https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

實體隔離是資安萬靈丹 !?

2009 / 09 / 03
李倫銓、邱銘彰
實體隔離是資安萬靈丹 !?
日前行政院宣佈,政府機關為確保資料安全,將要求存放政府、國家機密性資料的電腦主機限制連結對外網路,實施機密資料實體隔離的措施。

  由於近幾年台灣許多政府網站與相關資訊系統,遭到對岸有心駭客惡意入侵,竊取相關資料,將實施實體隔離,以防範機密資料外洩。

  事實上,此次對機密資料進行實體隔離的防範措施,並非政府單位首樁,外交部早已採取限制上網等實體隔離措施,來避免重要或機密資料外洩。

  而在金融機構、高科技業,為避免專利資料、客戶資料、高科技產品技術遭到竊取,也都早已實施實體隔離的安全措施。

實體隔離相關作法

  一般來說,實體隔離作法不外乎限制連網能力、限制USB裝置、限制相關外接設備、限制磁碟機、光碟機的使用、使用thin-client等。限制連網的作法通常是不允許機密主機有存取網際網路的能力,或使其自成一個封閉式的網路環境。而在限制主機外接裝置的作法上,則可藉由主機板提供之功能,關閉USB、1394、序列埠等介面裝置,避免員工使用類似USB硬碟將資料複製出去。其他像是限制磁碟機、光碟機裝置的使用,可避免資料外洩或病毒傳入。

  而使用thin-client的方式,則讓管控重拾最初集中管理的優點,無硬碟、無外接裝置的設計也降低了風險。但是,採用了這些實體隔離措施,就一定能確保資料不再外洩?管理者就能睡得安穩嗎?

上有政策,下有對策

  以前資安人員以為內網藉由防火牆或NAT的保護,駭客無法直接進入,但近幾次資安事件,利用word/ppt/excel夾帶木馬的電子郵件進入內網,幾乎讓人防不甚防,因此,部分機密主機限制網路連線能力來避免機密資料外傳,似乎頗為合理。

  但是,資安人員基於方便考量,為了存取該機密主機資料,雖然將該機密主機的對外連線全部關閉,但仍保持內網或部分資料主機對該機密主機的連線能力,如此一來,一旦內網主機或存取主機遭到入侵,極可能再藉此連往該機密主機。這便是上有政策下有對策所造成資安威脅之一。

  上述人員所造成的管理缺失不是不可能發生,站在管理人員的角度上看,一部完全無法對外通訊的主機簡直是廢物,不但無法存取主機內資料,更不方便安裝主機上之應用程式。另外,實體隔離的主機若是無法上網進行作業系統更新或病毒碼更新,一旦竄進病毒,反而毫無抵禦能力,所以為了「積極管理」,便自行「有效開放」,進而導致「駭客入侵」。

內鬼難防

  除了「外患」之外,實體隔離最怕的,還是內賊和侵入者。一位資深資安顧問曾說:「一旦壞人能靠近設備,該設備就沒有所謂的安全性。」

  在電影「CIA追緝令」中,CIA總部蘭利的安全措施非常嚴密,任何員工進出都需經過金屬探測器,員工電腦上當然也沒有USB接頭,避免USB隨身碟竊取電腦資料,但片中女主角卻利用一個含有USB接頭的鍵盤,插入USB隨身碟盜取機密程式碼,再將USB隨身碟置入隨身咖啡杯中,攜出滴水不漏的CIA蘭利總部。

  另外,在電影「不可能任務」中,雖然機密電腦限制連線位置,僅能由特定主機進行存取,但湯姆克魯斯這個超級入侵者,仍然想盡辦法到達該主機位置來竊取資料。而「魔鬼毀滅者」片中,更是指出,主機設計者本身的電腦,竟也是連往該機密電腦的特定主機之一,完全跌破防守者的眼鏡。

  也許上述皆是電影情節,實際上發生外來入侵者入侵的機率不高,但若是內賊有心,即便是再好的實體隔離措施,也無法有效地防範竊取資料的行為。像電影「防火牆」中,哈里遜福特知道很難利用儲存設備將客戶資料竊出,他便利用自製的影像掃描器對電腦螢幕進行掃描,再經由OCR,一樣將資料竊出。

  因此,就算是一部完全隔離的電腦,靠著現在唾手可得的數位相機,對著螢幕拍攝也可以偷出機密資料了。

  USB Worm技術分析接下的實例分析中我們將介紹一個前一陣子相當「火紅
的Spyware。

  一般來說,Spyware通常是潛伏在使用者電腦中偷偷摸摸地運作,像是蒐集資料並對外傳送出去。目前一些不知道怎麼防禦Spyware的單位或是機密等級較高的組織,通常是執行嚴格的網路管制,也就是實體隔離,直接切斷對外連線,即使被駭客用Spyware攻擊,也能確保資料不會透過網路洩露出去。這是不得已的作法,犧牲了便利性換來較高的資訊安全,但是真的安全嗎?

