Alert:資料安全焦慮籠罩全球
2006年資訊安全似乎成為各大廠商的必爭之地,除了微軟Vista強力主攻之外,各廠商相互垂直或水平整併,嘗試獲取最大利益,似乎成為一種趨勢,不過,資安事件在今年仍然層出不窮,其中尤以資料外洩的情形最為嚴重,不論是員工一時糊塗搞丟或是惡意的入侵行為回首望去比比皆是,另外委外模式在企業間逐漸成為風潮後也讓外包廠的安全防護逐漸成為眾所矚目的問題。
資安事件:資料嚴重外洩
原因:電腦遺失、駭客入侵、委外安全缺失、遺失磁帶、內部員工竊盜
今年最大宗資料外洩事件,不外乎美國退伍軍人協會的電腦遺失案,單單一只手提電腦,就牽連了2,650萬筆美國公民資料,這次事件雖然引起大眾目光,卻似乎沒能提醒美國政府及企業單位對類似事件的注意,不管是電腦遺失、資料遭竊、駭客入侵或是內部員工偷竊行為仍然頻傳。
根據P o n e m o n Institute針對31間今年度曾經歷過資料漏洞的公司所做的調查發現,資料漏洞的主因來自於設備的遺失和委外廠商的問題,損失總金額高達1.48億美元。
手提電腦與磁帶 問題多多
? 私人機構-HP 19.6萬筆、GE5 萬筆、H o t e l s . c o m 2 4 . 3 萬、Ameriprise Notifies22.6萬、波音16.1萬、荷蘭銀行房貸集團200萬
GE公司於9月時,一台內含5萬筆離職與現任員工姓名與社會安全碼資訊的手提電腦在一間飯店當中失竊。另外,HP一部內含19.6萬份現任與前任員工姓名、社會安全碼及薪資資料的手提電腦於今年3月15日遭竊。這些員工都是與富達投資退休合作計畫相關的人員,而富達投資已經將資訊公佈並且嚴密監控中。因為員工電腦被竊導致資料外流的,不只是科技大廠,其他如財務機構、航空公司、飯店都不缺席,年中時,波音的一名經理將手提電腦攜帶至飯店,結果導致其1998年以來的數萬名員工資料外洩,受波及人數達16.1萬人次。5月初,知名會計事務所Ernst&Young一名員工的筆記型電腦在汽車竊案中遺失,當中存有該公司的客戶—Expedia旗下Hotels.com的顧客資料。據估計有24.3萬名客戶遭受牽連。另外,Ameriprise Notifies與荷蘭銀行房貸集團各有22.6萬和200萬筆資料遺失,前者是員工的手提電腦在汽車竊案中被偷走,雖然其中的資料只有客戶的姓名,並沒有社會安全碼,但是其現任和前任顧問的姓名與社會安全碼資料6.8萬筆皆被盜走,而荷蘭房貸集團則在去年年底遺失一捲計有200萬名客戶姓名、帳戶資料、付款紀錄和社會安全碼資訊的磁帶,不過,這捲磁帶是被DHL 從由芝加哥荷蘭銀行資料處理中心運送到德州的過程當中被搞丟的。
? 醫療機構-Providence Home S e r v i c e s 2 6 . 5萬、HCA I n c 7,000筆、紅十字會千筆資料被竊
Providence Home Service員工的汽車被竊而電腦也一併遭盜取,這次被偷的是磁帶,內含有26.5萬筆病人的資料。HCA Inc.的一間地區型辦公室,在8月時有10台電腦被竊。這些被偷竊的電腦內含醫療輔助計劃、醫療保險和7,000名雇員和醫師的私密資訊。
至於在德州達拉斯的紅十字會辨公室,年中時也有三台電腦在辦公室遭竊,其中一台筆記型電腦,內存上千筆捐血者的個人資料。這些資料包括捐血者的個人社會安全號碼、醫療記錄、性別及病史記錄。但紅十字會表示,這些資訊已被加密保護。
? 政府機關- 美國退伍軍人資料2,650萬筆、佛州交通部13.3萬筆、美國海軍及陸軍「刊登」10萬筆私人資料
美國退伍軍人處員工將手提電腦帶回家,電腦卻遭竊,最慘的是這台電腦並沒有任何的授權認證措施。而該資料庫當中內含2,650萬筆關於軍人姓名、社會安全碼和生日的資料。
