https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

系統安全待強化 不是只有漏洞才是洞

2012 / 09 / 05
吳依恂
系統安全待強化 不是只有漏洞才是洞

刑事局165反詐騙中心組長傅振原表示,這些年來使用電話的詐騙少了,取而代之的是網路詐騙,從性侵、竊盜到援交,其中又以網路購物詐欺為多。

最新的網路詐騙手法解析看現況

反詐騙諮詢專線165,過去是由行政院主導,初時為臨時任務編組,明年即將變成正式編組,員額也從4人擴增到50人,顯見其業務需求的增加。有時候詐騙成功並不是因為受害者笨,多半是因為詐騙集團握有的消費個資太多、太詳細,消費者多相信人性本善才受騙,有時手段又相當繁雜,有時不只是三方詐欺(詐騙集團同時扮演買家、賣家,既收貨又收錢),甚至還有四方、五方詐欺。近期,甚至也有台灣詐騙集團假冒美國公司徵才,詐騙大陸地區民眾,要求被害人辦理U盾(中國銀行發行的網路銀行憑證,可直接轉帳不需讀卡機)及網路轉帳,當被害人依照只是插入U盾並進入該公司提供之「假官網」網頁進行驗證,並打開驗證程式時,其實已遭植入木馬程式,而歹徒便從遠端網路將被害人帳戶內之金錢提領一空。這個跨國的詐騙目前詐騙對象皆為大陸地區民眾,被害人多半具有高學歷、英語能力佳,每個詐騙案件遭詐騙金額至少40萬人民幣,粗估迄今至少獲利1千萬元以上新台幣。

傅振原說,在民國93到95年間,詐騙都還發生在台灣,到了現在已經不只是島內犯案,整個亞洲包括日本、韓國、印尼、菲律賓、泰國、澳洲等也正在淪陷當中。而過去的電話詐騙都是固網,刑事局很容易就可以抓到人,但現在詐騙集團透過網路電話的應用,已經越來越難掌握,無法監聽內容,軟體種類繁多也不可能去破解,網路帶來方便卻也帶來安全上的威脅。可以說詐騙者越來越會利用資通訊管理上的漏洞,門檻低、合作打擊犯罪遲遲未能突破,造成異地遙控的遠端犯罪成為現在的主流,促使許多人投入詐騙犯罪,警方面臨到相當大的挑戰。

 根據刑事警察局的統計,101年1月至3月份,詐騙受害案件即逾605件,平均每月發生201件,詐騙金額累計約3,100萬餘元。詐騙集團透過駭客入侵購物網站平台與賣家的訂單、出貨系統,竊取買家個人資料與交易明細資料,再假冒平台或商家以分期錯誤的方式為由,誘騙被害人至ATM解除分期付款設定,並依其指示轉帳而被騙。從最近的新聞,我們可以看出,現今犯罪集團運用科技的程度日深,並且手法多變,問題涉及國際間合作、組織型犯罪與資安威脅。以下文章我們將再針對資安威脅的部分詳細討論,希望能更深入探討、改善資安問題。

 一般而言,當我們探討到電子商務交易安全,歸納會有以下幾個主要的外洩管道:1、網路平台;2、建置系統的系統商;3、物流商;4、買(賣)家個人電腦;5、賣場、家自設網頁。其中,我們也曾在資安人66期「層層揭開都是洞 都是駭客惹的禍?」文章裡,詳細探討到對網路平台、物流商的資安因應措施。所以接下來我們也從近來發生的資安事件,探討其他癥結點。

被忽略的第三方廠商

刑事局165反詐騙中心組長傅振原表示,根據最近幾起網路安全事件的情形來看,遭到駭客入侵的點,有極大威脅集中在系統商的資安出了問題,傅振原說若是系統商沒有做好資安,一旦出了問題影響層面、外洩可能性及威脅都更大,因此系統商的管理是一件重要的事情。

其實整個網路交易流程中,有太多的跨平台合作與資料交換,也涉及到商業營運型態問題,若是以購物網站來看又分作B2B與B2C,後者因為還牽涉到小型商家、個人賣家的資安意識問題,較難以規範與處理,就資安威脅議題上來說也較難以歸類,而B2B的經營合作型態則較接近一般企業對於網站平台的經營,亦可做為其他產業之參考研究,因此我們將就這點來探討。

近幾年來,經濟部商業司也相當關注電子交易安全議題,因此無論是系統平台商、賣家都是被輔導的對象。但在這之中的第三方廠商卻還有被忽略的一塊,例如製作網頁、建構系統的系統商,一來系統平台商與系統商之間並無合約,沒有直接的合作關係難以規範以外,賣家、商城有可能基於成本考量(卻非資安考量)選擇了該系統商,系統平台商即使透過賣家施壓,對系統商的約束仍然相當有限。而儘管資訊系統廠商可能在業主的要求來改善資安,但相較於金融業、醫療等產業,科技業在系統的撰寫上較無明確法律規範,因此一切回到成本考量,沒有錢就沒有資安。

既然在資訊系統的廠商有所闕漏,則資安問題可想而知。負責協助多家購物網站的資安廠商就說,由於較具規模的商店賣家多半會跨平台經營,諸多購物平台都只是他的入口,還有自營官網、個人拍賣,再將客戶個資、交易資料,匯出到自建或委外系統商的訂單系統、物流系統,資安的控管流出,回到這些中型賣家或系統商的手上。因此資安程度與做法不一,而且遭到駭客入侵的狀況幾乎可以說是「人人都有獎」。各大平台商或許有一定的資安、稽核策略,但也只能記錄到該賣家在該平台的部分狀況,難以窺見全貌。

