資訊安全現狀介紹  與資安攻擊案例分享
Introduction to information security situation and sharing of information security attacks
資訊安全現狀介紹與資安攻擊案例分享

■文/內政部消防署 趙郁婷
■圖/趙郁婷提供

  105年7月9日至10日,國內知名銀行多臺ATM遭盜領金額共約7,000餘萬元,是國內第1 起大型ATM盜領案。經調閱監視影像,發現嫌犯在未操作ATM 的情況下,即可自ATM 盜領現鈔,警方初步研判可能遭植入惡意程式執行吐鈔,引起社會譁然,也使民眾開始正視資安議題。

壹、前言

  內政部消防署為遂行災害防救工作,近來建置相關資通訊系統,如防救災雲端計畫資訊系統之下建立共通與基礎服務平臺(提供雲端機房與資料庫架構等系統底層服務)、資料服務平臺(介接各部會防救災情資並提供開放資料服務)、應變服務平臺(應變中心核心運作功能,使用者操作區提供災情管制、搜索救援、疏散收容及親友協尋等功能)與訊息服務平臺(透過單一平臺對多個媒體管道發布即時災害預警消息,包含簡訊、電視跑馬燈、電臺廣播、電子看板等)。又鑑於近來資安事件頻傳,為使系統運作順遂,消防署積極採取相關資安防範作為。
■防救災雲端計畫資訊系統架構。
貳、消防署資安現況概述

  一、落實資安規定
  依據行政院頒訂之「政府機關(構)資通安全責任等級分級作業規定」,消防署為A 級機關,依規定需辦資訊系統分類分級、ISMS 推動作業、資安專責人力、內部稽核、業務持續運作演練、防護縱深、監控管理、安全性檢測、資安教育訓練(一般主管、資訊人員/資安人員、一般使用者)、專業證照等事項,如下表所示。

  二、通過第三方驗證
  消防署自2011年起導入ISO 27001資訊安全管理系統(Information Security Management System, ISMS),持續改善,並於2013年11月以消防署、4樓資通訊機房及防救災雲端計畫系統為範圍,通過國際ISO 27001:2013第三方驗證;2015年12月通過複審。資訊安全管理制度已於消防署行之有年,持續每年進行風險評鑑、資訊安全管理審查及風險改善處理,資訊安全作業已逐漸邁向成熟、穩健且進一步內化成組織文化。
■消防署ISO 27001:2013 國際資安認證。
  三、委請專業廠商
  消防署委請擁有資訊安全監控中心(security operation center)之優良資安廠商整併署內現有各種資安設備,結合大數據多角化分析軌跡資料,達成資安設備相互聯防的效果。一旦署內發生資訊安全事件,即遵循層報機制,通報至國家資通安全科技中心以及內政部,以達機關間資安聯防之目的。
■消防署資通安全通報程序。
■通報及應變作業流程圖。(摘自行政院資通安全會報網站)
  四、加強教育訓練
  為落實資訊安全,人員觀念必須跟上時代腳步,消防署每年皆辦理資訊安全教育訓練,議題涵蓋公務資訊安全、社交工程、行動裝置安全、委外廠商管理、國際議題及最新資安資訊等,期透過多面向的資訊提升同仁資安綜合知識與正確資安觀念,達到長期降低資安事件數量並持續維持之成果。
■消防署聘請專業講師講述最新科技新知與衍伸資安議題。
參、新型態攻擊方式介紹-勒索病毒

  鑑於新型態資安攻擊方式對資訊安全造成顯著威脅,包含新品種病毒在世界各地流竄綁架個人電腦主機,或複合型攻擊模式癱瘓伺服器主機等,除透過政府網路入侵公務電腦外,亦可能透過個人私務主機感染USB 隨身裝置後,間接感染公務主機,造成無法挽救的結果,特撰本文以消防署案例說明近期肆虐的攻擊方式,再結合新科技討論未來可能誕生的攻擊模式,最後分析使用者可以做到的自我保護,期減少由於資訊流動速度差異導致的資安攻擊事件,進而提升讀者資安敏銳度,自根源杜絕或大幅降低遭惡意攻擊者攻陷之可能。

