本文介紹日本近期資訊安全10大威脅事件,內容主要參考由【資訊安全早期預警合作夥伴】以及先關研究者的探討,日本獨立行政法人IPA(情報處理策進機構)發行的【日本2012十大資安威脅】,以下由第一至第十循序介紹。
1.以竊取機密為主的新型攻擊
2011年發生了好幾起針對重工業/國會人員等竊取內部機密情報的目標式郵件攻擊。此類攻擊具有不容易察覺,與被入侵感染的惡意程式持續與外界通信的特徵。實際的例子有日本眾議院480人的電子郵件帳號資訊外流,約15天內郵件內容完全曝露在攻擊者下。經調查,一個眾議院議員的電腦打開了附有惡意程式的電子郵件致使感染,然後經過內部網路散佈感染了32台電腦。另一個例子則為三菱重工,遭受同樣手法攻擊導致日本國內總部、工廠,研究所等11個地方45台伺服器與個人電腦38台。
此類攻擊因應對策主要有二:在網路的入口與出口分別實施對策。入口部分應部署防毒軟體、0day攻擊偵測工具、IDS/IPS 等,更新修補程式以建構不易入侵的環境。在出口部分則需要建構偵測防堵擅自與外界通信的不明程式傳輸,以及萬一內部遭受入侵時防止擴散的網絡機制。可參考IPA【針對新型攻擊的設計運作指南】
2.無法預測之天然災害引起的業務中斷
2011年日本大地震造成的損害,給了諸多企業與組織重新思考事先制定行動計劃,以因應緊急狀況及災害發生時,減低員工與企業財產損失。在這次地震海嘯災害有一部分是伺服器直接遭受衝擊,致使戶政資料的直接損失。計劃限電措施亦對38%的民間企業造成某種程度的影響。而過度集中的救援金轉帳業務亦造成了某銀行發生長達10天的系統障礙。因此針對緊急事態,企業應當制定BCP(永續運作計畫)。在日本中小企業廳發行有【中小企業BCP指導準則】,經濟產業省亦有公開【IT服務永續指導準則】可參考。
3.偏激思想組織發起的攻擊
2010年主要是以竊取金錢為主的攻擊活動,而2011年則多是具有共同思想的組織為了彰顯主張而發起的攻擊。這些組織並沒有特定的頭領,成員也沒有居住在特定的區域,純粹利用Internet參加組織發起的攻擊。此類組織通常會有效利用社會媒體以召集志同道合的成員,並且對攻擊對象進行『接受要求否則發起攻擊』的預先警告。具有代表性的攻擊有:DDoS攻擊、公司秘密資料的竊取公開、與網站竄改。
2011年的幾個案例有:
a.針對SONY的DDoS攻擊
2011年四月,駭客組織 Anonymous對SONY公司進行了DDoS攻擊,導致數個公司網站被迫停止了服務。
b.針對任天堂公司的揭露攻擊
2011年6月,駭客組織 LulzSec利用網站漏洞入侵了任天堂在美國的伺服器,導致網站服務器的設定檔被公開。
對於這些集團組織實施的攻擊,DDoS攻擊有延緩措施,但沒有完全抵禦方法。而資訊洩露攻擊則只能重新檢討公司機密資料處理規則,及公開網站漏洞內部處理應對規定等。另一方面,對於此類集團主張內容應當嚴謹認真的應對。尤其是受到指名的組織企業不應當單向的一味主張自身想法,而應當傾聽用戶回饋意見而適切應對處理,或許能防止一部分攻擊行動的發生。
4. 對沒有定時更新用戶端程式之攻擊
就軟體漏洞而言,近年來針對Java(JRE)與Adobe Reader 等用戶端程式漏洞實施的攻擊,多於針對windows等作業系統漏洞攻擊。攻擊者讓被攻擊者PC感染惡意程式常用的手段,即利用了軟體本身俱有的漏洞。將惡意程式代碼加在郵件附件裡,或是讓用戶瀏覽含有惡意程式的網站,使用戶感染惡意代碼。此類攻擊之所以常見的原因在於,一般使用者對於安裝修補程式的認知宣導有待加強。特別是此類攻擊常被與目標式郵件攻擊結合,導致受害組織的內部機密資料外洩。
據美國資安公司報告,2011年被利用來下載惡意程式的漏洞裡,利用Java漏洞的攻擊佔了58%,次數最多。而關於一般用戶的漏洞修補更新狀況,根據IPA的2011年資訊安全威脅意識調查,用戶進行Windows更新比率為70%,而對AdobeReader進行更新的為55.8%,其他軟體更新則無。可見軟體更新意識仍有加強空間。大多數網路攻擊裡使用的漏洞皆為已知也已有修補程式,所以保持用戶端軟體為最新版本可以有效阻止大部分攻擊。可參考MyJVN工具,提供給用戶確認在自己電腦上安裝的軟體是否是最新的版本。
5. 持續不停:針對網站之攻擊
