實體隔離是資安萬靈丹 !?

日前行政院宣佈，政府機關為確保資料安全，將要求存放政府、國家機密性資料的電腦主機限制連結對外網路，實施機密資料實體隔離的措施。

　　由於近幾年台灣許多政府網站與相關資訊系統，遭到對岸有心駭客惡意入侵，竊取相關資料，將實施實體隔離，以防範機密資料外洩。

　　事實上，此次對機密資料進行實體隔離的防範措施，並非政府單位首樁，外交部早已採取限制上網等實體隔離措施，來避免重要或機密資料外洩。

　　而在金融機構、高科技業，為避免專利資料、客戶資料、高科技產品技術遭到竊取，也都早已實施實體隔離的安全措施。

實體隔離相關作法

　　一般來說，實體隔離作法不外乎限制連網能力、限制USB裝置、限制相關外接設備、限制磁碟機、光碟機的使用、使用thin-client等。限制連網的作法通常是不允許機密主機有存取網際網路的能力，或使其自成一個封閉式的網路環境。而在限制主機外接裝置的作法上，則可藉由主機板提供之功能，關閉USB、1394、序列埠等介面裝置，避免員工使用類似USB硬碟將資料複製出去。其他像是限制磁碟機、光碟機裝置的使用，可避免資料外洩或病毒傳入。

　　而使用thin-client的方式，則讓管控重拾最初集中管理的優點，無硬碟、無外接裝置的設計也降低了風險。但是，採用了這些實體隔離措施，就一定能確保資料不再外洩？管理者就能睡得安穩嗎?

上有政策，下有對策

　　以前資安人員以為內網藉由防火牆或NAT的保護，駭客無法直接進入，但近幾次資安事件，利用word/ppt/excel夾帶木馬的電子郵件進入內網，幾乎讓人防不甚防，因此，部分機密主機限制網路連線能力來避免機密資料外傳，似乎頗為合理。

　　但是，資安人員基於方便考量，為了存取該機密主機資料，雖然將該機密主機的對外連線全部關閉，但仍保持內網或部分資料主機對該機密主機的連線能力，如此一來，一旦內網主機或存取主機遭到入侵，極可能再藉此連往該機密主機。這便是上有政策下有對策所造成資安威脅之一。

　　上述人員所造成的管理缺失不是不可能發生，站在管理人員的角度上看，一部完全無法對外通訊的主機簡直是廢物，不但無法存取主機內資料，更不方便安裝主機上之應用程式。另外，實體隔離的主機若是無法上網進行作業系統更新或病毒碼更新，一旦竄進病毒，反而毫無抵禦能力，所以為了「積極管理」，便自行「有效開放」，進而導致「駭客入侵」。

內鬼難防

　　除了「外患」之外，實體隔離最怕的，還是內賊和侵入者。一位資深資安顧問曾說：「一旦壞人能靠近設備，該設備就沒有所謂的安全性。」

　　在電影「CIA追緝令」中，CIA總部蘭利的安全措施非常嚴密，任何員工進出都需經過金屬探測器，員工電腦上當然也沒有USB接頭，避免USB隨身碟竊取電腦資料，但片中女主角卻利用一個含有USB接頭的鍵盤，插入USB隨身碟盜取機密程式碼，再將USB隨身碟置入隨身咖啡杯中，攜出滴水不漏的CIA蘭利總部。

　　另外，在電影「不可能任務」中，雖然機密電腦限制連線位置，僅能由特定主機進行存取，但湯姆克魯斯這個超級入侵者，仍然想盡辦法到達該主機位置來竊取資料。而「魔鬼毀滅者」片中，更是指出，主機設計者本身的電腦，竟也是連往該機密電腦的特定主機之一，完全跌破防守者的眼鏡。

　　也許上述皆是電影情節，實際上發生外來入侵者入侵的機率不高，但若是內賊有心，即便是再好的實體隔離措施，也無法有效地防範竊取資料的行為。像電影「防火牆」中，哈里遜福特知道很難利用儲存設備將客戶資料竊出，他便利用自製的影像掃描器對電腦螢幕進行掃描，再經由OCR，一樣將資料竊出。

　　因此，就算是一部完全隔離的電腦，靠著現在唾手可得的數位相機，對著螢幕拍攝也可以偷出機密資料了。

　　USB Worm技術分析接下的實例分析中我們將介紹一個前一陣子相當「火紅
的Spyware。

　　一般來說，Spyware通常是潛伏在使用者電腦中偷偷摸摸地運作，像是蒐集資料並對外傳送出去。目前一些不知道怎麼防禦Spyware的單位或是機密等級較高的組織，通常是執行嚴格的網路管制，也就是實體隔離，直接切斷對外連線，即使被駭客用Spyware攻擊，也能確保資料不會透過網路洩露出去。這是不得已的作法，犧牲了便利性換來較高的資訊安全，但是真的安全嗎？

