖;常見的網路犯罪的形態不脫混合式威脅、駭客或病毒入侵、阻斷式攻(DOS)、網頁篡改四個形式。



2.安全性考量愈高的企業,愈需以「縱深防禦」的概念執行網路安全建置政策;所謂「縱深防禦」即是從閘道端、伺服器端到用戶端的完整網路安全解決方案。



3.但是,即使有最完善的網路安全解決方案,企業仍應制定完善的資訊安全管理體系;兩者相輔相成方能達到防「駭」最大功效。



4.掌握持續不斷的資訊安全生命週期

賽門鐵克對於管理安全性問題之生命週期,採取重覆循環的程序,包括了4個持續不斷的階段:



(1)評估(Assessment)

包含網路上有哪些系統與資產?網路之弱點為何?對於企業運作之具體風險是什麼?以及該風險對於整體公司情況的影響又是如何?

(2)計劃(Planning)

著手建立組織的安全政策,規劃安全性所需的技術,並制定針對發生特定事件時之反應與方法。

(3)實施(Implementation)

這些解決方案必需由一完善的管理控制架構所支持,其目標便是要能建置完整之安全性解決方案。

(4)監控(Monitoring)

包含針對網路架構之改變、政策之修改(不論是內部或由外部驅使),以及對於新入侵的應變。



5. 駭客攻擊手法及病毒(蟲)傳播途徑日新月異,因此企業安全政策必須有專人定期檢測及評估;個別企業對安全的要求和考量不同,「蕭規曹隨」在網路安全世界中是不適用的。



6.弱點評估(Vulnerability Assessment,VA)是稽核資訊安全建置是否有效的基礎,唯有透過弱點評估,企業才得以有效採用技術或管理手段使其政策貫徹施行於整個企業。企業可以選擇採用適當軟體與安全符合程度評估產品,自行建置需要的VA功能,或者將其委外給資格符合的管理性安全服務公司;無論採用哪一種做法,VA都是阻止惡意入侵或不當存取的有效工具。




Gforce入侵過程記錄

資料來源:SecurityFocus INCIDENTS mailing list

http://cert.uni-stuttgart.de/archive/incidents/2000/12/msg00177.html



以下是有關該組織入侵Windows系統的log資料,手法是以unicode將網頁置換:



/c+echo+"WE+DEFACE+BECAUSE+WE+WANT+

EVERYONE+TO+KNOW+WHAT+THE+HELL+

IS+GOING+ON+I