Transcript 從資安事件淺談資訊安全概念 - 台大醫學院附設醫院雲林分院

從資安事件淺談資訊安全概念
陳鴻彬
[email protected]
社交工程是網路犯罪最具威力的工具
社群交友網站成幫兇
2
微軟：電腦被駭 遭騙居多
垃圾郵件減少，駭客轉向開發社交惡意程式
社交網站虛擬豔諜 讓300官員中計
2010-7-20
Facebook安全再添疑慮
最常被封鎖的網站是Facebook
Facebook開放廠商讀取用戶聯絡資訊
在Cyber Space裡千萬別輕易相信任何人
在網路上別亂交不認識的朋友
9
你相信網路銀行的安全機制嗎？
10
RSA遭駭被竊，雙因素認證產品安全性受質疑
EMC執行總裁Art Coviello在官網上發出公
開信表示，該公司SecurID技術資料遭竊。
RSA遭駭被竊，雙因素認證產品安全性受質疑
•
Art Coviello在官網上發出一封「致RSA客戶的公開信」表示，該公司在3月17日遭受類似先前Google所受的APT（
先進持續威脅）網路攻擊，其中，包括該公司OTP（一次性密碼）Token產品SecurID的雙因素認證技術資料遭到
外洩。
RSA遭駭客入侵，資料外洩事件波及SecurID雙因素認證的Token產品。
•
Art Coviello則在公開信中強調，根據所清查的外洩資料，目前使用SecurID硬體Token產品的企業用戶不用擔心遭到
任何攻擊，RSA除會立即提供客戶後續的因應對策外，RSA客戶和員工的個人資料也沒有遭到外洩。同樣的，EMC
RSA臺灣分公司對此一遭受攻擊事件，目前皆不能對外發表任何意見。
•
RSA可能喪失客戶的信任
•
這種APT的攻擊手法，很難在第一時間被發現，但對於以資訊安全為業的資安公司RSA而言，這起外洩事件，也讓
RSA面對有史以來最大的客戶信心崩盤危機。
•
相較於EMC RSA公司的信誓旦旦，許多國外媒體與資安研究員認為，該公司揭露的資訊不足，企業應該要事先對
SecurID的安全性存疑。像是設計Blowfish加密演算法的資安專家Bruce Schneier便撰文表示，資安是一種信任的行
業，在RSA沒有公開真正被偷的資料內容為何，以及了解SecurID的加密演算機制時，無從評估這起事件的受害範
圍，RSA的作法也失掉原有客戶的信任。
•
RSA的SecurID是一種硬體的、一次性密碼的Token（權杖），其密碼產生方式則可以分成時間性（Time-Based）
和事件性（Event-Based）兩種，所謂的時間性就是指在一定時間內，例如1分鐘內，就會亂數產生1組6位數的密碼
，事件性則是指，在Token上每按1次按鈕後，就會產生1組密碼。
•
當企業員工要登入一些比較機敏性高的系統，例如企業VPN連線或者是機敏的IT系統，為了強化身分認證的安全性
，除了要求員工輸入原本已知的帳號、密碼之外，還要求員工輸入另外手邊所擁有的認證密碼，目前最被普遍使用
的就是OTP一次性密碼，而這種一次性的動態密碼除了類似RSA SecurID的硬體Token外，另外還有軟體OTP兩種
形式。
RSA遭駭被竊，雙因素認證產品安全性受質疑
•
並非所有RSA客戶都第一時間被通知到
•
EMC RSA在臺灣使用SecurID的企業用戶，據了解，包括中華電信、Yahoo奇摩、銀行業者、電子商務業者、航空
運輸業者、線上遊戲業者、高科技製造業與化妝品業者等。
•
RSA在公開信中表示，將在第一時間主動與客戶聯繫相關事宜。中華電信表示，他們的確在第一時間就有收到系統
廠商對此一事件的通知，也要求原廠進一步清查中華電信所產生的金鑰序號，是否也包含在此次外洩的資料範圍中
，所幸並不在外洩的資料清單中。至於EMC RSA發生系統被駭、資料遭外洩的事件，對中華電信而言，他們更關
心的是企業用戶認證金鑰的保管，會不會因為相關技術資料文件的外洩而出問題而已。
•
但也有企業未獲原廠或代理商相關通知。電源管理IC設計公司立錡科技資訊處處長王德劭表示，第一時間並沒有收