　　我們發現最近有駭客開發出利用U S B 的隨身碟裝置來散佈的S p y w a r e ， 我們也稱它為「U S B Worm」，這種新的型態Spyware，殺得大家措手不及。它的基本原理是利用一般人工作的習慣，我們通常為了便利，用USB隨身碟到處插著跑來跑去，像是去客戶公司Demo產品，帶一些網路上的電影給女朋友，甚至交作業給老師，都脫離不了USB隨身碟。有了它真是方便極了，古時候的軟碟片都可以丟了！但是有創意的駭客可以利用這點把Spyware放在USB碟中，藉著USB隨處即插的特性，不需要網路也可以感染各個電腦。但Spyware是如何啟動的呢？別忘了，Windows是一個相當自動的作業系統，如果你的USB碟中有autorun.inf，它便會執行所設定好的執行檔，這原理就跟CD-ROM一樣，一放進去就會自動執行光碟裡的主程式。有了這種機制，Spyware就可以到處感染電腦了，即使你工作的電腦沒有上網，Spyware可以先蒐集資料到USB中，等到你回家上網的時候，一插上USB隨身碟，間諜們馬上跟他們的主人報到，把資料一包包運出去，後面結果就不用多說了。

　　我們在受害者的電腦中執行Archon Scanner，作第一步的現場處理，發現有兩個DLL到處都注射，掃描結果如下：其中A r c h o n S c a n n e r 說Co r e H o o k .dll是一個假冒微軟的DLL，應該是它的版本資訊假冒成「Microsoft Corporation」，試圖要魚目混珠，不過還是難逃法眼！

　　目前已經發現很多種變種程式，我們手上的樣本是一個執行檔叫做_usb_init.exe，它是一個Dropper程式，包了好幾個程式在裡面，一執行就會解出來，包含CoreHook. dll、usbinit.dll跟usbsys.exe這些檔案。而usbsys.exe又內含一個Driver檔案，檔名是mchinjdrv.sys。根據我們的Reversing分析，這是一組Global DLL Injection的Library，而那個Driver檔案並不是一個Rootkitmodule，而是用來監控Process的產生，只要一有新的Process產生，馬上就會被注射usbinit.dll。此外，它會監控是否有USB隨身碟插入，若有新的USB碟被插入，會建立一個名為RECYCLER的目錄，並且複製Spyware進去，並產生一個autorun.inf。這目錄名稱很像Shell的回收筒的名字，不過那應該是RECYCLED。這個Spyware也有User mode Rootkit的功能，還會隱藏RECYCLER目錄，你在已感染的電腦上是看不到它的，隱密性很高。

　　接著，我們自動化的Behavior Profiling分析工具產出報告。

　　在報告中，可以看到它Drop出來的惡意程式，並且一直在做Code Injection，十分可怕。

　　面對這樣的USB Spyware那該如何防禦呢？ 你可以關閉這種Autorun機制，建立一個Reg檔，內容如下：

[ H K E Y _ C U R R E N T _ U S E R \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

執行它就可以關閉自動啟動，雖然如此，還是別亂執行來路不明的程式吧！

結語

　　雖然從新聞媒體上面看到政府三聲五令要作實體隔離措施，用意在防止機敏資料外洩，同時卻也看到資安不斷地重複上演，令人不禁要懷疑實體隔離是否真的有效。在本文中我們探討了實體隔離仍有幾種潛在的風險，單純就事實而論絕非危言聳聽，專家學者在評估實體隔離方案時，有義務把潛在的威脅告訴需求單位。實體隔離不是萬靈丹，是需要配套管理方法、稽核來落實執行，才不會淪為降低工作效率又被入侵的兩輸局面。文中提及USB磁碟夾帶木馬後門程式，已有案例證實，為政府實體隔離方案的頭號殺手，相關單位應再評估此等方案的補強措施，避免資安事件一再重複發生。

本文作者：
李倫銓，中華電信數據通信分公司，擁有CISSP、BS 7799 LA證照， 專長為網路安全技術。
邱銘彰，艾克索夫股份有限公司資安研發顧問，主要研究安全程式技術，包含HIDS, Spyware/Rootkit偵防技術等。