這一陣子有關 Twitter、Facebook 這類社交網站最紅的新聞莫過於因為一個使用者的關係,進而遭受到阻斷服務攻擊而影響了網站的服務。相較於這些新聞,另外一個新聞似乎就沒甚麼人討論。在這個新聞中, Twitter 從受害者搖身一變成了加害者(或者說是幫兇)。
阻斷服務攻擊通常都是透過殭屍網路 (botnet) 發動,這些大量又聽話的殭屍,確實很容易對被攻擊目標造成相當程度的影響。嚴格來說,這些殭屍本身也是受害者,我們通常稱之為次要的受害者(Secondary Victims),而遭受殭屍網路攻擊的目標則稱之為主要受害者(Primary Victims)。殭屍存在的目的之一就是進行阻斷服務攻擊,而為了遂行這些目的,就需要有辦法讓惡意分子對其進行控制 (Command and Control)。這些控制的機制,從早期的Client-Server、Agent Handler(多層次的Client-Server)到利用IRC、P2P網路進行指令的下達。
根據國外的消息指出,從7/4 (美國國慶日) 以來,美國與南韓的一些網站陸續受到網路攻擊。這些受攻擊的網站分屬於政府 (White House、U.S. State Department ) 與民間單位 (Yahoo Finance、New York Stocck Exchange、Washington Post),而受到的攻擊模式則為中型規模的分散式阻斷服務攻擊 (Distributed Denial of Service Attack – DDoS Attack)。這類攻擊利用被後門程式所控制且數量眾多的僵屍電腦,同時對攻擊目標產生大量的服務請求,進而導致攻擊目標無法應付而失效。攻擊的原理並不複雜,而且因為分散的特性,幕後黑手的隱密性相當高。再加上目前已經有駭客組織透過控管的僵屍網路,提供各式各樣的客製化”服務” (其中就包含發動分散式阻斷服務攻擊),更使得有心分子很容易就可以對目標造成傷害。而這類看似簡單的攻擊,要有效加以防範其實並不容易,至於目前假設的幕後黑手包含北韓與中國。
安全專家特別指出如果美國政府對於這樣的攻擊都無法防禦,那麼在面對更複雜的攻擊時,受影響的程度將更加嚴重。而且如果攻擊的目標不是一般對外服務的網站,而是一些民生基礎建設的平台 (如發電廠),那麼後果將不堪設想。這些事情其實每個政府應該都知道,甚至很多從事相關工作的團體或個人也都知道,但是很多時候總要事情發生過了才會有人注意到事情的嚴重性。所以 911 攻擊事件、卡崔娜颶風、乃至去年底經濟衰退都帶給我們很大的震撼。衷心希望有些事情我們不需要受傷後才知道痛,因為有時候受傷的代價是很高的。
SANS 於上周一公布了一份稱之為 Consensus Audit Guidelines (CAG) 的草案。這份集結各方資安專家(包含 NSA 的 Red & Blue Team、US-CERT、DoD與其他官方/民間的團體)意見的草案,主要希望列出資訊安全中最重要的20種控制措施,讓相關從事人員能夠有一個明確的指標可以知道有哪些事情需要去落實,又如何可以確認落實的程度。所以其中的15種控制措施,都可以也應該用自動化的方式,不斷地加以確認落實的程度。當然,除了可以當作從事人員的行動準則,同時也可以當作稽核的依據,所以稱之為 Consensus Audit Guidelines。
這20種控制措施分別為:
根據 McAfee Avert Labs 提供的消息指出,有攻擊者利用 Google Trends 的功能,找出目前最流行的100個查詢關鍵字。之後則針對排行在這些關鍵字前面的網站,找尋目標網站進行複製的動作。複製之後,要如何讓自己出現在關鍵字的查詢結果畫面中?當然不是靠買 Google 的廣告。靠的是利用大量被控制的網站,將假網站的連結注入這些被控制的網站中。