  一、案例
  105年2月消防署使用者向資訊人員回報檔案名稱皆變成亂碼,無法開啟,資訊人員前往查看後發現使用者的檔案名稱皆呈現如下圖之無意義亂數,試圖將副檔名變更為有意義之名稱如.doc 或.ppt 仍無法開啟,推測可能遭到勒索病毒感染,感染前後對照圖如下:
■中毒前的檔案示意圖
■中毒後的檔案示意圖。
■被勒索病毒感染時會出現典型的勒贖資訊。(擷取自網路)
  惟受到勒索病毒感染的特點之一為必須出現勒贖資訊,該使用者電腦未出現這些資訊,資訊人員為確認原因,請資料救援廠商協助判定是否有可能屬於其他軟硬體問題可以修復,但得到否定的答案。

  由於未出現勒贖資訊,難以判定該病毒屬於那一隻勒索病毒家族,資訊人員尋找國內外網站的多種解毒方案分別套用,遺憾皆不是該名使用者感染的病毒類型,未能將檔案還原。

  經查該名使用者平日會將隨身SD卡插入電腦中傳輸某些檔案,由於該隨身SD卡常時連接在電腦中未拔除,發現中毒時,隨身SD卡的檔案亦遭感染,使用者又無其他用於備份的媒體如隨身硬碟等,一旦檔案救援不成,則無任何挽救的方法。

  不幸中的大幸是,這隻勒索病毒僅感染系統碟(此案例為C 槽),並未感染到另一個磁碟機(此案例為D 槽),尚餘某些檔案未被加密,信件的檔案也未放在系統碟,幸運的被保留了下來。資訊人員備份使用者D 槽資料後,避免再度中毒,為使用者更換新電腦。

  二、分析
  (一)勒索病毒是透過綁架檔案,向受害者要求贖金以釋回的新型態攻擊模式,入侵方式如下圖。

  勒索病毒為近期較為猖獗的攻擊方式,於2013年前,勒索病毒主要攻擊的方式是將電腦桌面上鎖,要脅使用者付贖金方才讓使用者回到桌面,由於重灌或繞過即可解決,受害的使用者通常不會埋單,此模式對於網路地下經濟而言成效不佳。故於2013年9月起,新型態勒索病毒問世,係結合加密技術(通常是2048 位元之RSA 或AES 加密方式),不再上鎖桌面,逕行將使用者電腦上的所有檔案加密上鎖,要脅使用者支付贖金方可解開,由於加密方式複雜,僅能使用金鑰解密,難以使用暴力破解還原檔案,某些勒索軟體甚至會提供解密程式供使用者試用以解密數個檔案,增加使用者付贖款信心。該種新型態勒索方式得到相當大的成效,各行業皆有受駭,FBI 甚至曾言若中勒索病毒導致檔案被加密,最快的方法是付錢消災,引起眾人譁然。勒索病毒主要透過以下幾種模式傳播:

  1. 電子郵件:勒索病毒最主要攻擊方式係透過電子郵件夾帶惡意連結或檔案,利用聳動標題誘使使用者開啟,便即透過該惡意連結連上駭客架設之網站(中繼站),自動下載惡意程式並感染電腦檔案。常見的做法之一為於信件內文中插入帶有惡意連結的圖片,使用者開啟郵件自動載入圖片時,即下載惡意檔案使電腦受害,另一種作法為夾帶惡意檔案,夾帶檔案中又以office 檔案類型為大宗(即副檔名為.doc 及.xls之檔案),與傳統觀念中不要點開副檔名為.exe 就不會中毒的想法有大幅落差。

  2. 網路連結:網路惡意連結是惡意軟體流竄的主要管道之一,勒索軟體為其中的一種,往往藏身於風險較高的網站中,這類網站會使用各種噱頭吸引使用者前往觀看,內容自遊戲、情色、防毒、政府、新知等不一而足,難以就內容預判並防範。
  
  為減少誤連惡意網站遭駭的機率,建議安裝可信任的網頁信譽評等以及廣告阻擋外掛程式,不熟悉的網站則避免連結。

  3. 社交網路(可歸屬於網路連結的一種):近期使用社交網路平臺(如臉書facebook 或是推特twitter)分享連結的方式散播勒索病毒的情況加劇,利用合法掩護非法,將惡意廣告連結置入社交網路平臺,或分享含有惡意連結的文章,欺騙使用者點閱觀賞。

  (二)防範
  綜觀前述勒索病毒案例與入侵管道,可推得相對應之防範方式以降低惡意攻擊成功入侵之機率,對應前述各項傳播模式,說明防範方式如下:

  1. 避免開啟來路不明之電子郵件。
  既然電子郵件社交工程為惡意程式進入機關的管道,為避免發生該類事件,消防署採用以下3 種做法:

