台湾网路安全攻击反应时间:172小时 三月中的转址攻击事件(
CNET/ZDNet与MSN网页遭转址攻击),在经过整整一个多月后,才终于在ISP、网站业者及安管人员互踢皮球中落幕。这次事件揭露出台湾网路服务提供者轻忽对待客户遭遇资安问题的恶质现象。这次的事件和今年底以来如
GhostNet的案例,都显示出台湾网路安全问题严重。这几起事件看起来都还处于实验阶段或是还在筹备状态,因此没有造成大规模的破坏性后果。但是从相关单位和业者息事宁人的态度来看,这些漏洞还是放在那里等人利用。一旦这批攻击者找到获利模式,或是为其BOT NET找到买家,那后果就严重了。
多数人的资安概念还限在于自己电脑的末端防护。但是在现今网路为主体的时代,网路骨干上一出问题,照样被拖下水。
台湾网路安全攻击反应时间:172小时〈摘自
兔眼看天下〉
将来如果有机会编写台湾IT年表,2009年3月应该很有机会榜上有名。
许多人在3月3日一觉醒来,凡是首页设为msn.com.tw的使用者,肯定会惊慌了起来,因为熟悉的MSN首页不见了,取而代之的是看起来一片乱码的网页。但是看看网址列上的位址:msn.com.tw,是MSN没错啊,难道连微软网站也失守被骇客入侵了吗?
自此后两个礼拜,台湾网路界、安全界开始展开一段史上从未如此峰回路转的惊异大奇航,本刊网站也在第一时间独家报导MSN、台湾C|Net、ZDNET(这两个网站是同一家公司)遭到大规模转址的安全事件。
一场攻击行动+反应迟缓的官方
这场网路追追追的行动之所以如此令人惊异,是因为在黄金72小时的时间内,所有外围人员如媒体、安全业界始终错估原因,从DNSSpoofing到ARP挂马,从新加坡网路怀疑到中华电信网路,始终无法真正找出攻击发动的源头,也没有人能够提出统一理论足以完美解释所有发现的证据与线索。
就连本刊报导,也从原先预估为DNS Spoofing攻击订正为路由器漏洞,后来也发现并非路由器本身的问题。
事实上,根据某Cisco路由器专家的检测后发现,此次攻击发动的源头,应该是路由器在mirror port上的网路装置如IPS等Layer4设备遭到入侵所致。由于高阶Layer4设备本来就具备解析、插入、重组封包的能力,因此能够轻易实现本次网页转址攻击中,在正常封包前插入转址指令的特征。
为求验证,某位不具名安全专家特地架设实验室环境,以路由器+IPS成功重现相同的网页转址攻击。
谜题解开后,中华电信也赶紧处置骨干网路网段内可能出现问题的Layer 4设备,该网页转址攻击事件就此平息。
但真正的问题才刚开始浮现,在这场攻击之中,由于成因未明,故各单位相互推拖,ISP将推给网站,网站又推给使用者自己中木马;等到成因渐渐浮现,问题可能出在网路供应商身上时,中华电信推给新加坡电信,新加坡电信又将问题丢回给中华电信;回报给台湾官方单位时,却得到「转转址而已,又没发生事情」的回应而轻忽以待。
换句话说,整个台湾网路安全界,在将近2个礼拜的时间内,均笼罩在「转址攻击何时会大规模爆发」的阴影中,直到该攻击看似又无声无息地消弭为止。
3月底,有史以来被查获最为庞大的间谍网路-鬼网(GhostNet)意外曝光,台湾网路深受其害,是否为各单位长期以来姑息养奸的心态所养出来的呢?
