上週,網路上用戶不斷傳出有台灣MSN.com與其他知名網站,在瀏覽時其網頁隨機地被加入一行惡意網址的框架內容,造成網頁連接到大陸某企業被入侵後的知名惡意網站,如dachengkeji.com等。初期防毒軟體僅針對連接後可能的惡意程式下載而發出警訊,後來乾脆把這網站加入黑名單,之後短時間造成網路上哀鴻遍野,大家才發現事態非常嚴重。當然,此時的相關ISP與企業資訊人員早已投入調查活動中。政府相關單位應開始著手調查此一影響大規模網路用戶之可疑經濟犯罪活動與攻擊,評估可能造成的衝擊影響。
接連幾個小時內,網路上開始出現各種解讀,猶如政論節目之精彩可期暨可疑,資安專家在有限的訊息中判斷出各種可能,網路論壇中也有不同的說法和質疑的文章,雖然正確性有待驗證,這也是網路言論的特性,自由與盲從、劣幣逐良幣都是一個click的資訊落差。現在網路上的訊息講求正確性與時效性,短暫的議題、話題的確可以造成瞬間流量,企業資安負責資訊蒐集者,應多方蒐集各種來源的資訊,以做出正確的判斷。
統整各專家之判斷後,目前最有可能且曾經發生過者,就屬ARP Spoofing,可能在一個網段內的主機遭到不明原因的入侵,接著對所有的主機發送偽造的ARP封包,來假裝是其他主機,達到中間人竊聽與攻擊,而利用ARP掛馬工具,搶先於正常主機之前發送回應封包給用戶。另外不排除是結合多種攻擊,而加深了追查與判斷之難度。
企業網站與資安人員應該採取定期監控網站是否安全地提供資訊給用戶,要求ISP或機房服務業者在對抗與監控網段內的ARP偽造與掛馬攻擊進行補強,包括更換具備偵測與對抗此攻擊的網路交換器以及偵測機制的建立,還有機房主機之安全管理,避免一台主機被入侵後其他一起受害。面對此大型之網路攻擊,已經危害到非常多民眾之個人資訊安全,應該有政府相關單位著手調查與應變,提供人民預防相關大規模之攻擊的警示和具有公信力之資訊來源。