圖片來源: 

Hello World開發者大會

電子郵件是眾多資安廠商公認最主要的網路攻擊起點,從2023年下半到現在,就有多起相關的資安事故與漏洞濫用事件躍上媒體版面,知名的郵件伺服器與郵件安全閘道陸續傳出災情,像是:Microsoft 365雲端服務的Outlook Web Access in Exchange Online(OWA),以及Outlook.com(HPE歐美政府),開放原始碼電子郵件系統ZimbraBarracuda郵件安全閘道設備,以及Cisco郵件安全閘道

對於專營郵件伺服器與郵件安全系統的網擎資訊而言,也深刻體認到資安局勢日趨嚴峻,執行長廖長健在9月11日舉行的Hello World開發者大會首日下午的演講,一開場就有感而發。

他表示,網擎目前服務許多重要客戶,雖然實際沒看到大量砲彈槍藥的來襲與血腥衝突,但每一天的資安都處於激烈攻防的戰爭狀態。就算強大如Google、微軟,任何軟體、雲端服務的業者並非百毒不侵,時時刻刻都面臨駭客的威脅。

電子郵件資安面臨不對稱的作戰態勢

「你的敵人看不見、你的敵人不睡覺,總是想方設法、一直要攻破你」,事實上,我們如今已身處在不對稱的作戰局勢,所需因應的資安威脅當中,有許多來自國家級駭客,而這些被稱為「網軍」的攻擊者,現在的組織運作也走向「民營化」,他們不僅輪班進行滲透、發動攻擊,一旦成功侵入還會得到獎金,因此受到的激勵程度是非常強烈的,而且是持續進行的。

事實上,國家級駭客攻擊的目標相當多元,包含銀行、關鍵基礎設施、政府機關、廠商,以及企業在內,都面臨這樣的資安威脅。以臺灣的軟體公司而言,大多是中小企業的經營規模,只有幾十個人抵禦,攻擊方卻是幾千人,此時若要做好資安,需要借助一些方法論和概念進行調整,而箇中關鍵不只是資安意識的提升,我們應該鼓勵通報文化、主動共享情資,導入聯防機制,建立正確的資安意識與開發流程。

廖長健期勉大家一旦發現自己被駭,一定要勇於解決問題,而非掩蓋,因為如果不及早處理,我們無法知道後續的影響有多深遠,例如,有可能會一直遇到資料外洩的狀況。

他認為,任何有能力的廠商,都會主動發現自己的弱點,並且鼓勵他們的客戶趕快更新,所以他呼籲在座的IT主管,「千萬不要覺得一家公司的CVE(通用漏洞揭露)很多,就認為他們不安全」,相反地,正因為他們有能力找到自己的弱點、勇於及時公布,並且分享情資讓大家趕快更新,也突顯他們負起應有責任的態度。

事實上,有些廠商不僅本身沒有能力發布CVE,甚至連自己的弱點被發現、被攻進來都渾然不知,而在這樣的狀況下,多數人應該都無法認同這樣的廠商重視資安、做好資安。因此,如果我們常常接收到廠商願意發出CVE,應該要先肯定他們勇於面對問題與及時更新的舉動。

針對先前發生一連串的郵件雲端服務與郵件安全閘道資安事故,廖長健說明電子郵件為何成為駭客想要攻入的目標。

理由是電子郵件是最容易經手處理各種資訊的重要管道,所傳遞的內容未必很機密,但是,攻擊者可以透過郵件了解很多組織的脈絡,以及最近關切的事情,有了這些資訊,能夠進行很多的社交工程,設計出能夠欺騙使用者的東西,所以,攻擊郵件閘道、郵件系統是全世界駭客最喜歡做的事情,而過去這幾個月以來,許多廠商都中招,也包含網擎資訊。

他們之所以被盯上,廖長健認為,可能因為攻擊者的最終目標是大型金控公司、一級政府單位、重要的醫院,或是關鍵區域設施,但因為這些企業與機構不斷強化資安,所以駭客不容易攻進單位內部,於是攻擊者把腦筋動到供應商,開始從合作的系統整合廠商、IT維運廠商、軟體供應商著手,希望從中找到破口。除此之外,企業與廠商使用的IT產品與服務,如果本身整合第三方提供的軟硬體元件,像是PHP、Java,以及一些工具,或是攻擊者得知目標單位所用的Linux作業系統版本,有個資安漏洞,而這些歹徒可能就會直接攻擊這些第三方元件,就能夠滲透到供應商內部,最後,並且透過遭駭廠商,而得以侵入企業IT環境。

基於上述理由,企業與組織不只是自己要防得好,利害關係人也要守好,因為攻擊是非常多面向的。廖長健表示,對於網擎資訊而言,在供應鏈攻擊的對象當中,他們成為駭客目標的可能原因,一方面在於本身扮演供應商、解決方案公司的角色,另一方面是本身採用第三方軟體元件,駭客從這個層面尋找漏洞、乘虛而入,後續這些存在漏洞濫用風險,甚至已被滲透或竄改的元件,若不慎被包入網擎的軟體產品或雲端服務,就可能成為破口。因此,他們必須要做到許多防護,而且持續提升資安。

而在實際資安事故的因應能力上,廖長健表示,今年截至目前為止,網擎總共發出9次資安通報,其中有60%是低風險漏洞,多為跨站指令碼(XSS)類型的弱點,40%為高風險漏洞,而在這些弱點中,專屬於網擎產品本身的漏洞占了一半,其餘是他牌郵件伺服器或郵件安全閘道共通的弱點:第三方元件的問題。