到來自原廠或系統廠商，主動對於RSA SecurID技術資料外洩的任何說明，反而是從相關國外媒體報導上才知道這
件事情。
•
另外，也有某全球性化妝保養品公司資訊部主管則表示，該公司依照全球一致的IT政策規範，在登入VPN時，都必
須鍵入RSA SecurID上的一次性密碼以確保連線的安全性。但他指出，可能因為該公司只是全球的一間分公司而已
，目前尚未接到來自總公司IT部門對使用RSA SecurID時的任何提醒。
•
EMC RSA美國總公司應美國證管會要求，提供企業用戶後續的因應建議，據了解，EMC RSA也有提供一條直通美
國總部的熱線，供既有的客戶做相關的資料查詢，甚至還可以更細部的提供EMC RSA因為這次攻擊事件所做的各
種資安補強措施，以協助企業做好後續的資安強化動作。
•
企業客製化參數強化金鑰安全性
•
立錡科技雖然沒有第一時間被通知到相關的事件始末，但王德劭表示，就該公司既有的安全機制而言，還不用太擔
心，因為該公司在使用RSA的產品時，就深信沒有百分之百的安全，所以在金鑰產生時，有客製化加入屬於該公司
獨有的數值以提高金鑰的安全性。
•
某銀行業資訊處的中階主管也有類似的觀點。他表示，企業建置這種雙因素認證系統時，金鑰會保管在企業內部。
他說，除非駭客竊取EMC RSA的技術文件，還能夠同時知道企業本身的金鑰，否則，對企業安全性的影響有限。
RSA遭駭被竊，雙因素認證產品安全性受質疑
•
第一銀行雖然不是採用RSA SecurID的產品，但該公司通路系統開發部經理王致平表示，企業建置這樣的雙因素認
證系統，每個使用者拿到的每一支Token會有不同的產品序號，所以在Token使用前，都必須和後端認證系統作同步
登錄。他說，企業的認證伺服器本身也會有一組獨特的機碼，藉此去產生不同的金鑰數值，對於必須使用Token登
入的系統，也會針對不同的系統加入不同的時間值、交易值和參數等，以確保系統和使用者的安全性。
•
企業應立即強化金鑰保存
•
RSA和其他加密認證的公司一樣，所採用的加密演算法都是公開的演算法邏輯。臺灣科技大學資訊管理系教授吳宗
成表示，就密碼學而言，只要有時間、成本和效能上的限制，這世上就沒有絕對安全的密碼。他認為，類似EMC
RSA的事件發生，有兩種解決方式，第一種就是更換其他加密的演算法，另外就是加強金鑰的組成與保護。
•
吳宗成說，更換加密演算法不見得每個人都知道怎麼做，也不見得有其他更好的替代方案，但是，如果能夠做到強
化金鑰的保管，可做到藉由強化管理補強技術的不足，包括強化認證系統所產生加密金鑰亂數必須具有不可預測性
，以及這個亂數金鑰必須妥善的被保管在企業內，例如認證伺�A器做加密等，才是目前企業對於類似EMC RSA資
安事件最務實的應對方式。
•
歷經此一事件，企業用戶對於EMC RSA還有信心嗎？王德劭表示，之前該公司是百分百使用RSA SecurID，未來會
在成本與安全分散的考量下，搭配其他廠牌的Token產品。但他強調，即便認為該公司對企業用戶第一時間的危機
處理方式並不好，但後續還是要看外洩資料內容為何，以及後續的處理方式，才能夠確認對RSA是否還具有足夠的
信心，才知道未來選商時，是否還會納入該公司。文☉黃彥棻
使用網路銀行線上交易要非常小心
網路銀行最好只用來查詢帳戶往來內容
，盡量避免線上交易
若非得要採用線上交易，建議採用指定
轉帳方式
15
別在IE上記憶帳號資料
16
Google揭露的IE零時差漏洞出現攻擊
不安全的已不只是PC而已
MAC、智慧型手機，
未來的資訊家電，物聯網…..
18
Mac OS X木馬套件蠢蠢欲動
Skype for Mac含有零時差攻擊漏洞
資安公司首度發現OSX殭屍套件
連Apple也淪陷了，那Android呢？
小心Apple Store上的應用程式
22
P2P、Stream Media 好用、方便…
背後潛藏的危機與代價
FOXY、BT、迅雷(Thunder)…
PPStream (PPS)….