無獨有偶,佛州交通部員工也把手提電腦帶回家,同樣在竊案中慘遭歹徒偷走,內含近13.3萬筆佛州居民資料,其中包括8.7筆駕照資訊、4.3筆飛機執照和9,500筆商業用途汽車的執照資訊,而這些資料有可能會讓不法之徒拿來申請信用卡帳號或是貸款。
美國政府安全漏洞看來不是普通大,除了上述兩次事件外,根據路透社報導,竟然有10萬筆海軍及陸軍部門人員的資料-包括社會安全碼與姓名,被堂而皇之地刊登在網路上長達六個月之久。而且這可不是單一事件,因為之前就也曾經傳出有1,083筆關於「Web enabled safety program」的資料被寄出,事件揭露後美國海軍部已經立即將資料撤除。
離職員工偷資料 加州醫院一名前任經理被控非法進入醫院,偷取醫院中的DVD和電腦,而在這些設備當中含有前任雇員和病患的私密資料。
Call Center 20萬筆資料外流 該事件是由英國Channel 4電台的新聞節目揭露,節目中一名男子宣稱,他擁有20萬人的信用卡資料並且還打算將資料販售,另外還有一人表示他可以將8,000名手機用戶的使用細節賣給節目製作單位。而每筆資料大約開價8英鎊。
駭客入侵 今年是駭客們慘遭報應的一年,除了改邪歸正的超級駭客Kevin Mitnick自己的網頁受害外,懵懂無知的少年駭客也一一被逮捕歸案,並科以刑責。比對國內外駭客行為可以發現,不管哪理,駭客年輕化已經成為一種趨勢,而國外駭客持續以低調作風偷取資料,國內駭客則善用網路遊戲大賺黑心錢。
色字頭上一把刀 色情圖片夾帶木馬又一樁以色情圖片夾帶病毒或木馬程式已經是老生常談,不過似乎仍然是網路駭客的最愛,刑事局在9月間查獲一起以「各國空姐」、「馬子舒淇」、「臺灣山中裸女」等情色聳動字眼圖片檔名,包裹木馬程式於網路上散佈。據悉這起犯罪行為是由94年2月起,嫌犯在花蓮地區各網咖利用雅虎家族上傳圖片的功能及其他服務,散佈夾帶木馬程式之色情圖片,側錄大量包括Yahoo及各類遊戲之帳號與密碼。而嫌犯在獲取這些帳號後,便將這些資料區分為入口網站帳號及網路線上遊戲帳號兩大類販售,供不同犯罪模式使用。而偵破當時,發現部份帳號已流於網拍詐欺之用。
線上遊戲 危機重重 線上遊戲的魅力無人可檔,下至國小小朋友,上至五、六十歲的中、老年人,都為之風靡,當然遊戲衍生出的種種危機也隨之而來;國內刑事局分別在6、7月偵破兩樁線上遊戲盜取案。
第一樁竊案是姐弟利用板橋市二類電信業者提供的區域無線網路至「戲谷遊戲館」申設大量帳號及盜用他人帳號密碼,盜取被害人之虛擬貨幣後,再轉售予不知情之玩家牟利,姊弟兩人分工合作,弟弟負責在台灣和大陸地區盜取虛擬貨幣,姐姐則在台灣轉售贓貨;而「戲谷娛樂館」所屬的和信超媒體發現異常狀況後,向刑事警察局偵九隊報案,最後才讓這件事曝了光。嫌犯指稱,出售價格是以400元兌換11萬虛擬貨幣據的比值,而每日交易金額就超過新台幣1萬元,也就是說每月逾新台幣30萬元以上,受害玩家逾百人。
而另一起在6月底被偵破的案件,同樣是被害遊戲公司發現伺服主機電磁記錄大量異常的流量,才得以偵破。該公司從2月起,就發現伺服主機紀錄中,相同序號的虛擬寶物遭到複製超過5萬多筆,顯然原遊戲中每個虛擬寶物的獨立編號設計已遭到破解,在長達數週的追查下,發現某科技大學畢業之吳姓男子,在遊戲中使用特定功能視窗、配合熱鍵(HotKey)的指令交錯,可讓遊戲伺服主機造成錯誤,並利用該方式隨意複製相同的虛擬寶物及更改虛擬寶物的等級,獲取了新台幣20餘萬元利潤。
駭客年輕化 入侵學校、醫院樣樣來 7月底刑事局查獲四名高中生在網路上散佈資安漏洞資訊及入侵學校單位的網站系統。而令人尷尬的是,這些遭入侵的學校中竟有多數不知不覺。
