https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

主機商一定要知道的事

2009 / 04 / 20
TRUEMAN
主機商一定要知道的事

虛擬主機廠商接連爆發嚴重資安事件,顯見資安意識仍未深植於這些虛擬主機廠商的營運政策中。

在2008年5月份時,筆者曾經撰寫了一篇「網站代管安不安」的文章,探討虛擬主機服務的安全性問題,也列舉了許多虛擬主機廠商需要留意的安全建議;但自去年底以來,又陸陸續續爆發了多家虛擬主機廠商的嚴重資安事件,顯見資安意識仍未深植於這些虛擬主機廠商的營運政策中。

主機商資安問題屢見不鲜
其中最嚴重的案例,大概就是2009年初鬧的沸沸揚揚的某知名主機代管商客戶資料外洩事件了!1月初某知名部落客在整理虛擬主機廠商的網路筆戰資料時,意外地發現透過google竟然可以搜索到某知名虛擬主機廠商的訂單詳細資料!雖然直接點擊搜尋結果上的連結並無法存取該頁面,但使用者還是可以透過庫存頁檔的功能,存取到訂單詳細資料的頁面;這些頁面中除了客戶的基本資料與聯絡人資訊外,甚至還包含網站的管理帳號密碼等機敏資訊,這些資訊一旦遭到有心人士備份並進行後續利用,將會成為十分可怕的安全威脅!網路上諸多關心此一事件的網友們,也熱心地在第一時間就透過刑事單位協助通報此一事件並做備案動作,可惜似乎為時已晚,除了google庫存頁檔外,上述訂單詳細資料也早已被包含對岸在內的其他搜尋引擎備份。
這次的案例發生原因眾說紛紜,但由於該公司並未對外公開事件發生原因,我們也僅能透過間接的方式與網路上可搜尋到的資訊推測可能的問題點,無法有效釐清到底是因為人員疏失還是系統設定問題,抑或是第三方廠商作業疏失的問題,而導致該公司訂單詳細資料外洩。因此我們在此僅就該公司事後的處理方式來做檢討,曾有媒體記者根據網路上蒐尋到的資料隨機採訪多位此一事件中資料遭到外洩的受害客戶,意外地發現在事發後該公司並未明確告知客戶受害情形,受害客戶也完全不知道自己的個人連絡資訊,甚至是網路行銷預算與網站管理帳號密碼等機敏資訊遭到外洩!而網路上也有其他受害用戶現身說法,表示該公司僅透過發送電子郵件呼籲使用者留意詐騙集團以該公司名義聯絡客戶,藉此詐取客戶資料或額外繳納不必要之費用,而未將真實受害情形詳盡告知客戶,也未要求客戶修改帳密等機敏資訊以避免帳戶遭到盜用。
事實上,這也不是該虛擬主機廠商近年來發生的第一次重大資安事件,在去年5月號的文章中就曾經介紹過該虛擬主機廠商代管網站遭植入網頁後門與置換頁面等重大事件;而在去年11月中,該公司再度爆發多個代管與服務網站遭到入侵,並被發布在知名的駭客網站Zone-H受駭網站列表上;緊接著就爆發了前面提到的客戶資料外洩事件,顯見該單位在遭遇先前如此頻繁的入侵事件後,並沒有從中學到教訓,建立起一套有效的資訊安全管理系統與政策,而在資安意識與反應能力上也仍有很大的改善空間。

管理後台路徑暴露於網頁上
除了上述知名虛擬主機廠商的安全性議題外,我們也留意到了其實有更多小型的虛擬主機廠商更是嚴重缺乏資安觀念與危機意識;在過去一段時間持續分析受駭網站案例的過程中,也常意外發現了不少特殊的案例;例如在去年12月中發現的某受駭案例,在追蹤過程中發現多個受駭網站都指向同一個網路位址,透過WHOIS查詢後發現竟然是隸屬於教育部的網路位址,好奇心驅使之下,與某資安界的長輩透過各種追蹤與搜尋技巧,終於找出該網路位址位於國立高雄應用科技大學思賢樓,再透過學校網站查詢,才發覺該主機代管服務廠商可能是該校育成中心中的廠商。
我們先跳過利用學術網路資源營利的適法性問題不談;但簡單瀏覽了該虛擬主機廠商的網頁樣版後,其實很容易就可以發現存在許多的安全性問題,例如直接將管理後台路徑曝露於網頁上,以及一些明顯的程式寫作安全習慣似乎都不甚理想,透過如此簡陋且缺乏資訊安全意識的樣版所建立的網站,會遭受大規模的網路攻擊而淪陷,自然也不會令人太意外了!
當然還有更多虛擬主機廠商的受駭案例,這邊我們就不贅述了!有興趣的讀者可以自行到資安之眼的TW網站淪陷資料庫上搜尋分析,也可以順便測試一下自己能不能透過上述資料找出更多潛藏的未曝光受駭主機,甚至是分析各種駭客可能運用的攻擊路徑與手法。
我們還是要再次呼籲各虛擬主機廠商能夠多花一點心力在資安防禦的部分,由於營運的屬性與一般企業不同,一旦遭遇虛擬主機廠商遭受網路攻擊得逞時,往往伴隨而來的是大量網站的淪陷,所帶來影響也勢必更為廣泛。


主機商須知
1. 警覺能力:主機代管廠商必須要有足夠的監控能力與警覺性,要能夠掌握系統的異常狀態,即使無法在第一時間發覺攻擊者的行為,也必須要在事後的稽核中發覺異常紀錄,並從中學習.建立起知識管理系統,也許一次兩次攻擊無法發現,但在建立起經驗準則後,至少要有能力針對可能發生的異常狀態作出留意與處理!
2. 回應與修復速度:筆者也建議主機代管廠商必須要定期監看幾個重要的資安網站(註二),至少當自己代管的網站被入侵並公佈在網路上時,代管廠商要能夠及時獲知訊息並作出處理;不要當網路上眾多使用者都發現了網站異常,卻只有代管單位還在狀況外.
當受駭情形嚴重時,甚至必須要考慮將主機下線維護,避免駭客殘留的排泄物遭到其他攻擊者利用,或被掛馬的網頁影響到其他正常使用者;當然主機下線處理可能會牽涉到部分客戶的維護合約,甚至是處分賠償,但與其讓損害持續擴大,甚至可能危及商譽,將主機下線維護有時往往是不得已但卻必要的選擇!
3. 弱點追蹤:修復受駭頁面,不是只有移除掉駭客置換的網頁而已,最重要的工作,還是必須要釐清受駭原因,要了解駭客是經由什麼樣的弱點入侵成功的,如果是系統的弱點,就比較單純了!只要儘速測試與修補系統漏洞;如果是經由網頁程式的弱點入侵成功,則可能還須配合客戶網頁程式的設計人員,進行溝通與修補,但很多時候,可能客戶並不願意或沒有能力處理這樣的網頁安全性問題,這個時候代管廠商可能就必須考慮其他間接的防護方式,如:加強權限控管,或提供外部共用式的網頁防護裝置,至少給予客戶最基本的防禦與保障.

請千萬不要抱持苟且的心理,只將受駭頁面復原後就重新上線,還自我安慰駭客不會這麼巧又再度光顧;更不要把責任推給客戶,認為客戶不願意修復網頁程式安全性問題,自己也可以什麼處置都不作,至少要找出辦法來保障其他良善客戶的權益,而不是大家一起擺爛,這樣對解決問題是一點幫助也沒有的!