不是漏洞也是洞 系統弱點沒人管

不過,該資安廠商仍根據近年來的資安事件處理經驗,得出一些觀察:
1. 目標式攻擊:這些中大型賣家受到駭客覬覦,被長期的目標式攻擊,攻擊者顯然對受害者的IT環境具有相當的了解,在攻擊後甚至會「清理善後」,讓後續處理的資安廠商甚至找不到任何軌跡。

檢查窗有沒有關,並不等於窗真的有關好,而雖然窗沒有關好,壞人卻有可能是從門進來的。如果將來涉及到個資法議題,惟有證據才能說話。即使用盡全世界的源碼檢測與網頁弱點掃描工具 ,也不一定抓得出全部的系統漏洞,而等到你抓到漏洞,當然是盡量修補,但一旦出了事情,你還必須要有直接的、絕對性的證據,顯示駭客的入侵的確是透過某過漏洞出來,這就造成整個網路交易生態系的責任歸屬問題,而且難以證明問題出在哪。

2. 動態式網頁的弱點:過去的靜態網頁很容易透過一些弱點掃描工具掃出問題,但如果駭客利用的洞根本就不是漏洞呢?該資安廠商說,Web2.0的時代來臨,網站提供的服務越來越多,行銷活動也是三天兩頭異動,很難面面俱到,例如這次就發現了有駭客利用照片上傳功能,將惡意程式塞到圖片檔裡面上傳到系統內,這並非程式漏洞,卻可被用作攻擊。

3. 主機系統弱點:許多資訊系統本身的設計可能就存在著資安漏洞可被有心人士利用,有時也會因為人為疏失而造成。過去的IT基礎系統在設定上,大多不會存在資安考量,比較多的安全設定重心會放在網路設備,相較之下,主機系統自身的問題較少被注意。該資安廠商提到,過去其實也有主機系統防護工具,可以針對最新攻擊行為設定規則防護,或是針對檔案異動的部分進行監控、隔離,但由於過去攻擊手法較少針對這個部份,因此也少被企業青睞。

對於一般的大企業而言,IT基礎建置設定多半不會委外,多由自己的主機系統團隊來維護,而一般資安工作會落在網管身上,卻非主機系統的團隊,該團隊主要工作之一在於維持主機一定的功能與效能,有時這也會與安全的設定相抵觸。因此相較於網路安全,系統安全是被大多數企業忽略的一環,這一點我們已可從電子商務產業的資安事件先看出端倪。

然而企業倒也不是真的無計可施,安全系統程式開發顧問就建議,自動化工具或許可以直接有效的達到安全設定,不過也可透過專家協助做安全的設定,並且可以針對存取權限作控管,例如設定由使用者前端上傳的目錄僅能讀取,無法執行或修改,依然可達到進一步的資安控管。

企業委外三類型:

在新版個資法的要求之下,委外管理將更被受到重視,且讓我們以資安觀點來看現今的委外。資安顧問說,一般企業委外狀況約分成三類:

1. 軟硬體都是ASP管

類似從前大家常說的ASP(Application Service Provider),這種委外通常是租空間或主機,預算更少的企業,連應用程式,如網頁服務都可能是租賃的,只能用既有的系統設定網站,不能客製化也不能改,由於沒有錢當然也無法要求太多,最慘的是如果該企業有會員需管理,結果就是所有的個資都得交給人家管,一旦發生外洩事件,首先是很難證明是誰的問題,其次是賠償要由誰來賠?委外廠商一旦出了事,最多的賠償做法頂多也就是讓企業扣到月費上限或是免費使用一個月。雖然如此捉襟見肘,但通常這類小企業所掌握的資料量可能也不會太大。

2. 部份自己管

另一種則是向ISP或IaaS供應商租個機房空間,也就是租用網路但主機自管,IaaS的模式則是租用主機(主機可能為實體或虛擬),但控制權在廠商那,尤其是虛擬主機的,由於VMM在廠商手上,這種資安風險也比較大。

3. 主機維護通通找SI或經銷供應商

而其實最常出現資安問題,便屬這類,無論主機放在ISP業者或自己家,維護都是由系統整合商或經銷供應商來負責,這時候資安的品質好壞就得看運氣了,一旦出事廠商還是得要會找支援,有可能是設備會被攻擊,有可能是找的維護廠商自己本身就有漏洞,一般來說只要發生事情都是找廠商賠償,但這還是一樣,廠商頂多賠光專案款項,但未來有可能個資法的罰款將會遠遠超過整個專案的預算,資安的防禦幾乎是無法要求,涉及到成本,只要是企業未要求之事,廠商能不作就不作。

出事時,如何確認是廠商的責任?由於企業的系統平常都由廠商維護,廠商通常都會對企業保證一定做到足夠的安全防護,但是出事後消費者要求的舉證對象仍然是企業,而非廠商,受到傷害的還是企業。因此在訂立契約就務必把個資外洩事件發生時的權責劃分清楚,資安顧問L的建議是:
1. 將資安要求直接訂立在合約當中。不過由於可能需負擔外洩風險,所以廠商的投標金額會變高,這點在實務上就會相當挑戰,當然,也可以將資安另外委外。
2. 設立企業自己的資安稽核制度。資安稽核最好由企業自己來做,並且要求廠商負責改進。驗證廠商是否做到資安要求,要求又到何種程度,如果是主機的防護,要在每個月作哪些例行檢查,若是AP是否要經過哪些審視。
3. 做好記錄保存,儘管主機系統交由他人維護,但所有記錄必須自行保留一份,防範哪天出事,還可利用手上資料委由其他資安廠商協助,這類工作大致上可以透過Log管理或SOC監控做到。
4. 老闆支持。最後,高階主管的支持依然是做好風險控管、資安防護的重要一環。對廠商的安全要求或事後的協助調查等,這些都是成本,必須要有企業主認同。