23
發現大量企業資料P2P網路外洩
維基解密利用P2P網絡竊取機密信息
網路安全專家研究發現，維基解密
一直在利用P2P網路搜索機密資訊
Foxy P2P造成線民資料外洩
Ctrl + Alt+ Delete
27
28
29
天下沒有白吃的午餐，
用P2P、Stream Media會有潛在的代價
電腦上的機密資料會不小心分享出去
個人電腦會變成網路上的伺服器
除了影響下載的頻寬，還會吃掉上傳頻寬
，結果就是網路會變很慢(ADSL更嚴重)
30
個資外洩事件與個資法探討
31
Sony個資外洩：台灣25.5萬PSN會員受累
人事行政說明個資外洩 ：內部疏失
案例
• 2009年3月，香港聯合醫院一位醫師，遺失了
存有47名病患個人資料的隨身碟
– 引起相關單位重視
• 2009年5月，美國加洲柏克萊醫療中心的資料
庫，遭到駭客入侵
– 竊取了社會安全卡號和健保資訊
– 估計近16萬人受到影響
• 2009年11月，台大醫院發生了近年來第2次的
電腦當機事件
– 造成掛號、病歷查詢和領藥系統的失效
– 影響上千名病患的就醫權益
– 幸好未造成延誤就醫而影響生命安全的事件發生
34
資料引用：2010年3月號網管人雜誌
資料外洩三要素
各產業對資料外洩防護的不同需求
行業別
資料外洩威脅
個資
智財
高科技製造業
專利文件、程式碼、機台參數設定檔 設
計圖、製程資訊、研發計畫…
◎
金融服務、電信、流
通業
信用卡資料、客戶身分資料、交易 紀錄、
客戶帳號密碼、合約文件…
◎
政府單位
機密等級公文、人事檔案、民眾戶籍 稅
賦、地籍、財產等資訊…
◎
教育、醫療照護與服
務
學籍、病患身分、病歷、就醫與付 款紀
錄、信用卡卡號…
◎
生醫、製藥產業
研發計畫、行銷計畫、配方、實驗 數據、
專案計畫…
◎
上市上櫃、公開發行
公司
未公布之財報、併購資訊、重大訊息 併
購計畫、重大合約…
◎
電腦處理個人資料保護法
個人資料保護法
賠償
基於同一事實、原因 單一事 每人、每一事件，500元~2萬 多人、
件合計新台幣2000萬
單一事件最高 2 億 該事件涉及利益
> 2 億(則不限)
適用範圍
公務機關+非公務機關(8大行 所有公民營機構均適用
業)
保護客體
僅經過電腦處理的個人資料
包括經電腦與非經電腦處理的 個人資
料
賠償與舉證
•非公務機關違反，致當事
人權益損害，須賠償。
•但能證明無故意或過失者，
不需賠償。
•民眾索賠時，不需負舉證責任
•非公務機關，需能證明「無故意或
過失責任」，才能免責
•公務機關須提「無過失責任」
違反個資法之計算
類別
項目
估計金額
備註
罰金
未經當事人書面同意取得資 罰鍰5萬－50萬元
料
違反個資法第47條
未採行適當之安全措施，致 罰鍰2萬－20萬元
使個資被竊取、竄改、毀損、
滅失或洩漏
違反個資法第48條
代表人未盡防止義務，與違 罰鍰7萬－70萬元
反第47、48條同一額度罰
鍰（限期內未改正，則按次
再處罰）
違反個資法第50條
罰金最高約達140
萬元
損害賠償
當事人每人每一事件500罰鍰250萬－1億
20,000元計算，以洩漏筆數 元
5,000筆計算
違反個資法第28條
以該涉及利益為限
違反個資法第28條
難以估算
罰鍰250萬－1億
元
個資法第二十七條
個資法第二十九條
非公務機關保有個人資料檔
案者，應採行適當之安全措
施，防止個人資料被竊取、
竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指
定非公務機關訂定個人資料
檔案安全維護計畫或業務終
止後個人資料處理方法。
非公務機關違反本法規定，
致個人資料遭不法蒐集、處
理、利用或其他侵害當事人
權利者，負損害賠償責任。
但能證明其無故意或過失者
，不在此限。
40
41
醫療資訊安全防護架構
醫療機構
醫療資訊網
辦公網
IPS入侵防禦
抵禦外來威脅
IPS入侵防禦系統
內網流控系統
內網流控檢視
控管內部流量
Botnet活動監控
內容備份/側錄系統
記錄存查外流資訊
自動線路
切換裝置
終端實體隔離
雙網電腦
HIS/PACS
CIS/RIS
…
問題嚴重的殭尸網路(BotNet)
43
駭客天堂！臺灣名列全球第四
台大雲林分院資安健診
高度與嚴重攻擊事件列表 TOP 10
1
TCP SYN
DoS/DDoS
高度
事件次
數
8,142
2
RSERVICES rsh root
Access Control
高度
1,447
3
Botnet RBL Violation
Botnet
