在現今的資訊社會,我們面臨到的網路戰爭將會是什麼樣子?近年來時常被提及的虛擬化、雲端運算,可能會對網路犯罪生態有什麼樣的影響?
今年,於日本東京舉辦的Direction 2011大會中,趨勢科技首席技術長Raimund Genes提到他的看法,他認為如今我們所面對的,是如黑社會般,有組織性的網路犯罪組織。這個集團大略可以分做兩群人,一是專業好手,其二則是佔大多數的族群-新手、業餘者,甚至是崇拜者。在過去很多的攻擊範例當中,反而是這些業餘的犯罪者釀成大禍。
從業餘到專業的網路犯罪分工模式
此外,這些犯罪集團也並非臨時起意,而是有計劃性的在投資犯罪,因為他們知道可從中獲取鉅額利潤,可能至少都是數萬美元。而過去的犯罪相對來說簡單且侷限,可能是單一國家、文化、語言,Raimund認為,當時幾乎可以說僅是北美地區,不過由於獲利如此豐厚,這些網路犯罪集團現在甚至雇用翻譯,用的可能就是你的母語,傳遞那些誘發攻擊的訊息,用的可能甚至是完美的日文、法文等,降低你的警覺心。人們過去看見英文訊息或許不會開啟,但現在,當你看見熟悉的語言,可能會點下連結、打開網頁、開啟附檔。相較於五年前,Raimund說,犯罪集團更加專業,他們開始雇用專業駭客、專業編碼者,他們更認真也更有規模的在經營這個犯罪事業。
在這個犯罪專業的時代裡,網路犯罪世界裡的步驟是:
製造階段
1.製造惡意程式。Raimund說,單單光是趨勢科技實驗室的數據就顯示,每天有60萬個不同的惡意程式產生。他也表示,通常這些惡意程式都很複雜,不僅有多個元件組成,也具備多種功能。
2.惡意程式的品質控管。就跟好人世界裡的規則一樣,犯罪組織同樣也會確保惡意程式的品質,包括可以運行多久時間才會被逮到?會被哪些資安軟體掃到?
3.接著租用並建立起10到20台伺服器做為跳板,預先設置好。
4.註冊1,000至10,000個網域名稱,尋找免費或低價的主機來使用,平均一台伺服器上可能會有數百個網域名稱,他們會使用並促銷這些網域名,誘使user上鉤。
5.設定網域及特區(用來調度移送這些偷來的資料),可能是躲藏在個人網頁或網站伺服器中。
執行階段
6. 滲透進合法網站。找到有漏洞的網站並執行其腳本,一個按鍵就能觸發感染 一千個網站。
7. 濫用已被感染的網站。如同行銷公司所做的,地下組織也會採用搜尋引擎最佳化BHSEO(Black Hat Search Engine Optimization)的手段,讓惡意網頁出現在搜尋結果頁的最前面。
8.濫發垃圾郵件。並且巧妙的透過社交工程讓使用者下載影音編碼器去看最新、最熱門的新聞。例如在日本發生核災事件時,地下組織也很快的就蒐集了一些地震時的照片,假冒紅十字會設立募款網站,甚至還有paypal付款機制,還可順便蒐集信用卡資料。不僅假冒的很逼真,速度也相當快。更糟的是,甚至也對日本政府進行針對性的攻擊,例如寄送某天的放射線數據狀況等。
.jpg)
趨勢科技首席技術長Raimund Genes建議大家必須要聰明的使用社群網路,有效的去控制你的個人線上資訊,並且也應當不時的挖掘自己在網路上的足跡,並且視需求來減少。
攻擊階段
9.受害者的搜尋結果將會被重新定向到有問題的網站之外,並且也會被迫進行偷渡式的下載(drive-by download),Raimund 提到,一天至少有10,000個新的受害者,可能是在免費下載遊戲”Angry Bird”,可能是破解版的軟體,一般使用者很容易受到這些免費軟體所引誘。
10.這些惡意程式相當穩定且不易被發現,甚至可以潛伏三年不被發現,每天發出10~15封垃圾郵件,ISP業者甚至也不會因此警告使用者。
11.販售資料。偷來的各種資料可以作多種營利用圖,包括販售偷來的資料除了信用卡資料、網路銀行帳號以外,還包括電子郵件帳號、社群網站帳號(如FB、Flickr、Twitter…)、電子商務網站帳號(如Amazon、Ebay…)、從硬碟裡找到的資料,如護照影本、駕照等。並且也可以佔用硬碟空間(通常是用來儲存兒童情色圖片),運用來隱藏行動軌跡、利用他人網路頻寬(好用來做DDoS攻擊)。
商業間諜的演化
商業間諜最主要的任務,就是截取商業資料,就像電影裡演的,過去可能用一些間諜用工具偷偷進入公司偷拍、拿取資料,現在,商業間諜的模式也改變了,可以透過網路來運作。Raimund談到近年來的幾起知名攻擊行動,從Google的極光行動,以及鎖定能源產業,代號「夜龍 」(Night Dragon)的網路襲擊,到RSA、Lockheed Martin遭駭等。只要發一封電子郵件作社交工程,就可以誘騙人們上當。
在多起事件裡頭,證明了社交工程的攻擊手法還是相當有效的。針對像是釣魚網站所造成資安威脅,他建議大家必須要聰明的使用社群網路,有效的去控制你的個人線上資訊,並且也應當不時的挖掘自己在網路上的足跡,並且視需求來減少。Raimund開玩笑的說,商業社交網站Linkedin總是提醒他個人資料的完成度只有50%,顯然,為了安全理由,他並不想過度完整的在網路上呈現自己。而他認為最基本的,就是對任何的連結都必須提高警覺,經過驗證。以及,最重要的關鍵在於資安意識的提昇及教育訓練。
記住,在網路上,任何人都可以偽冒成任何人。
企業營運防禦建議
從前人們採取的是由外而內的防禦陣線,但他認為現在由內而外的防禦也是同樣重要的,因為必須找出那些被感染的系統、使用者,當資料外洩的時候 你必須釐清資料流的流動。無論如何,你都應該要接受企業內部會有被感染的電腦,會把資料傳出去到某個地方,因此必須要有適當的工具來偵測,這些不正常的入侵行為就成為可預見、可被觀察,甚至可以說確保被偷的資料對壞人來說是無效的,因為資料已經被加密了。
針對企業營運防禦建議,他認為應該從過去的從外線的防守,改變成
1.縱深防禦。不只是閘道端的防禦,針對每個裝置都應進行保護,甚至包括行動裝置,都應該被偵測、可控制。
2.加密。當資料中心出現缺口的時候,尤其是存放在公雲資料庫當中的資料,如果資料進行了加密,對攻擊者來說將會增加更多困難度。
3.資料存取控制。而在公雲當中,難免會進行到資料的交換,這時候資料的存取控制當中也就很重要。
4.風險控管。我們談的不是百分百的防護,但卻是必須防止資料外洩,避免資料不正常的離開組織,適當的保護電腦,並且應該要有避免發生資安事件的計劃。
在雲端運算時代,未來可能不像現在會有這麼多的windows作業系統,可能會有越來越多的thin client架構,或許桌上型電腦也將會只運行瀏覽器,伺服器自然也會越來越多,想要以資料獲利的犯罪組織也會更加專注在伺服器、虛擬化伺服器群上,而如前所說,由於他們如此的專業,我們也必須要能夠有相對應的專業安全。