天空不時地打著悶雷,下起一場又一場的大雨,不曾停止,從美國、英國、蔓延至韓國、台灣...
雨中的美國
Titan Rain組織入侵並成功取得了數百台電腦權限......
時代週刊指出光是11月1號到隔天早上不到兩天的時間,這個代號為Titan Rain的組織就入侵並成功取得了數百台的電腦權限。雖然這兩天被入侵的電腦並非放在美國和網際網路隔開的軍事網路中,但是這些電腦內還是會存放一些作為提供軍隊後勤支援使用一些敏感情資(包括軍機規格與飛行計畫軟體在內的美國軍事機密)。
雨中的英國
2005年英國也遭受了東亞國家的網路情蒐攻擊......
英國的NISCC(National Infrastructure Security Co-ordination Centre,國家基礎設施安全協調中心)在2005年表示,英國也遭受了東亞國家的網路情蒐攻擊。但該中心主任Roger Cummings不願指明是哪些國家發動了這些攻擊,因為此舉可能「摧毀制止這類攻擊所做的外交努力」。
並在七月針對這些網路情蒐的攻擊做出分析報告
(http://www.niscc.gov.uk/niscc/docs/ttea.pdf)。報告指出有一系列含有惡意程式的電子郵件以英國政府部門以及企業為目標進行攻擊。入侵者會竊取任何有價值的資訊。木馬程式不一定只透過電子郵件傳送,也會透過網頁的連結讓使用者自行下載。
被傳送的電子郵件會搭配社交工程手法進行攻擊,包含假冒寄件者的電子郵件地址、假裝成求職的信件等,用盡各種方式欺騙使用者開啟電子郵件的附件。而且,防毒軟體、防火牆大都無法有效的阻擋這些被安裝起來的木馬程式。這些木馬程式會使用常見的HTTP(80 port)、DNS(53 port)、SSL(443 port)通訊埠往外界連線躲避防火牆的阻擋、偵測。
雨中的韓國
韓國的相關政府部門以及民間機構遭受有組織的駭客入侵並竊取情報......
無獨有偶的,2004年7月韓國朝鮮日報、文化日報等媒體做出一系列的報導,說明韓國的相關政府部門以及民間機構遭受有組織的駭客入侵並竊取情報
(http://chinese.chosun.com/big5/site/data/html_dir/2004/07/13/20040713000021.html)。
報導指出韓國國家和公共機關遭到駭客襲擊的電腦共計211台,這些電腦分別屬於海洋警察廳77台、國會69台、原子能研究所50台、韓國國防研究院9台、國防科學研究所、空軍大學、海洋水產部、中小企業廳、統一教育院和天文研究院各1台。民間企業、大學以及媒體等部門也共有67台電腦遭到駭客襲擊,而且一些媒體記者的電子郵件ID被盜用,民間部門也損失較大。
「文化日報」也指出,由於入侵韓國政府機關的駭客組織會發送內用韓文撰寫的電子郵件進行入侵攻擊行動,曾讓韓國政府一度揣測可能是由北韓軍方培養的「駭客部隊」所幹的,但經過徹底的偵查,終於查出駭客源頭是「通曉韓文的中國人駭客」,在鍥而不捨的追蹤調查下,已查出入侵南韓政府機關211台電腦的中國駭客,竟在中國某處利用十多台電腦進行駭客行為。韓國警察廳網路恐怖對應中心科長林乘澤接受記者採訪時說:「駭客使用的方法是,發送電子郵件給議員的助理,請收件人員確認附件裡所提到的問題,或在作為攻擊對象的網站上刊登文章,要求管理人員去閱讀這些文章,並進而讓使用者去開啟這些附件或超連結造成木馬程式開始動作。」也由於最後判斷駭客攻擊的來源是源自中國大陸,所以韓國政府通過外交通商部向中國駐韓大使館提出了中國給予調查協助的要求,並且韓國警察廳為找出這批駭客組織也與國際刑警和中國公安部展開聯合調查。
雨中的台灣
中國駭客網軍企圖大規模癱瘓我國電腦系統,經查台灣有88個企業及政府單位遭駭客入侵......