高度
607
4
WORM Conficker on HTTP Search
Virus/Worm
高度
473
排名
防禦政策名稱
事件種類
嚴重程度
5
ET MALWARE 51yes.com Spyware Reporting
User Activity
Botnet
高度
275
6
ET MALWARE Baidu.com Spyware Bar
Reporting
Botnet
高度
215
7
EXPLOIT Windows WMF/EMF Image Formats
Remote Buffer Overflow
Web Attacks
高度
202
8
EXPLOIT Microsoft Color Management Module
Buffer Overflow
Buffer Overflow
高度
163
9
VULN MS Windows GDI Metafiles AttemptWrite
Remote Code Execution Vulnerability
Others
高度
132
10
VULN MS Windows SChannel Security Remote
Code Execution
Buffer Overflow
高度
94
45
BotNet的組成
• 殭屍電腦(zombie)
– 遭受bot入侵感染的電腦
– 於背景執行惡意程式
• 常為木馬程式或蠕蟲
• 這些惡意程式統稱為bot
• 控制命令伺服器(C&C Server)
– Control & Command Server
– 駭客下達命令及接收資訊的中繼站
– 殭屍惡意程式及組態更新來源
• 殭屍網路操控者(botmaster)
– 透過C&C Server下達指令控制殭屍
電腦的駭客
– 透過C&C Server瞭解BotNet版圖
BotNet的危害
•
•
•
DDoS
竊取金融帳號密碼
間諜網路
•
竊取個資
•
•
SPAM
廣告軟體
1. BotNet是DDoS攻擊的幕後黑手 1/3
殭屍電腦: 嗨！我是殭屍電腦第XX號，我已經受到感染，
向指定C&C伺服器報到註冊
48
1. BotNet是DDoS攻擊的幕後黑手 2/3
Botmaster: 向 x.x.x.x 電腦發動DDoS攻擊
49
1. BotNet是DDoS攻擊的幕後黑手 3/3
無辜第三者遭到大量殭屍電腦的DDoS攻擊！！
50
2. BotNet技術已用於竊取金融帳號
1/3
• Zeus BotNet是知名的金融犯
罪木馬程式，主要目的是竊
取銀行網站、電子商務交易
之帳號及密碼
• 美國FBI估計Zeus BotNet
– 回報FBI案件次數：390
– 預估造成損失：2億2千萬美金
– 已經造成損失：7千萬美金
(統計日期：2010.10.1)
資料來源：美國FBI網站
http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud
51
2. BotNet技術已用於竊取金融帳號
3/3
• 美國FBI全力追緝的Zeus BotNet幕後操縱者
資料來源：美國FBI網站
http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud
53
BotNet犯罪集團抓不勝抓
中國時報，2010.10.15
3. BotNet技術已用於間諜網路
• 2010年4月國際知名研究機構提出的<<Shadows in
the Cloud>>網路間諜研究報告中指出，大陸已利
用BotNet技術發展間諜網路系統
– 以竊取重要政府機構的機密文件為目的
– 搭配高針對性之目標鎖定式攻擊，針對特定政府人員
展開入侵活動
– 有30%遭感染電腦為高度政治敏感性電腦
• 軍事機構、大使館、國際組織、達賴喇麻辦公室、
新聞媒體、及非政府組織
http://www.infowar-monitor.net/2010/04/shadows-in-the-cloud-an-investigationinto-cyber-espionage-2-0/
55
4. BotNet技術可輕易竊取民眾個資
• 竊取經由HTTP 表單所傳送的資料
• 竊取存放 Windows Protected Storage的帳號密碼資料
– Microsoft Outlook, Microsoft Outlook Express, Internet
Explorer表單資料
•
•
•
•
竊取FTP以及POP之帳號密碼資料