廖長健提到此事,顯然是為了藉機駁斥市場傳言,他強調,網擎產品本身的高風險漏洞只占20%,而且,很多都是他們主動發現、主動更新的。

難阻止駭客取得產品,從中可研究本體與第三方元件弱點

面對外界質疑攻擊者為何熟悉網擎的系統,廖長健無奈地解釋軟體開發商目前面臨的產品資安挑戰局面,相當嚴峻。

他說,現在想要知道軟體產品的程式邏輯不難,無須透過內部人員或離職員工洩漏。首先,對於商用軟體廠商而言,可經由許多管道申請測試版與操作文件,例如,發出電子郵件或透過經銷商索取,網擎過去都有盡力把關,但仍無法完全杜絕;攻擊者一旦取得套裝軟體,即可設置測試環境,查看當中使用的第三方元件與版本,此處若具有已知漏洞,他們能就設計出可濫用此漏洞的檔案進行滲透。

第二個取得程式邏輯的方式,是經由逆向工程反組譯而成。網擎的經驗是接到資安廠商的通報,他們在長期監測國家級駭客攻擊活動的過程中,發現網路釣魚信件涉及的惡意程式,命名與網擎資訊的英文名稱Openfind有關,因此他們經由某種管道取得網擎的程式進行逆向工程,而在該公司的通報是以他們剖析出來的程式碼,指出網擎某款軟體存在的資安漏洞,所以有可能被駭客利用。廖長健表示,雖然資安廠商以此種方式取得的程式碼,變數名稱與網擎這個產品所用的不同,但程式邏輯是接近的,就能根據這些資訊推斷弱點所在。因此,對於軟體開發廠商而言,在用戶端環境執行的已編譯雙位元檔,如果本身沒有加上嚴密防護,具有足以抵抗逆向工程的能力,程式邏輯是能夠被反組譯出來。而且,既然資安廠商能夠這麼做,其實,也代表駭客可以藉此找到可乘之機。

第三種探測產品使用間隙的方式,也是在測試環境安裝套裝軟體之後能進行的,那就是從作業系統層級的處理程序追蹤,以Linux環境而言,可經由strace的指令查看目前各個應用程式使用的系統呼叫,進行逐步分析,了解每支處理程序開啟的檔案與檔案所在位置,或是連接的網址,有了這些資訊,攻擊者能夠考量惡意軟體酬載適合置入的方式與途徑,找到能夠偷偷夾帶或呼叫的管道,然後再將這些內容放到指定位置、伺機而動。

國家級駭客手法更專精、能組合多個弱點,又能自動打擊,令人防不勝防

關於臺灣軟體供應商之所以無法擋住國家級駭客攻擊,除了人力規模懸殊與具有強烈動機的落差,廖長健認為有三個因素必須克服。首先,國家級駭客滲透手法更為高超,而且是持續、專精投入研究攻擊目標的弱點;第二是不只是利用單一、嚴重度高的弱點,攻擊者也懂得將多個低風險漏洞組合起來運用,形成具有高度危險的漏洞濫用手法;第三是打造工具,降低操作技術門檻之餘,駭客也能發動自動化攻擊,一口氣侵襲多個目標,營造「遍地開花」的現象,而非一步步滲透、投放惡意軟體、再進行後續的調度指揮,對於軟體供應商而言,如果產品資安沒有顧好,採用客戶越多,一旦遭遇這類攻擊,同時要處理的資安事件可能也會很多。

想要打造具有強大防護力的軟體產品,對於開發人員而言,有個先天的劣勢,那就是必須考量到運作效能而不能毫無限制地持續進行安全性處理。廖長健舉出的例子是JavaScript的過濾,為了避免遭到跨站指令碼的攻擊,軟體產品會過濾所有輸入的JavaScript,為了確保效能,會進行32次清洗,然而,對於攻擊者而言,當他們取得廠商的產品、建置使用環境之後,可以不厭其煩地循環測試,觀察究竟要過濾到多少次才停手,一旦他們找到這個處理上限,就可以設計出33層的惡意酬載,應付完32次指令碼過濾,下一次就能引發跨站指令碼攻擊,設法溜進軟體產品。

至於組合多個漏洞的做法,廖長健提到的一種模式,是設法讓輸入夾帶的惡意酬載躲過第一道檢查,而順利進到內部儲存的設定檔,而且攻擊者知道檔案存放位置,當另一支程式載入這個設定檔時,開發人員可能以為這是內部資料而疏於檢查,執行之後觸發惡意酬載要做的事情、拿到系統權限,甚至形成命令注入攻擊(command injection)。

基於上述提及的軟體產品資安態勢,廖長健認為,作為防禦方,要有三個基本的前提。首先,攻擊者已有產品完整實驗環境,也就是前面提到,可透過合法管道、冒名欺瞞等方式,下載測試版。第二,攻擊者可以輕易找到目標伺服器,如果有鎖定的對象,對方要掌握這些IT基礎架構的所在位置,並不困難。

第三,攻擊者已有目標環境的使用者帳號。由於在不同線上服務與系統使用重複密碼的情形相當普遍,再加上網站資料外洩事件頻傳,以及在公共場所上網卻沒用VPN防護等情況,導致帳密被側錄,駭客都有能力取得這些帳密,廖長健表示,我們要假設當攻擊者手上有使用者帳密的時候,產品資安還能防得住。

熱門新聞

Advertisement