https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

從南韓政府遭到DDoS攻擊事件談起 -DDoS網災來襲 政府準備好了嗎?<現狀問題篇>

2009 / 11 / 13
吳依恂
從南韓政府遭到DDoS攻擊事件談起 -DDoS網災來襲 政府準備好了嗎?<現狀問題篇>

 DDoS來到家門口  怎麼辦?

自喬治亞、愛沙尼亞國內網站遭受資訊戰波及後,近期美、韓兩國政府重要網站也接連遭受攻擊而停擺。讓人不免聯想,當我們遭遇相同問題時,我們的緊急應變措施又如何?因此本期也預計就不同的層面來探討此議題,做更深入的探討。

事發經過:

今年7月初,南韓政府及多家重要的銀行、媒體網站遭受到分散式阻斷攻擊,影響約25網站的運作,包括總統官邸、國防部、國會、新韓銀行等,該些網站伺服器受到中斷或連接的障礙,前後共三波攻擊。

 

此次分散式阻斷攻擊,發現發動攻擊的伺服器共有416台,其中約400台來自全球約74個國家,其餘則來自南韓國內,並且受到惡意程式感染因此受到控制的殭屍電腦高達16.6萬台(註)。而事態更趨嚴重的是,不但針對南韓政府、銀行網站進行阻斷式的攻擊,甚而還有自我毀滅型的惡意程式出現,該惡意程式被設定為刪除電腦上的檔案,包括主啟動磁區,後果是電腦重開機後系統就無法正常運作,不過該程式並未發作,一說是程式有bug,一說是啟動時間可能設定在日後,若為後者,殭屍電腦所造成的惡果恐怕也將在往後發酵。

處理:

事發之後,政府立即組成了「網路安全工作委員會」來處理緊急狀況,主要是由韓國國情院主持召開,由12個政府單位-青瓦臺、總理室、廣播通信委員會、國防部、外交通商部、金融委員會等所組成。主要是針對該起攻擊事件進行事態的現狀、損失的評估、採取措施等等問題進行討論。此後,韓國政府要求韓國電信等ISP業者,阻絕、過濾這些「肉雞」電腦的攻擊,並同時在這些公家機關的網路上導入設備,進行網路的導引分流,然後也在民間網路增設網路設備,藉以疏散網路流量,強化安全防禦。

 

也有些專家認為這批攻擊共有五波。其實在南韓的攻擊之前,美國政府於美國國慶日7/4就曾遭受到的DDoS攻擊,其實也是同批駭客組織所為,因此可視為同一波的攻擊,其攻擊的網站亦有重複性。(詳見DDoS專題攻防技術篇-以美韓五波攻擊為例)

台灣DDoS攻擊事件近況

今年4月,賽門鐵克的調查報告,光是台北市就有約18.7萬台的殭屍電腦。在全球的botnet排名,台灣去年排名第五,今年則排名第六,去年數量共有100萬台,今年則約有50萬台,看似進步實則不然。專家指出,受到感染的殭屍電腦,有可能只是隱藏著卻沒有被偵測到,計算方式應該是累加,也就是現在應該至少存在150萬台的botnet電腦受到控制。並且多數存在於TANETHINET,而光是從台北市政府與縣政府內的電腦網路來看,就約有1/3的電腦為潛藏的Botnet電腦,也就是至少有六千台以上。

 

(表:近年海內外DoS/DDoS攻擊事件列表)

除了前陣子台灣有離職員工竊取資料,而遭到老闆請人攻擊其網站,達到阻斷式攻擊,企圖報復且干擾商業運作之外,而近來twitterfacebook等社交網站遭受到DoS攻擊,根據調查也是出自於政治糾紛的因素,針對單一部落客而發出的報復攻擊。


借刀殺人不難  買賣攻擊手段更容易

由這些事件看來,可看出Dos/DDos雖然已經不是新的攻擊手法,近年來卻因為網路越來越盛行,Botnet「肉雞」電腦的租賃方便、價格便宜,攻擊工具的販賣更盛行。在第一屆台灣區Botnet偵測與防治技術研討會裡,更有專家提出了「Botnet種類演進」,說明Botnet的攻擊種類已經越來越多樣化,早期駭客都是利用IRC協定來操作,但是現在不僅可以透過網頁、MSNP2P軟體等等,甚至是很紅的社交網站、BBS都能夠發動攻擊,並且透過層層的跳板,而更加難以追查。

 

而運用範疇也已經從針對特殊行業的勒索,演變成可能發生在任何行業當中的同業競爭、政治鬥爭的手段,也因此,亦有ISP業者也開始提供DoS/DDoS的防禦服務,這也是因為這樣的需求越來越普及的關係。

 

Novell大型客戶事業資深業務經理李逸凡提到,資安事件的收集,會著重在安全設備,像是IPS或防火牆等記錄收集至SIEM,但其實SIEM的資訊結合網路設備管理,其實是可以看出其行為關聯性,即時判斷出資安攻擊等,例如說在網路中斷前,網路流量可能大量上升等。

 

其實惡意程式控制電腦的動作都是有些類似的,都是從遠端被控制,然後命令它執行一些動作,像是把資料偷送出去,或者攻擊別人等等。尤其,像是金融單位在閘道端有嚴格的管控,因此即使電腦被控制,或許也不容易將資料送出。因此攻擊者可能會轉變方式,例如說造成內部的阻斷式攻擊,也就是利用企業內部的電腦攻擊其他內部電腦,譬如同一集團的A公司去攻擊B公司,這也是惡意程式在企業內部為惡的一種。不然,只要惡意程式不發作,或未對業務造成影響,有些企業甚至就放任內部botnet電腦常駐,而不願意花費成本去解決。這對政府或是ISP業者來說,其實都是困擾和資源浪費,而來自全球分散的botnet電腦則必須靠大家聯合來去除,才不會互相危害。

也因此,一直被期盼的個人資料保護法,除了可以保護個人資料的安全之外,或許也可促使企業認真的去除掉受控制的botnet電腦吧!

 

註:新聞數字雖然是16.6萬,但專家預估實際數字應該約為200萬台。