很「幸運」的,台灣也不免俗的逃不了這場滂沱大雨。2003年8月媒體報導刑事局偵九隊經過兩個月的偵防,發現中國駭客網軍企圖大規模癱瘓我國電腦系統,經查台灣有88個企業及政府單位遭駭客入侵植入木馬程式,包括國防部、警政署、中華電信及民間企業威盛電子公司。其中30多個單位是政府部門,其餘是民間企業。這也成為台灣史上正式出現「中國網軍」的第一篇報導。
至此之後幾乎每隔一段時間就一定會有某個政府單位被中國網軍入侵的報導。例如,2005年6月媒體報導外交部電腦遭駭客入侵,竊取高官出訪、談判事宜等機密資料及外交文件。外交部長陳唐山獲悉後震怒,指示追查、懲處失職官員。主管官員透露,外交部這起事件是以駭客入侵的木馬程式,藏在電子文件及資料檔中,只要官員開啟電腦,檔案即被竊取。這次被竊取的資料具有高度機密性,外交部已展開補救,一一變更檔案,或作廢,並建置更好的防火牆。行政院官員指出,中共透過木馬程式一再入侵台灣公務部門,包括總統府網站、國防部網站,也曾進入民進黨中央,了解民進黨高層的出訪動向。雖然在幾日後,外交部做出聲明「中國方面意圖入侵政府各部會電腦,這是大家都知道的事情,但多次以來並沒有得逞竊取到機密,此次外交部也沒有機密文件被竊取。」
2005年9月報導指出『國安會電腦系統前日下午傳出遭到不明人士意圖以發送電子郵件(E-mail)方式入侵,欲竊取政府內部資訊,經防火牆發現攔截後,發現不法來源是以「自由」、「軍購」為名,鎖定國安會與政府高層的秘書為寄發對象,一旦開信就被植入「後門程式」,電腦中所有檔案都會被看光光。』
2005年11月蘋果日報報導「國軍最高作戰指揮中樞衡山指揮所,遭中國網軍『攻破』!軍方人士透露,三月三十一日上午,位於大直的衡指所簡報室旁的軍方內部網路電腦機房,發現遭不明程式入侵,經資訊軍官隔離追縱比對,確定是中國網軍的最新木馬程式。」
2006年3月媒體指出「駭客冒府院之名發假新聞稿」,在這波攻擊行動中,駭客先是在2月27日,以新聞局官員之名發出「台灣新聞局關於新聞人員進入台灣採訪聲明」;3月3日又冒總統府、新聞局官員之名同步發出一分「陸委會致大陸台商公開信」。
2006年4月國防部分軍事記者收到一封以林郁方辦公室寄出的電子郵件,經調查局初步判讀,已查出是透過中國福建網軍部隊植入台灣立法院國防委員辦公室電腦系統所為。
網軍是否存在?
面對如此多的國家都將Titan Rain的源頭指向中國大陸,也都曾努力的要求中國給予協助想要揪出這群到處亂下雨的駭客。然而,卻都沒有得到良好的回應以及實質的幫助。以韓國為例2004年7月當媒體報導入侵事件(注意!是政府單位主動發新聞稿說明有嚴重的資安事件發生而不是被媒體披露的)之後,韓國官方就極力的要求中國官方給予協助想要抓出罪魁禍首,或者最少證明大陸用來入侵的那些主機是否是被其他國家駭客利用當成跳板。但是,經筆者當年和韓國某些參與事件處理的人員的會談,得知韓國其實也對中國大陸的協助不抱希望!因為中國根本不回應!
台灣也是一樣,曾經努力尋求中國的協助。2005年7月媒體報導「兩岸駭客猖獗,我在APEC要求對岸協查卻遭拒」-兩岸電腦駭客犯罪日益猖獗,亞太經合會APEC下轄的「電信暨資訊工作小組」,日前在韓國召開第三次網路犯罪偵防會議,我方代表利用國際場合,向中國大陸方面反映這項問題,並籲請對岸協助偵防,卻未獲對岸代表正面回應。
更厲害的是,中國面對如此多國家的「指控」最後發出「抗議」。2005年12月中央社報導「解放軍駭客入侵美國?中方要指控者拿出證據」-對於美國網路安全機構指中國大陸廣東電腦駭客入侵美國政府與國防工業公司電腦網路,並懷疑駭客受到解放軍支持,中國外交部發言人秦剛表示,美方作出這樣的指控應拿出證據。至次之後中國官方都用同樣的方式否認網軍的存在。中國官方也曾對台灣指稱「中共網軍大舉侵台」述以「無稽之談」!