其中一名高中生在特定駭客網站,公佈某些單位的主機系統漏洞及攻擊方法。而另外三名, 則分別使用「Google攻擊(Google Hacking)」及「輸入法漏洞」對受害單位植入木馬,或以管理者權限進入以盜取檔案。雖然這四名學生都是利用網路上現有的攻擊程式,手法未見特別高明。不過被攻擊的學校卻渾然未覺,偵九隊警官高大宇表示,原因在於,這些學校都是由老師兼任網站管理員,行政及教學之餘根本沒有時間確保網站的安全。而這也顯見,金融機構與高科技產業習以為常的資安維護對大多數學校而言是一項奢侈,目前這四名學生已移送台北地檢署。
而國外的青少年也不遑多讓,一位20歲的少年在2月10日被控於2005年1月時利用電腦蠕蟲讓西雅圖北西醫院的電腦無法運作,並且利用該方式進行電腦詐欺獲利十萬美金,除此之外他還入侵美國多所名校。
駭客慘遭報復的一年 知名駭客Kevin Mitnick的網站遭人入侵,還留下「到此一遊」的留言。駭客由巴基斯坦入侵代管Mitnick網站的電腦,並換掉原有首頁,包括KevinMitnick.com與MitnickSecurity.com都出現一些不雅字句。「代管我網站的供應商被入侵了,」Mitnick跟記者表示,「還好我在網站上沒有放置任何機密資料,只是門面被塗鴉,真的很尷尬。」
另外,洛杉磯駭客因為以殭屍網路控制成千上萬的電腦,並由這些電腦寄發大量電子郵件及發動阻斷式攻擊,而被地方法院檢察官求以4至6年的徒刑外,還要科以5.8萬美元的罰金、償還他由此得到的BMW及1.9萬。
而製造蠕蟲的人也不好過,2005年8月間在網路上製造並且散佈Zotbot蠕蟲使Windows系統受到bot program遙控程式大肆破壞的摩洛哥青年Farid Essebar確定判刑兩年。至於英國一名19歲少年,坦承寄了百萬封電子郵件給他過去的雇主,造成雇主電腦癱瘓後,被處以2個月的宵禁懲法,並需佩戴電子標籤以便警方掌控其行蹤。
線上詐騙 Yahoo受到購物網友的喜愛,同時也成為詐騙集團的最愛,今年年初到年終,陸陸續續發生多起網友以拍賣網站做為詐騙帳款工具的方式。首先,今年1月至3月底,就有180餘人在雅虎拍賣上購買「快譯通MD-6000多媒體DV」,卻什麼都沒拿到,就被詐得數十萬元;接著,4月初又有「中油油票9.2折」事件,賣方利用折扣吸引買家注意,並由當面或匯款郵寄方式交易,而前者交易成功,但後者在匯款後,賣方就毫無音訊,至此買方才驚覺受騙,並向165專線檢舉,調查結果發現,受騙網友近50位,且每人受騙金額大約都高達上萬元。
很有趣的是,似乎利用網站拍賣詐財的罪犯,都喜歡以中油油票作為幌子。另一名同樣在網路上販售中油油票的黃姓嫌犯,在6月底採「放長線釣大魚」的方式,先以第一次成功的交易博取受害者信任,接著便在第二次的交易中失去聯絡,而這次被騙的人數約有70人,每位受騙金額大約在1至5萬左右。
除了中油油票外, 7、8月間,刑事局亦偵破一起以資生堂、植村秀等美妝用品預購方式詐騙帳款的案件,而在這起案件中,嫌犯同樣是在初期以正常的交易方式獲取優良評價,之後在欠下大量卡債,無法正常出貨的狀況下,便人去樓空,受騙人數400餘人而金額約為40多萬。9月時,則有200多名買家在購買記憶卡後,才發覺集體受騙,一周內的受騙金額就累計高達40萬元。
林林總總加起來,今年在拍賣網站上受騙的人數就近千人,而金額高達幾百萬,因此,線上拍賣或許方便便宜,但在下標之前還是得擦亮眼,仔細看清楚。
網路釣魚 方法百百種? 金錢萬能型