  (1)宣導正確觀念
  消防署定期舉辦教育訓練,宣導正確觀念,即公私分明,不應於公務信箱收私人信件,亦不應用公務電腦收私人信件或做私人娛樂用途;不明寄件者之信件皆不應該開啟,標題與公務無關的信件亦不應開啟。
■電子郵件連結的範例。

  電子郵件有時會夾帶連結,於開啟連結前應先確認連結為可信任網站才予以開啟,將滑鼠移至連結上方(不要按下)等待連結網址提示出現,若網址為非常見的域名,除非確信為正常網站則盡量不要開啟。

  (2)收信正確的設定
  消防署定期發通報宣導電子郵件收信時相關收信軟體的正確設定方法,Microsoft Outlook之設定方法,例如不自動下載圖片(檔案→選項→信任中心→信任中心設定→自動下載→勾選不自動下載HTML 電子郵件訊息或RSS 項目中的圖片),不自動預覽附件(檢視→讀取窗格→關閉)等。

  除電腦收信時的設定外,由於同仁時常有外勤的需要,消防署亦宣導以手機收信時的設定方式如Android 系統應將顯示圖片取消勾選(依手機型號可能有部分差異:設定→管理帳號→選擇自己的帳號→更多設定→取消勾選顯示圖片);或是iOS 系統應停止載入遠端影像(設定→郵件、連絡資訊、行事曆→預覽預設為無→關閉載入遠端影像)。

  (3)定期演練
  為維持同仁對資安攻擊的高度警覺性,內政部每年皆舉辦2 次電子郵件社交工程演練,時間分別於4月及9月,挑選與公務無關,新鮮有趣並切合時事之主題,夾帶連結、圖片與檔案誘使警覺性較低的同仁開啟。
  另為增加同仁之警覺性,消防署除辦理教育訓練並宣導正確觀念與設定方式外,亦配合內政部演練於前期加強辦理電子郵件社交工程演練,點選人數皆呈下降趨勢。
■電子郵件社交工程演練測試信範例。
■消防署歷次社交工程演練結果。

  2. 備份很重要
  於先前案例中,我們可以看到使用者因沒有備份習慣,或是將存有重要檔案的隨身碟常時插在電腦中未拔除,導致檔案無法還原,消防署於該案例發生後即通報同仁務必將重要檔案備份,以下提出幾點備份建議供參:

  (1)定期備份重要檔案
  由於勒索病毒幾乎是無解的,備份就成為很重要的自我保護手段,除了用自己購買的設備如隨身碟、隨身硬碟等備份檔案資料,亦可用雲端硬碟的空間備份資料(如Google drive 或Dropbox)。
■ WOT 網頁信譽評等外掛程式。
■ AdBlock 廣告阻擋外掛程式。

  (2)存放重要備份檔案的媒體使用後必須移除
  案例中的使用者其實會將常用的文件資料放在隨身碟,只是於備份後並未將隨身裝置移除而繼續插在電腦上,故電腦中毒時,連接在電腦上的隨身裝置也難逃一劫。請記得備份完後一定要將裝置移除,不要繼續連接在電腦上,至於系統碟備份到資料碟這種事(或說是C 槽備份到D槽)也不要做,到時備份好的檔案一併被勒索病毒上鎖時只能欲哭無淚。

  (三)避免任意開啟網路連結,使用可信任之網頁信譽評等功能與廣告阻擋程式如同前述所提,於開啟連結前應先確認連結為可信任網站才予以開啟,將滑鼠移至連結上方(不要按下)等待連結網址提示出現,若網址非常見的域名除非確信為正常網站則盡量不要開啟。

  一般坊間之防毒軟體多半有網頁信譽評等及廣告阻擋之功能,若不想額外花費採買防毒軟體,可下載信任度高的相同功能外掛程式達到同樣目的,例如Google Chrome 瀏覽器的WOT(Web Of Trust)即是網頁信譽評等的外掛程式,而AdBlock、AdBlock Plus 及uBlock Origin 則是阻擋廣告的外掛程式。

肆、結語

  科技日新月異,資安攻擊方式也推陳出新,令人防不勝防,消防署為防救災機關,又兼為「政府機關(構)資通安全責任等級分級作業規定」A 級機關,如何於防救災與資訊安全中取得平衡,是持續努力的重點,消防署致力於將資訊安全觀念深化至各同仁心中,以達推行消防署資訊安全並減少資安事件之效。