干擾網站服務的提供,以及竊取網站重要資訊的攻擊活動絡繹不絕。網站通常是由網站應用/中介軟體/作業系統三個部分組成,2011年發生的攻擊多為針對網站應用以及中介軟體存在的漏洞。特別是網站應用裡,針對個別需要而開發的應用程式,若在其開發過程留下漏洞,或是使用開源碼的應用若持續使用舊版本沒有更新的狀況下,容易遭受到攻擊,導致入侵竄改,甚或用戶被誘導至惡意網站下載惡意程式。
例如2011年的 LizaMoon攻擊,超過22萬6千以上的URL受到SQL注入而將用戶導向假的掃毒軟體網站。關於開源軟體受到的攻擊實例,也有超過9萬以上購物網站使用開源軟體"osCommerce"而遭受攻擊。再者2011年8月在 Apache發現到可以導致阻斷服務攻擊的漏洞,在開發者釋出修補程式前,攻擊代碼已被先行公開。攻擊碼被稱之為"ApacheKiller"。可參考:IPA:【如何製作安全的網站】〔LastvisitedonMar.15,2012〕;IPA:【安全的程式設計】
6. 針對智慧手機與平板電腦攻擊
智慧手機具有多功能且攜帶便利,易於儲存各種通訊錄、照片影像等有關使用者的資訊。 2011年特別是病毒以及不正當應用程式的威脅迅速成長,尤其是偷竊手機用戶資料以及勒索用戶作線上支付。而手機病毒則有可能會導致手機停止,保存在手機上的各類資訊外洩,以及遭到遠端控制。在手機上出現的問題,在平板電腦上同樣是需要考慮的。
根據報告,攻擊Android手機漏洞的病毒持續增加。 Android因為除了從Google運營的Android Market (已更名為Google Play)以外也可以在其他平台發布/下載應用程式,以及對應用程式的審查並不嚴格,間接導致病毒容易擴散。不正當應用程式的實際案例,例如有欺騙用戶下載後不斷顯示款項支付催促畫面,以及竊取電話號碼電子郵件資訊。
使用智慧手機時需要注意的事項如下:
-智慧手機作業系統即時更新
-不對智慧手機作私自改造越獄
-下載應用程式前先確認發佈網站是可信賴的
-在Android手機上安裝應用程式時確認應用程式會進行讀取的資訊
-手機上安裝防毒軟體
-對PC所做的安全管理,一樣用於在智慧手機上
在日本,智慧手機產業團體制定的相關指南也值得參考,例如:JSSEC【在工作業務上智能手機與平板電腦之指導準則】;JNSA【有效利用智能手機指導準則】等等。
7. 數位憑證出現的漏洞
以PKI為基礎的電子簽章,可用來證明網站的合法性,或者是證明軟體開發商的真實性。最近發生了幾起發行憑證的憑證機構以及政府機關所擁有的憑證遭到偽造或竊取事件,影響了整個安全認證體制。一般用戶無法區別遭到非法發行的憑證,導致連結有害網站或者是安裝有害軟體時都不會收到警告。因此發行憑證的機構需要深切體認風險,加強保護憑證,並研擬對策以因應萬一憑證被竊取或惡用事態發生。
8.你的公司安全嘛?
企業遭員工或者是離職人員入侵企業內部系統,導致機密資訊遭竊的事件屢見不鮮。原因有二:一為可存取機密資訊的權限被惡意員工濫用;二為離職員工在內部系統的帳號沒有及時刪除,致使離職員工依然可進入系統操作。由於多數情況下內部人員很清楚自己想得到的重要資訊儲存在哪裡,一旦進入系統即可得到大量所要資訊,影響範圍會比一般大得多。而且機密資訊外洩事件導致企業信用喪失,尤其若是有關企業智慧財產權的資訊,將直接導致企業在市場上競爭力的下降。此類攻擊因為是人為導致,風險可降低但是無法實施萬全的因應對策。
2011年實際的案例有:
-日本某通信公司ATM機器的線路設定遭受業務外包公司的離職員工動手腳,數據被竄改,導致7萬人以上行動電話用戶受到影響;
-日本某信用卡公司則發生了16萬用戶資料外洩不當交易事件,是過去曾經承包保險業務的另外一家公司的員工所為。
-而日本某網路遊戲公司則遭受準備離職員工在離職的前一刻,偷偷解除了遊戲伺服器的保護程式,導致連續兩天遊戲受到不正常的使用,遊戲用戶130萬人受到影響,受損金額約為一千萬日幣。
針對此類問題的因應對策,有實體對策(嚴格管制能夠進入資料保存區的人員)與系統對策(管制能夠連入系統人員的帳號),以及嚴格執行操作與授權許可分離(在對機密資訊進行操作時,將操作執行人員與許可操作的人員分開)。這些對策在經過一段事件後很容易變成形式化的規則,定期檢視執行狀況與適時進行調整也是重要的。一般在日本若一家企業發生了資訊外洩事件,需要馬上進行一連串的措施,例如:追查資訊外洩的原因,刊登賠罪廣告,向相關政府機關報告,對受害者進行補償,以及恢復企業的信用。因此在事件發生後如何能夠在最短時間內恢復是關鍵,這需要在問題實際發生之前就要進行模擬,預定好對策計劃。