國內詐騙集團常用的手法「稅款退還」也被國外人士拿來使用,今年2月初,美國釣客以內部稅務局的名義,發了一封e-mail,通知無知的民眾:「請登入下列網站,填入姓名、社會安全碼與信用卡資料,就可以拿到你該退回的稅款」,當然,這些人不會得到任何退款,而是被坑了一大筆錢。另外,英國巴克萊銀行的客戶在九月時,也遭受一波嚴重的網路釣魚攻擊,而這次事件讓網路釣魚攻擊的比例爬升30%。該案件的主要手法是利用多國的伺服器,寄發巴克萊銀行的e-mail訊息,內容說「巴克萊安全更新作業,請網友閱讀且確認其銀行資料」而且其中巴克萊標誌幾乎以假亂真,當網友連結入網站後,輸入資料的瞬間也把所有的私密資訊免費奉送給駭客。
? 科技動腦型
另外,隨著IM成為主流,駭客又有新招數欺騙網友。這次網路釣客利用使用者關心人脈經營狀況的弱點,以一個類似MSN的網頁,謊稱只要輸入帳號及密碼,就可查詢誰將你從連絡人清單中刪除。當然這只是個騙局,輸入後只會得到密碼錯誤,請再確認的訊息,但重要的帳號和密碼資訊已經被竊取。
除了利用MSN外,高達1.81億使用者的eBay網站也被網路釣客入侵,當你看到eBay網頁,並在其中點選某個拍賣單,可能得到一個意想不到的結果:你的帳號與密碼已經被騙徒到手了。因為,這正是釣客為取得你的帳號與密碼所製作的假eBay登入頁。當然,這一直是讓 eBay如背上芒刺,不得不除卻又束手無策的問題。不過,過去以垃圾郵件引誘民眾前往他們陷阱的做法已經不合時代潮流,現在已經入侵到拍賣網站本身的列表了。
對付網釣? 微軟拿出商標法令牌
面對網路釣魚來勢洶洶,資訊大廠微軟打算以商標法來對付這波攻擊;微軟指出,由於網路釣客大多以極為相似的網頁模仿微軟,誘使不知情的使用者輸入密碼及機密資料,因此微軟決定祭出商標法對付,微軟指出任何只要是有張貼類似微軟商標的網頁,就絕對不會手軟,而微軟也將與Global Phishing Enforcement Initiative攜手合作。
病毒蠕蟲阻礙社會 服務與金融運作 9月底,美國馬里蘭社服系統遭受攻擊,導致相關福利措施及服務對象的追蹤和分配作業也遭受波及,雖然政府單位表示提領食物的票券分配和急救金,並未受到干擾,不過當場被揭穿,因為一名接受救濟的美國民眾表示,其救濟金與相關食物票券延遲了幾週才到他的手中。
另外,今年2月下旬,俄羅斯交易系統遭受一波嚴重的惡意程式攻擊,據悉,這次病毒感染,讓俄羅斯交易系統內部產生過大的使用流量並讓系統負荷過度,而這波惡意程式導致該交易系統停擺近1小時。
DDoS恐嚇 氣焰囂張 延續去年趨勢,駭客的目標從名聲轉向財富,他們要的不是讓大家「敬仰」入侵的技術,而是希望藉由控制傀儡電腦並發動DDoS攻擊讓企業不得不對其勒索低頭,而後繳出鉅額「贖金」,今年除了昇陽Grid公共運算服務在3月底一開張就遭受阻斷服務攻擊大大丟臉之外,台灣也發生數起阻斷式服務攻擊的事件。
今年7月初,大陸駭客大舉攻台,這波攻擊行動是從今年6月中旬開始,陸續對台北縣、桃園、新竹、台中、高雄等地的網咖店,以大量的垃圾郵件訊息阻塞其T1及ADSL的網路連線,使得網咖業者生意銳減,苦不堪言,除了每日營收由一、二十萬掉到只剩2,000元不到外。黑客還獅子大開口向網咖業者以每次數十萬元的代價開通網路。
不過,其實DDoS的受害者並不限於台灣地區,據報導大陸地區在2005年下半年以來甚至有黑社會的勢力入侵網站,同樣採取先攻擊、再聯絡、最終得逞的作案方式,而受害人同樣也是付錢了事,當然又更助長了駭客的氣勢。賽門鐵克的研究報導顯示2006年上半年,平均每天發生6,110次阻斷式服務攻擊。因此面對此趨勢,企業不可不慎。
資料安全 將成為2007重頭戲 綜觀2006年可以發現,非法入侵、手提電腦行動設備的遺失與病毒是造成今年度損失的三大主因。
