日前包括知名3C業者在內,10幾家企業被駭客攻擊導致個資外洩的新聞傳出後,對於責任歸屬問題,以及是否構成違反個資法的要件,成為網友議論焦點。
首先這次被利用的IIS 6副檔名解析弱點多年前早已被公布,其實在去年底也發生過幾波利用此弱點而發動攻擊的事件,此弱點只存在IIS 6版本,IIS 7以上無此弱點。微軟之所以沒有發佈更新,是因為認為此問題並不是來自於微軟產品本身,而是相關設定不正確、不完整所導致。台灣微軟表示,有依照安全規範設定的IIS是不會有風險的,如果允許使用者有寫入的權限,那就會有這風險。同時呼籲企業應在應用系統開發及設定時注意寫入的權限限制。相關文章與設定請參照。然而不管微軟是否有釋出更新修補程式,現實情形是許多企業由於程式設計的緣故即使有修補程式也無法安裝,這時IPS如有此條特徵或許也可抵擋攻擊。
另一個問題是,被駭客掃瞄出此弱點後利用FCKeditor上傳惡意程式,防毒軟體為何偵測不出來?據聞許多防毒軟體可掃得到.asp檔,但如果利用此弱點將檔案改成 .asa或 .cdx .cer就可繞過防毒軟體的掃描。對此,趨勢科技資深技術顧問戴燊表示其實不是防毒軟體無法偵測,而是許多企業為考量效能,會選擇自訂清單方式來指定掃瞄特定格式檔案。然而,這種方式等於系統管理者必須自己維護清單風險較高,比較建議的方式是選擇預設方式,讓防毒軟體業者自動維護,在趨勢產品是點選智慧型掃描功能。
資安顧問表示,企業最好移除FCKeditor套件,並確實做好網站權限隔離──「可以寫入的不能執行,可以執行的不能寫入」,以避免駭客上傳網頁後門。