因為 Google 搜尋引擎的排行方式,有一大部分的比重來自於其他網頁連結過來的數量,所以大量被控制的網站注入假網站的連結,表示這個假連結的排行就可以急速衝高。除非使用者本身是查詢一些如破解軟體或非法下載的關鍵字,所以會因為預期這些網站不懷好意而多加小心,否則一般使用者對於 Google 的搜尋結果(尤其是前幾筆的資料)通常不會加以懷疑。再加上網頁已經複製的跟原來網站一模一樣,使用者很容易就陷入了陷阱。陷入陷阱之後呢?當然就是任人宰割了。
SaaS (Software as a Services) / PaaS (Platform as a Service) 這一兩年的火紅程度,跟虛擬化不相上下。當然,秉持有一好沒兩好的原則,SaaS/PaaS再好、再火紅、再如何符合潮流,依舊不能讓我們忽視它們潛在的問題。在我之前的文章 - 你準備好降落傘了嗎? - 談雲端運算的安全議題 - 中,我們看到七個相關技術導入的安全風險。其中第七個,也可能是危害程度最大的一個,就是服務商的永續性。
在日前,一家 PaaS 廠商 Coghead 宣布因為景氣的關係,必須將原有的服務停止。碰!中獎的人第一時間的反應可能是欲哭無淚吧。當然,這時候一定會有其他聞香而來的同業,打算給這些落難者一些關懷,協助他們度過難關。而更重要的事,就是讓這些受到嚴重打擊的人成為自己的新客戶。至於會不會再次成為落難者, Who KNOWS? or Who CARES?
根據外電的報導,駭客已經開始利用假造的違規停車罰單導引受害者前往特定的網站。而這個假冒的網站,除了會下載病毒外,也會要求使用者安裝假冒的防毒軟體。報導中並沒有說明受害者受到的損害程度,但是我想那個並不是最重要的問題。因為當病毒已經下載完成,甚至連假的防毒軟體都已經安裝,能夠達到甚麼程度的危害,就端看駭客的”良心”與技術了。
其實台灣的詐欺犯也常利用假冒的法院公文或其他政府文件來達到詐欺的目的。但是這個方法,實際上並不是要你作轉帳出去這類”很可疑”"的行為。而是只要當你想要確認這張罰單的真實性與是否確為自己所擁有的車輛時,就已經遭受了攻擊。更何況,假造一個網站比假冒一個單位更加容易,也更不容易被識破(現在不少詐騙集團的電話人員很容易被套出來)。所以這類結合實體的線上詐欺行為,可以達到不錯的功效,其變形應該也會陸續出現。
Dell,這家靠著Build-to-Order策略拿下全球PC出貨亞軍的公司,這回也跟資安沾上了邊。Dell打的主義,就是利用電腦回收來賺錢。理論上,有多少的電腦出貨就應當有多少的電腦需要回收(只是時間的問題),所以數量有多大,我只能說超級大。其實這個並不是Dell最近才推出的業務,但是因為相關議題的被重視,所以Dell自然得趁勢好好地推銷一下。
在 看不見就等於不存在? - 如何安全刪除檔案 這篇文章中,我簡單帶到該如何刪除硬碟內的資料以及未正確刪除資料所可能面臨的問題。不但對個人如此,對企業而言所面臨的風險更加嚴重。所以對於資訊設備的汰換,應該有一定的處理流程,以確保公司的資料不會在外流浪。而Dell想做的,就是用一個完整的程序幫企業處理不用的舊資訊設備。當然,現在流行的Green-IT,自然也沒被Dell放過。回收品都會被取出所有可回收的部分加以利用,甚至有可能可以直接轉賣舊的元件給第三方(企業跟Dell是91分帳)。所以不但可以達到安全的報廢處理程序,也兼顧了環保,真是一舉兩得。此外,完整的處理程序紀錄,也可以達到符合資安政策或規範的要求。