比較2005、2006年CSI/FBI網路調查犯罪報告可以看出,今年損失的數字報告似乎略為減少,不管是總體數量或是平均每人損失金額,兩者都呈現下降狀態,其中前三名當屬非法入侵、病毒與DoS,不過在設備遺失、網站遭破壞與電信詐欺這三個方面,則有升高趨勢。顯見現今駭客的主要重點延續2005年產生一固定模式-鎖定在詐財及私密資料竊取,其實今年度資訊安全意識逐漸提升,除了本來就屬於資訊安全區塊的廠商外,其他大廠也開始投資資安設備的研發, 另外,沙賓法案的持續影響力與企業安全意識的提升,再再讓今年資安事件所造成的損失大為降低。
不過, 從今年的事件可以發現,內部員工的安全教育,或許才是促成整個企業防護網完整的推動力,外包廠事件頻傳、被解僱者的惡意攻擊、員工將手提電腦帶離公司並不小心遺失,都導致了大量的企業機密外洩,以後者為例,根據美國隱私權利資料中心(Pr i v a c y Rights Clearinghouse)的統計,從去年2月起至今,全美就有超過3,300萬人因為筆記型電腦遺失而遭受波及。因此企業應該要逐漸意識,除了設備上,防火牆、防毒軟體應該持續更新外,內部人員的資訊安全教育或許在行動裝置越來越發達的今日顯得更為重要。
高科技犯罪已經在我們生活中滲透,層出不窮的資安事件亦塞爆網路新聞版面,受害層面廣及企業、民眾,猶如詐騙集團的手法,更是令人防不勝防,外洩的個人相關資料可能輾轉留入黑市、偽造集團、詐騙集團,資安問題回過頭來直接地成為社會問題。究竟要如何防範?如何自保?下一期2006資安事件回顧系列將為大家公開「防駭自保秘方」,敬請拭目以待!
保護資料從需求中找對防範措施
要保護電腦資料的周全,筆者以為首先應從我們對電腦資料的需求著手,針對C. I. A.三方面分析資料受到的威脅,最後針對所有威脅因素設法排除或降低其影響。
資料外洩屬於Confidentiality (機密性)被破壞,使得原本無權接觸資料的人能夠取得資料。此問題的處理方式多半從事前清點與平時偵測資料傳輸管道著手,了解有哪些傳輸管道存在,並依嚴重性質施以偵測、限制或關閉等措施。此外亦可將資料加密,以預防未查到、偵測不到或無法關閉的管道,即使資料外洩,外界亦無法揭露資料的真正內容。
資料毀損屬於Availability (可用性)被破壞,導致無法取用資料,原因從遭受病毒感染入侵、硬體毀損、資料遭綁架到環境因素都有,相對應的預防措施則有防毒防入侵、硬體備援 (硬碟 RAID或整套系統備援)、資料備份與預防天災。其中天災預防是目前多數台灣中小企業最忽略的地方,往往因為停電、火災或水災導致資料全毀而使得公司長時間停止營運甚至倒閉。事實上,中小企業要預防這些天災很簡單,因為中小企業的資料量不多,只要花點小錢買些燒錄器或隨身碟,加上定期花點小時間手動把資料備份出來好幾份,分別放置在辦公室以外的地點即可。
資料錯誤則是屬於Integrity(完整性)遭破壞,資料雖仍存在,但內容已有部分不正確。這種問題很難發現,因為即使對於電腦的運算或儲存能量而言不多的資料量,但對人類而言可是多得不得了,若要以人為檢查其中是否有錯誤甚至遭到竄改,就算不是做不到,也要耗費取多時間。此種問題可透過檢查資料的hash、相關性或規範 (constraint)的檢查偵測出來。hash可以查出資料細微到一個bit的變動,但卻無法查出新增資料的正確性,例如本文所提線上遊戲各項虛擬寶物的編號絕不相同的情形。此時就必須檢查各種資料的相關性,以及資料是否有符合當初設計者所設下的規範(編號不重複),才能偵測出資料是否有錯誤,而且最好是對備份的資料進行檢查,以免干擾線上資料的處理效能。綜合以上三方面的處置措施,可發現最大的共同點在於資料備份與復歸,無論資料遭受何種破壞,如果能用備份資料復歸回原狀或用來比對檢查,通常都可以將損失大為降低或盡快發現問題。此外,天災的破壞力亦不容小覷,因此設置資料保護措施時,千萬不能只重視技術上的防毒防駭與硬體,一定要將停電、火災與水災納入合併考量。 |