https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

台灣常見的駭客入侵問題總覽

2005 / 11 / 04
陳東柏
台灣常見的駭客入侵問題總覽

在台灣,我們常常可以看到報章雜誌以及電視新聞的報導,各大網站受到駭客入侵,可說是頗不平靜,關於這些駭客的狀況,雖然報導很多,但大部分都只是曇花一現。對於台灣常出現的駭客入侵議題,以下做一個簡單且較深入回顧及探討。
駭客入侵仍是台灣資訊安全所面臨最大的問題
回首看看2004年台灣資安的事件,駭客入侵仍是台灣資訊安全所面臨最大的問題。台灣政府機關與黨政機構,在2004年遭受駭客攻擊的情形日益嚴重。重大的攻擊事件包括:5月8日XX黨部中央黨部、5月31日XX院XX局、6月22日XX黨中央黨部、7月19日XX部XXXXX社、7月20日XX部XX署等。這一連串對於較大單位的網路攻擊,時間相近;事實上期間還有更多對於其他小單位的攻擊事件。上述是政府機關與黨政機構遭受攻擊的例子,當然也有商業機關受害。而這些攻擊事件的背後,凸顯了另一個嚴重的問題,即是台灣對於資訊安全的自覺不夠。
經過調查,這些受攻擊的機構大多在2004年初就已經被駭客入侵,但直到網頁被撤換、新聞媒體報導之後,大家才警覺到問題的嚴重性。平時正常地使用電腦,突然最近電腦常常重新開機。一般人的反應,可能都會責怪硬體有問題,或認為是微軟系統設計不良所導致。但這一、二年來,對於資訊問題的分析結果顯示,當電腦為駭客裝設工具,將造成電腦的不穩定。這裡所謂資安的自覺,即是對於本身電腦的了解:是否能夠察覺,電腦多了某些檔案,或者出現某些異常的狀況。然而,要發現這樣的情形是很不容易的,此時便需要一些網路技術或網路設備來彌補。

駭客攻擊的手法
談及駭客攻擊的手法,以下簡單地介紹一個例子。攻擊的流程,先從網頁或資料庫入侵系統,爾後埋入後門或從事遠端遙控。針對目標,使用工具找出漏洞,並決定是否對該漏洞立即從事攻擊行為。攻擊成功後,取得低階的權限。在低階權限下,即可取得資料、複製資料或埋入後門、遠端遙控,但駭客並不會就此滿足。欲取得更高的使用權限,以利從事更多的動作。此時駭客可能利用某些特定工具的缺陷,攻擊目標之後,將低階權限轉換成最高權限。成功進入後,駭客得在目標電腦上加入一個新的使用者,並將該使用者設定在擁有最高權限的群組,即Administrators。如此一來,該台電腦便擁有兩名最高權限的使用者,一是原來的Administrator,另一是駭客設定的使用者。擁有最高權限後,駭客可以埋入更多、更好的後門,使駭客能更容易利用這台電腦。這樣的情況,可以藉由觀察電腦的埠號來發現。了解自己電腦常用的埠號,若出現陌生的埠號在使用,即可能已被建立後門,或利用程式指令,了解各埠號是由誰開啟的,若出現陌生人開啟的埠號,即是發現駭客入侵的警訊。
駭客成功入侵電腦之後,下一個目標可能是想辦法取得密碼檔。一般密碼檔無法取得,但可藉由同時利用三種工具,找到密碼檔。經過編碼的密碼檔,亦可藉由不同的工具一一破解。此時就需要注意,如果密碼設得太簡單,很快就會被破解。例如Administrator密碼設為admin或使用者名稱與密碼相同,僅需要0秒,即可破解密碼。如果密碼較為複雜,但位數不多,仍然可以被解出來。例如密碼123456,約需15分鐘;而六位數以下的密碼,不論字母或數字,皆可在1小時內破解。因此建議在window底下,密碼至少要選擇八位數以上。
只要擁有帳號與密碼,駭客就可以從事遠端遙控的動作。目前遠端遙控的軟體很多,功能亦很強。例如,有的軟體可以將所有鍵盤輸入的內容做記錄,或可以用螢幕側錄的方式,記錄電腦的一舉一動。