將Victim欲瀏覽的網頁轉向駭客所指定的網頁
瀏覽Victim電腦，並竊取檔案
蒐集Victim電腦系統資訊
– 作業系統版本、Service Pack、語言…
56
5. BotNet是SPAM郵件主要來源
• 研究人員發現感染Bot的電腦為83.2% SPAM郵
件的主要來源
http://www.internetnews.com/security/article.php/3827546/Botnet-BlightHacked-PCs-Create-832-of-Spam.htm
57
7. BotNet可用於大量安裝廣告軟體
• 殭屍電腦會自動下載並安裝廣告軟體，惡意軟體
會分析使用者的瀏覽網站習慣，不時彈跳廣告畫
面，或誘導使用者瀏覽特定網站
58
BotNet的入侵、擴散、連結
• 入侵
• 擴散
• 與C&C伺服器連線
1. Bot透過各種管道讓使用者執行安裝
1. SPAM
2. IM/P2P
3. 網頁瀏覽/無界
(釣魚網站)
4. 社交網站
5. 使用者攜入USB
6. 自行安裝偽裝正常程式之木馬
Mass SQL Injection來襲，百萬網址受駭
2. 透過Client Side
漏洞直接入侵植入Bot (1/2)
檔案格式漏洞入侵
1. 當存有client-side
漏洞的電腦 讀取
惡意格式
PDF、Word、
Flashplayer等檔案
時就會自動遭到植
入bot而不自知
2. 透過Client Side
漏洞直接入侵植入Bot (2/2)
瀏覽器漏洞入侵
2. 當存有client-side
漏洞瀏覽器瀏覽惡
意網站時就會自動
遭到植入bot而不自
知
BotNet的入侵、擴散、連結
• 入侵
• 擴散
• 與C&C伺服器連線
3. 掃瞄同網段電腦擴散
• 遭感染的殭屍電腦會
掃瞄同網段的其他電
腦入侵，以擴大版圖
– 入侵存在系統漏洞的
電腦
• 因不經過防火牆，可直
接利用Server Side及
Client Side漏洞
– 入侵使用懶人密碼的
電腦
65
4. 用盡各種辦法穿透防火牆擴散
• Bot會用盡各種辦法
穿透防火牆擴散
– SPAM
– IM
– 社交網站 (Youtube、
Facebook、Twitter)
BotNet的入侵、擴散、連結
• 入侵
• 擴散
• 與C&C伺服器連線
5. 與C&C伺服器連線(1/2)
• 當主機感染bot成為
殭屍電腦後，會定期
與C&C伺服器連線
– 接受駭客的指令
– 機密資訊經由C&C伺
服器輾轉外洩
5. 與C&C伺服器連線(2/2)
• 殭屍電腦與C&C伺服
器連線管道
–
–
–
–
–
IRC
IM/P2P
Tunnel
社交網站
HTTP/ HTTPS
傀儡網路改用臉書控制
•
新聞來源:iThome
•
校園學術網路中，2010年初估有6成以上的電腦，都曾被植入惡意程式，淪為傀儡網路，目前發現，已經
有駭客開始利用社交網路，例如改以臉書報到取代以往IRC的報到功能，迴避現行防毒軟體的偵測與封鎖
•
負責控管學術網路（TANET）的國家高速網路與計算中心副研究員蔡一郎表示，校園學術網路中，2010年
初估有6成以上的電腦，都曾被植入惡意程式，淪為傀儡網路（Botnet）。蔡一郎表示，從學術網路使用
的狀況中也發現，已經有駭客開始利用社交網路，例如改以臉書報到取代以往IRC的報到功能，迴避現行
防毒軟體的偵測與封鎖。
•
所謂的「報到」指的是，駭客會從指令與控制伺服器（Command and Control Server）下指令，要求傀儡
電腦回應指令，例如在臉書按讚等，以確認傀儡電腦的有效性。
•
•
蔡一郎說，觀察這個擔任傀儡網路報到的臉書帳號，塗鴉牆留下的語言都不是人類的語言，都像是下指令
的程式語言，而該臉書使用者的朋友們，也都不像有正常活動，都像是機器人程式一樣，彼此沒有互動，
卻會定期出現看不懂的指令語言。他指出，長期觀察發現，這樣的臉書就是駭客�峔茩n求其他傀儡網路報
到的指令與控制伺服器。
•
•
除了利用社交網路外，賽門鐵克中國區技術支援部首席解決方案顧問林育民也說，在2011年，該公司也發
現，陸續有駭客利用P2P的通訊協定作為傀儡網路報到的工具，而非使用常見的P2P工具，因為許多公司
都封鎖常見的P2P軟體，但不一定封鎖未知的P2P通訊協定。林育民認為，傀儡網路P2P通訊協定報到將會
是2011年駭客最常使用的手法之一。文☉黃彥棻
如何自保？
個人使用上網系統與機密系統雙系統
隔離
使用具私密碟的隨身碟
避免使用線上交易
或採用指定帳戶轉帳
71
75
76
77
78