  我們發現最近有駭客開發出利用U S B 的隨身碟裝置來散佈的S p y w a r e , 我們也稱它為「U S B Worm」,這種新的型態Spyware,殺得大家措手不及。它的基本原理是利用一般人工作的習慣,我們通常為了便利,用USB隨身碟到處插著跑來跑去,像是去客戶公司Demo產品,帶一些網路上的電影給女朋友,甚至交作業給老師,都脫離不了USB隨身碟。有了它真是方便極了,古時候的軟碟片都可以丟了!但是有創意的駭客可以利用這點把Spyware放在USB碟中,藉著USB隨處即插的特性,不需要網路也可以感染各個電腦。但Spyware是如何啟動的呢?別忘了,Windows是一個相當自動的作業系統,如果你的USB碟中有autorun.inf,它便會執行所設定好的執行檔,這原理就跟CD-ROM一樣,一放進去就會自動執行光碟裡的主程式。有了這種機制,Spyware就可以到處感染電腦了,即使你工作的電腦沒有上網,Spyware可以先蒐集資料到USB中,等到你回家上網的時候,一插上USB隨身碟,間諜們馬上跟他們的主人報到,把資料一包包運出去,後面結果就不用多說了。

  我們在受害者的電腦中執行Archon Scanner,作第一步的現場處理,發現有兩個DLL到處都注射,掃描結果如下:其中A r c h o n S c a n n e r 說Co r e H o o k .dll是一個假冒微軟的DLL,應該是它的版本資訊假冒成「Microsoft Corporation」,試圖要魚目混珠,不過還是難逃法眼!

  目前已經發現很多種變種程式,我們手上的樣本是一個執行檔叫做_usb_init.exe,它是一個Dropper程式,包了好幾個程式在裡面,一執行就會解出來,包含CoreHook. dll、usbinit.dll跟usbsys.exe這些檔案。而usbsys.exe又內含一個Driver檔案,檔名是mchinjdrv.sys。根據我們的Reversing分析,這是一組Global DLL Injection的Library,而那個Driver檔案並不是一個Rootkitmodule,而是用來監控Process的產生,只要一有新的Process產生,馬上就會被注射usbinit.dll。此外,它會監控是否有USB隨身碟插入,若有新的USB碟被插入,會建立一個名為RECYCLER的目錄,並且複製Spyware進去,並產生一個autorun.inf。這目錄名稱很像Shell的回收筒的名字,不過那應該是RECYCLED。這個Spyware也有User mode Rootkit的功能,還會隱藏RECYCLER目錄,你在已感染的電腦上是看不到它的,隱密性很高。

  接著,我們自動化的Behavior Profiling分析工具產出報告。

  在報告中,可以看到它Drop出來的惡意程式,並且一直在做Code Injection,十分可怕。

  面對這樣的USB Spyware那該如何防禦呢? 你可以關閉這種Autorun機制,建立一個Reg檔,內容如下:

[ H K E Y _ C U R R E N T _ U S E R \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

執行它就可以關閉自動啟動,雖然如此,還是別亂執行來路不明的程式吧!

結語

  雖然從新聞媒體上面看到政府三聲五令要作實體隔離措施,用意在防止機敏資料外洩,同時卻也看到資安不斷地重複上演,令人不禁要懷疑實體隔離是否真的有效。在本文中我們探討了實體隔離仍有幾種潛在的風險,單純就事實而論絕非危言聳聽,專家學者在評估實體隔離方案時,有義務把潛在的威脅告訴需求單位。實體隔離不是萬靈丹,是需要配套管理方法、稽核來落實執行,才不會淪為降低工作效率又被入侵的兩輸局面。文中提及USB磁碟夾帶木馬後門程式,已有案例證實,為政府實體隔離方案的頭號殺手,相關單位應再評估此等方案的補強措施,避免資安事件一再重複發生。

本文作者:
李倫銓,中華電信數據通信分公司,擁有CISSP、BS 7799 LA證照, 專長為網路安全技術。
邱銘彰,艾克索夫股份有限公司資安研發顧問,主要研究安全程式技術,包含HIDS, Spyware/Rootkit偵防技術等。