臺灣網路安全攻擊反應時間:172小時 三月中的轉址攻擊事件(
CNET/ZDNet與MSN網頁遭轉址攻擊),在經過整整一個多月後,才終於在ISP、網站業者及安管人員互踢皮球中落幕。這次事件揭露出台灣網路服務提供者輕忽對待客戶遭遇資安問題的惡質現象。這次的事件和今年底以來如
GhostNet的案例,都顯示出台灣網路安全問題嚴重。這幾起事件看起來都還處於實驗階段或是還在籌備狀態,因此沒有造成大規模的破壞性後果。但是從相關單位和業者息事寧人的態度來看,這些漏洞還是放在那裡等人利用。一旦這批攻擊者找到獲利模式,或是為其BOT NET找到買家,那後果就嚴重了。
多數人的資安概念還限在於自己電腦的末端防護。但是在現今網路為主體的時代,網路骨幹上一出問題,照樣被拖下水。
臺灣網路安全攻擊反應時間:172小時〈摘自
兔眼看天下〉
將來如果有機會編寫臺灣IT年表,2009年3月應該很有機會榜上有名。
許多人在3月3日一覺醒來,凡是首頁設為msn.com.tw的使用者,肯定會驚慌了起來,因為熟悉的MSN首頁不見了,取而代之的是看起來一片亂碼的網頁。但是看看網址列上的位址:msn.com.tw,是MSN沒錯啊,難道連微軟網站也失守被駭客入侵了嗎?
自此後兩個禮拜,臺灣網路界、安全界開始展開一段史上從未如此峰迴路轉的驚異大奇航,本刊網站也在第一時間獨家報導MSN、臺灣C|Net、ZDNET(這兩個網站是同一家公司)遭到大規模轉址的安全事件。
一場攻擊行動+反應遲緩的官方
這場網路追追追的行動之所以如此令人驚異,是因為在黃金72小時的時間內,所有外圍人員如媒體、安全業界始終錯估原因,從DNSSpoofing到ARP掛馬,從新加坡網路懷疑到中華電信網路,始終無法真正找出攻擊發動的源頭,也沒有人能夠提出統一理論足以完美解釋所有發現的證據與線索。
就連本刊報導,也從原先預估為DNS Spoofing攻擊訂正為路由器漏洞,後來也發現並非路由器本身的問題。
事實上,根據某Cisco路由器專家的檢測後發現,此次攻擊發動的源頭,應該是路由器在mirror port上的網路裝置如IPS等Layer4設備遭到入侵所致。由於高階Layer4設備本來就具備解析、插入、重組封包的能力,因此能夠輕易實現本次網頁轉址攻擊中,在正常封包前插入轉址指令的特徵。
為求驗證,某位不具名安全專家特地架設實驗室環境,以路由器+IPS成功重現相同的網頁轉址攻擊。
謎題解開後,中華電信也趕緊處置骨幹網路網段內可能出現問題的Layer 4設備,該網頁轉址攻擊事件就此平息。
但真正的問題才剛開始浮現,在這場攻擊之中,由於成因未明,故各單位相互推拖,ISP將推給網站,網站又推給使用者自己中木馬;等到成因漸漸浮現,問題可能出在網路供應商身上時,中華電信推給新加坡電信,新加坡電信又將問題丟回給中華電信;回報給臺灣官方單位時,卻得到「轉轉址而已,又沒發生事情」的回應而輕忽以待。
換句話說,整個臺灣網路安全界,在將近2個禮拜的時間內,均籠罩在「轉址攻擊何時會大規模爆發」的陰影中,直到該攻擊看似又無聲無息地消弭為止。
3月底,有史以來被查獲最為龐大的間諜網路-鬼網(GhostNet)意外曝光,臺灣網路深受其害,是否為各單位長期以來姑息養奸的心態所養出來的呢?