SQL Injection
至於網頁會遭攻擊而被撤換的原因,最主要的就是SQL Injection的問題。台灣政府機關網頁都有資訊安全的設備,掃描與window update亦有確實執行,但他們很難考慮到SQL Injection。觀察被撤換的網站都是各縣市網頁中『news』的部分。如果不是SQL Injection,遭受駭客攻擊後,整個網頁就損壞了,不會只有中間一部分被撤換。而這些網頁會被撤換,也是因為他們的架構相似,會被侵入的弱點亦相同。由於SQL Injection是應用程式,防治的方式就比較複雜;但它會造成的損害不容小覷,輕者資料被竊取,重者整台電腦都會被控制。若已知有SQL Injection,可透過弱點掃描,嘗試找到問題點;但大多數是需要長期觀察,或用統計模式計算、暴力模式測試來發現。也可以經由模擬駭客可能的入侵手法,即滲透測試,或請專人以程式碼檢驗的方式,根據一些常用的路徑來搜尋,以解決SQL Injection的問題。

無線網路的隱憂
其他的隱憂,尚包括一團混亂的網路架構,以及未來無線網路發展可能帶來的危機。很多單位,特別是政府機關,他們的網路架構是一層層堆疊出來的。即為了某些新的部門成立或提供新的服務,在原有的架構上拉出一條新的網路。如此未經過整體統合的考量所建立出來的網路,會產生很多問題。特別是當網蟲開始生長或網路設備有狀況,就會導致整個網路全部癱瘓。而在內部不設防的情況,一旦駭客入侵到系統裡或有惡意的行為,幾乎無法防止損失的發生。
在2004年底,北高兩市將提出『無線城』的計畫。無線網路成為未來發展的趨勢,但卻夾帶著更多的風險。在實體網路的情況,封包要被監聽一定要找到網路線;但在無線網路中,資訊透過空中電波的傳送,人人都可以收得到。這一層的資訊安全考量,是未來應該密切注意的部分。

法律的訂定
現今駭客入侵的手法並不複雜,亦不費時,因此應透過法律的訂定,遏阻網路犯罪的行為。目前刑法部分條文修正草案,針對電腦網路犯罪,訂下嚴峻的規定。刑法部分條文修正草案有關電腦網路犯罪部分之修正,於九十二年六月三日經立法院三讀通過。此次修正係因應電腦與寬頻網路快速普及,新型態電腦犯罪案例層出不窮,而現行刑法已無法有效規範新型態之電腦網路犯罪。修正的重點,包括:(一)刪除現行刑法中將電磁紀錄擬制為動產之規定,另增訂保護電磁紀錄之條文,以使刑法理論更為周嚴;(二)增訂妨害電腦使用罪章,針對無故入侵電腦、無故取得刪除變更電磁紀錄、無故干擾他人電腦及製作專供電腦犯罪之程式等行為予以處罰,將電腦安全、電磁紀錄之支配及電腦運作效能等法益正式納入刑法保護;(三)為加強保護公務機關電腦,特別對入侵或干擾公務機關電腦等行為加重處罰;(四)部分條文採告訴乃論之設計,以紓解訟源。經過這樣的修正,將能更有效規範電腦網路犯罪。舉例而言,建中學生入侵總統府網站案,修法前無法可管,但修法後其將面臨干擾公務機關,以及無故變更電磁紀錄等罪名;又車諾比電腦病毒案(陳盈豪CIH案),修法前為告訴乃論,無人願意提出告訴,修法後可以製作專攻電腦犯罪程式之罪名,令其受刑。

駭客防護的強化
在台灣一般企業對於網路安全防護的部署,往往只做了一半。大部分的人認為,駭客是從外部入侵電腦,於是使用防火牆等設備,針對外部來做阻擋的動作。然而,目前大部分的駭客,並不會選擇直接從外部入侵,因為這種入侵方式的成功機會太小。他們往往藉由傳送惡意程式,在使用者不經意地執行該程式之後,他便得以進入使用者的電腦,將資料由內往外傳送,一般人並不會對由內而外的傳送有所設防的情況,資料便輕易為駭客擷取。2004年發生之郵局大當機,即是安全部署僅做了一半的實例。郵局的網路並沒有與外界的網路相連,該次大當機即是殺手病毒由內而外的攻擊所造成。
而資訊安全的基本概念,可分為技術面、管理面、決策面三個部分。技術部分包含實體層、網路層、作業系統層、傳輸層及應用程式層,各個層面都有對應可以使用的安全防護機制。管理面主要對於滲透測試、風險評估、事件反應、報告分析、資訊保全與頻寬使用做稽核與管理。決策層則是選定適用的資訊安全標準。除了這些之外,資訊安全教育訓練亦不可忽略,教育訓練可以貫穿這三個層面,是一個企業核心價值與文化養成最根本的所在,往往好的教育訓練才能貫徹決策的執行。