圖片來源: 

台積電

台積電爆發了臺灣史上最大的資安事件,一支WannaCry變種病毒癱瘓了全臺各地廠區多條生產線,預估營收損失高達52億元。台積電在事件發生後,一連多次公告來說明事件原因和影響,甚至台積電總裁魏哲家接同多位主管,親自對外召開說明會。

台積電啟動緊急應變作業,不到三天全臺所有產線就完全恢復生產,獲得不少好評,但從這次中毒事件,也暴露了台積電內部資安防護上的幾項風險。

之所以發生這起資安大事件,第一個出問題是供應商。為何來自供應商的新機臺,竟然一出廠就內藏了病毒?台積電在記者會上沒有回答這個問題,只說明他們還在追查中,也沒有說明問題機臺來自哪一家廠商,甚至是哪一種用途的機臺都不願透露。

台積電產線大規模中毒關鍵6因素

擔任第一道資安防線的供應商把關不巖,導致病毒夾帶在新機臺中,潛入了連一支USB都不能帶進場的台積電晶圓廠,供應商得負起一定的責任,這是供應商管理的議題,這是造成中毒的第一個關鍵因素。

但對企業來說,也不能全然將自家安全放在別人的手上。因此,無論如何,新機臺進廠,企業也需自有一套檢查措施,來確保進場的設備沒有問題。台積電也是如此,甚至,魏哲家自己都承認,機臺內有病毒不是正常現象,「每個行業都應該自己先對機臺設備做防毒處理,這是基本機制。」他在記者會上坦言。

台積電的確有一套嚴密的新機臺檢查作業程序,擔任第二道防護關卡,而且是已經用於台積電各地廠房,安裝了數萬次新機臺。但在一萬次中,就出現了一次SOP操作疏忽,安裝人員在掃毒之前,就將新機臺先連上網路,這是中毒釀災的第二個關鍵因素。

機臺離線掃毒並不困難,就算新機臺中沒有安裝防毒軟體,防毒軟體公司也有USB形式的掃毒棒,只要安裝到機臺上,就可以自動掃毒,不用在機臺上安裝程式。

對許多病毒而言,先掃毒再開機,或是先開機再掃毒的防護或偵測效果是一樣的,端看防毒軟體能否偵測出病毒,但是對於WannaCry勒索軟體這支病毒,這兩者卻有天壤之別。

因為WannaCry勒索軟體是一支具有主動感染功能的電腦蠕蟲,甚至會像系統預載程式一樣,只要已感染的電腦一開機,短短幾分鐘內,就會開始掃描同一網路上的其他電腦,一發現有SMB漏洞的電腦,就以EternalBlue攻擊程式主動入侵感染那一臺電腦。台積電維修人員這一個違反SOP的小動作「先連網再掃毒」,就讓這支蠕蟲病毒,有了可趁之機,開始發動攻擊,入侵其他電腦。這是第三個中毒關鍵因素,遇上一支自動感染的WannaCry蠕蟲。

第四個釀災關鍵因素是,台積電為了效率,將北、中、南各地廠房都串連到一個大型網路中,稱為生產內網。雖然有別於企業OA內網,生產內網不只和外部網路隔離,也和OA內網隔離,但是在生產內網內,對於WannaCry蠕蟲所利用的445埠通訊,缺乏有效阻擋的機制,因此WannaCry蠕蟲如入無人之境,可以一臺臺感染、擴散到各地。

第五個中毒關鍵因素是,台積電許多機臺設備採用的作業系統是Windows,尤其這次受害的機臺主機是Windows 7。儘管這個Windows不一定是標準版本,而往往可能是廠商自行修改客製後的版本或是嵌入式版本等,但對於SMB這類基本的445埠服務,也大多有支援。因此而成為WannaCry蠕蟲可以攻擊的對象。

最後一個中毒關鍵是,這些採用Windows 7系統的機臺主機,沒有更新到SMB漏洞的修補程式,而讓WannaCry可以成功入侵來感染。

這六個中毒關鍵因素,只要有一個失效,就可以成功阻止感染,也就不會發生如此大規模的災情。

其中,眾人最不解的是,WannaCry勒索軟體早在去年5月就引起全球大感染,微軟也早就釋出了Windows作業系統的SMBv1/SMBv2(Server Message Block)漏洞修補程式。換句話說,就算是WannaCry變種,若都是鎖定同樣的445埠來發動攻擊和感染,只要更新作業系統,就能避免感染。儘管台積電產線滿載,想要挪出空檔時間停機來升級OS,的確是一件挑戰。但病毒現身至今,足足超過了1年,外界對台積電遲遲還未更新Windows 7的SMB漏洞而十分不解。

一般企業OS環境中的電腦,只要排定更新時間,不影響日常作業下,就能更新,若是像是執行關鍵系統的底層OS要更新程式,則得費一番功夫,先做更新模擬,例如銀行圈會先在安裝同樣軟體和系統的測試機上升級,執行一段時間來觀察,更新程式是否穩定,才會著手升級線上系統,也就是說,這不是無法執行的難題。圖片來源/台積電

台積電總裁魏哲家坦言,一來得挪出可關閉機臺的時機,二來還得找到機臺原廠才能想辦法進行更新,這是台積電Windows 7更新無法完全到位的原因。

 

機臺OS更新3大難題

不過,臺灣趨勢科技技術顧問簡勝財表示,對高科技製造業而言,想要更新機臺OS,不是一件容易的事。常見有三大難題,第一是,許多老舊機臺設備往往使用多年,供應商早已不再提供支援,IT人員想要升級,會擔心發生問題無人可協助而不敢進行。第二是,企業採購機臺設備時,往往是軟硬體整套購買,包括內部軟體、周邊硬體和OS。為了避免影響設備的效能或功能,供應商甚至不會開放OS權限或禁止企業IT人員安裝任何軟體或工具,除非供應商自行釋出更新,否則,科技業IT部門很難對這類機臺的OS自行升級。第三種則是許多機臺採用的不是標準OS,而是客製後的嵌入式Windows版本,但微軟釋出的更新往往以標準版為主,這類機臺也需要供應商才能處理,IT人員也不敢擔保升級後會不會造成機臺問題。

甚至一位在南科擔任過半導體廠長的業界主管坦言,許多機臺廠商在OS上還安裝了各自獨特的硬體驅動程式,微軟更新程式的相容性測試,根本無法涵蓋到這類產業專用的特殊硬體驅動程式。貿然升級微軟的驅動程式,是否會造成系統衝突而當機,IT往往沒人敢擔下這個責任。

所以,魏哲家在記者會上才會坦言,台積電機臺更新進度的確比較慢,一來得挪出可以關閉機臺的時機,二來還得找到機臺原廠,才能想辦法進行更新,這是台積電Windows 7更新無法完全到位的原因。不過,他還是承諾會想辦法找出時機來解決此問題。但在這之前,台積電生產網路環境中的Windows 7機臺,仍舊處於不設防的高風險狀態。這也更加凸顯了,企業得搭配其他防護機制或多重資安措施的重要性,例如防火牆隔離、網路攻擊流量偵測、或是更嚴格的應用程式白名單管制、也能搭配虛擬補丁的措施等,在OS更新空窗期間加強防護。

高科技業者機臺設備的更新任務,比起一般企業IT主機或者是OA環境的OS更加困難,不是高科技業者自己不願意更新,而是無法只靠他們自己的IT團隊就能解決。圖片來源/台積電

 

 更多台積資安事件相關報導 

【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(上)

【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(下)

台積電病毒事件的結構性問題


Advertisement

更多 iThome相關內容