為何沒有一個國家會真來拿出證據出來指證駭客就是來自於中國呢?網路入侵已經成為一個情報戰爭了,只要你拿出證據來,就等於告訴你的敵人你手上握有多少情報以及反入侵技術的層次到哪裡。於是,敵人就可以利用你的證據來修正自己的技術能力,繼續的對你進行入侵攻擊並且讓你無法察覺。而你拿出來的「證據」,中國只需要使用「賴皮」的方式一概否認,或者隨便從十億人口中找一個替死鬼就可以。於是網軍是否真的存在,就成了如同319的結案報告一樣-信者恆信,不信者絕不相信。雖然,每個國家手上的資料都在在的顯示網軍存在的真實性,但中國大陸還是依然一面嚴厲否認,一面肆無忌憚的派出打手到處灑水下雨。
你撐雨傘了嗎?
從各國的資料以及報導來看,這一波的「Titan Rain」(或者我國所稱的「網軍」)已經從2003年的外部主機弱點掃瞄方式變成了搭配社交工程針對內部使用者疏失的攻擊了。韓國為何會被入侵?最後發現,原因是許多使用者收到內文使用韓文撰寫的電子郵件,信件內容最終的目的都是要求使用者開始郵件中的附件。而這些附件可能是各式各樣的檔案-OFFICE文件(WORD、ACCESS、EXCEL)、壓縮檔(zip、rar)、說明文檔(CHM)、執行檔等,只要使用者不察開啟了這些檔案就有很高的機率會自動的把木馬程式給安裝起來。從最近台灣的報導也不難發現,網軍已經開始冒充各式各樣的人士來寄發含有惡意程式的電子郵件。
再來看各國針對Titan Rain的處理方式,針對Titan Rain美國軍方和情報機構會私下雇用民間人士(駭客)來蒐集、監控中國網軍的入侵狀況。(請見「駭客變臥底 愛國成犯罪」一文,http://www.isecutech.com.tw/feature/view.asp?fid=617)英國的NISCC透過外交力量要求「發起入侵的國家」進行相關調查。且NISCC也針對Titan Rain發出安全通告,告訴使用者(不論是民間、政府單位)該如何預防、偵測類似的行為。
韓國對於Titan Rain是反應最大的國家,事件發生的時候,韓國政府通告全國的機構(不論是民間、政府單位)如有發現類似的入侵行為,一律都要進行通報讓政府了解目前駭客已經掌握多少單位的電腦。並極力的透過外交管道要求揪出入侵者。
我國因為政治環境特殊,所以面對網軍入侵事件發生的頻率遠遠高於其它的國家。然而,我們卻沒有一個公開的窗口專門來處理網軍的攻擊。我國有「國家資通安全會報」來監控、維護政府單位的安全,所以,如果政府單位遭受網軍入侵的時候就有會報這個輔助機構可以協助處理,甚至會報會定期通知政府機關(或進行教育訓練、舉辦研討會)目前網軍最新的入侵手法以及防禦、監控機制。然而,民間機構面對網軍就沒有那麼幸運了。會報幾乎不服務民間單位,所以民間單位絕對不會收到會報關於網軍相關的報告、資訊通告。因此,民間機關現在僅能依靠資安廠商的協助來處理網軍的攻擊。可是,Titan Rain是一個有計畫、有組織性針對整個國家的入侵行為,單一的廠商是無法完整的了解整個的入侵模式或是最新網軍的入侵發展。且台灣目前真正和網軍有過正面交鋒的資安廠商數量也不多。可以說民間單位面對這一場全世界都在下的Titan Rain,幾乎是沒有防衛能力的!也許,會有廠商說網軍多數是以竊取政府單位的機密資料為主,所以民間單位僅是對方當作跳板主機的地位,因此不需要太害怕!其實,並不全然是正確的,由於中國大陸近年在極力的發展經濟,所以需要很多的技術能力進駐或者學習。如果,中國要發展一項台灣當局限制不得進入大陸的產業,最快得到該項技術的方式就是用「偷」的。因此,網軍不但可以取得國家級的機密情報影響國家安全,也可以取得民間技術藍圖影響國家經濟。
既然面對Titan Rain的攻擊已經是無可避免的了,那麼企業就不能在用以前的資安思維-預防駭客入侵-來面對網軍的挑戰。而是應該用「及早發現」網軍是否已經入侵至單位的思維來規劃整個資訊安全的架構。並且將以前的系統防護、網路防護作為更改為使用者防護,針對使用者的使用習慣、安全做教育訓練。Titan Rain一場全世界都在下的大雨,肯定你也在這場雨中了,但是你發現了沒有呢?