9.系統帳號用戶名/密碼的重複使用
包含金融服務在內越來越多的網站提供各類服務,若重複使用相同的帳號資訊登入各網站,很容易造成一個網站被入侵後,其他網站也受連帶影響。根據IPA的調查報告,在日本有將近8成的用戶在經常使用的網站服務裡重複使用相同的帳號密碼。因此實際受害的實例,有PlayStationNetwork ( PSN ) 、 “ Sony Entertainment Network”(SEN)與Sony Online Entertainment LLC(SOE)等網站服務。
提供網站服務的網站管理人需要注意在網站上不留下漏洞,並作諸如入侵偵測等基本措施。模擬遭受入侵後一連串的攻擊,把受害降到最低也是重要的,例如將網站上保存的用戶信用卡等機密資訊做加密保護。對於用戶帳號密碼資訊則使用Hash函數進行徹底管理,至少可防止密碼外洩時其他網站的二次受害。可參考:SONY: 有關PlayStation?Network、“Sony Entertainment Network”、Sony Online Entertainment用戶偽裝登入
〔LastvisitedonMar.15,2012〕;IPA:【只屬於我的秘密鑰匙:密碼】
10. 用戶資訊 不正當利用
「用戶資訊」一般指用戶的屬性、當前地理位置、經常瀏覽的網站資料等等。常利用於智慧手機上,以針對用戶提供量身製作、細緻的網站服務。例如藉由用戶當前地理位置資訊,及時提供附近商店等消費資訊。對於網站服務提供端是非常有用的資訊,但是這些用戶資訊有一部分關於個人隱私,而且將兩個以上的資訊組合起來很有可能便可以區別出是某個特定的人士。因此網站在利用用戶資訊若沒有進行適當說明便自行蒐集,有可能出現對網站服務提供商/服務利用用戶雙方都不利的問題。例如用戶個人隱私有可能遭受侵害,服務提供商則有可能失去用戶信賴,而大大的減少了客戶。
2011年與智慧手機相關發生了幾起案例。一個是在手機應用程式包含的廣告刊登用子程式,在蒐集手機上既有安裝的應用程式及其使用狀況等資訊時沒有事前說明,也沒有詢問用戶許可導致用戶紛爭。其他還有在無線網路上過度截取網路用戶資料,以及在家用遊戲機上未經玩家許可將玩家曾經玩過的遊戲資訊擅自在網站上公開等等。因此此類服務的提供者,需要在設計整個服務的初始階段整理出所有擷取的用戶資訊,盡量捨去沒有必要取得的部分,徹底檢討是否真的有必要取得。
用戶資訊的取得目的可以分為兩類:用來提供即時服務(是提供服務必定要的),例如提供用戶現在位置周圍商店資訊;以及改善日後服務品質(不是提供服務必定需要的),例如統計用戶曾經利用過的商店資訊。搜集此類資訊需要在得到用戶同意前讓用戶明確了解用戶資訊被搜集後如何被使用,並且用戶如果改變心意可以在事後終止提供資訊。日本政府的總務省也設立了【有關智能手機蒐集用戶資訊之工作組】以探討日後因應。
結語
縱觀以上十大威脅,今後可能造成重大威脅的安全領域有三項:針對重要基礎設施的攻擊,雲端運算上的攻擊,以及企業智能設備的管理。對重要基礎設施的攻擊已經發生了數起,例如美國鐵路公司的鐵路信號系統因遭受病毒感染導致列車停止運行。因重要基礎設施的系統多半無法停機,使得系統更新修補程式等措施執行上有困難,是急需解決的問題。
關於雲端運算上的攻擊,IPA發行的【關於雲計算的研究會】列出了五個項目:外部環境對雲端環境的攻擊、雲端內部對於其他雲端用戶的攻擊、被利用來當做跳板的攻擊、雲端運算資源的亂用、以及停電與系統故障等。在日本目前關於雲端運算事件的多數報導,大多數為關於系統故障。但一些如CVE-2009-1244漏洞的出現,今後有可能從用戶端作業系統對宿主作業系統進行攻擊。
企業智能設備的管理,以BYOD(員工自帶設備上班)迅速在企業擴展成為需要重視的問題。特別是針對員工個人持有的設備,公司應該監視到何種程度。然而考慮公司機密因這些設備出問題造成資訊外洩的可能性,需要制定這些個人設備的使用規則,可進行存取企業資訊的種類,以及萬一遺失時應當採取的策略規則。導入移動設備管理(Mobile Device Management)以統一管理移動設備上作業系統的更新,與允許安裝程式的設定等是有效的對策。
(本文作者為日本電腦網路危機處理暨協調中心分析員)