許多新興科技的應用越來越成熟,連帶也造成許多人沒有意識到的新風險。趨勢科技全球核心技術部資深協理張裕敏表示,越受歡迎、越多人愛用的各種新興科技應用,就是駭客努力鑽研的新領域。
張裕敏也預測,現階段對臺灣企業用戶影響最大的資安威脅包括APT攻擊和勒索軟體,但是,越來越多雲端供應商推出商業化的容器(Container)服務或產品,就連Docker公司也推出企業用的Docker相關的雲端服務,因此,Docker的資安議題在今年會受到高度關注。至於物聯網則是明年會爆發的資安風險,包括無人機或者是智慧家庭,都會是熱門議題。
勒索軟體和APT攻擊,仍是臺灣如影隨形的資安風險
張裕敏先從過去一年來,眾所矚目的兩大資安威脅開始談起,包括勒索軟體和APT威脅。
勒索軟體出現,尤其是2013年的CryptoLocker的崛起,讓勒索軟體真正有辦法獲得贖金,甚至於,從2015年到2016年初,在各種平臺都陸續出現不同的勒索軟體,Android及iPhone手機無一倖免,即便是號稱安全的Mac OS X,都在日前出現專屬的勒索軟體而淪陷。
張裕敏表示,勒索軟體是一個歷史悠久的產物,其實是一種讓電腦無法正常使用的軟體,勒索軟體執行後,會把電腦中的所有檔案都加密,必須付錢給駭客後,才可以拿到解密的金鑰。
勒索軟體早期產物是Fake AV,只是把使用者的電腦桌面鎖起來,但還算容易處理,因此沒有造成流行;之後也有出現把檔案加密的勒索軟體,但是駭客要勒索錢還是有困難,也沒有造成流行。
金流是駭客想要解決的問題,直到非實名制的比特幣出現後,駭客可以順利匿蹤並取得勒索贖金,這個關鍵的勒索軟體就是在2013年開始流行的CryptoLocker,而且,在臺灣只需要在便利商店就可以買到比特幣,對駭客更是方便的金流管道。解決金流問題後,勒索軟體便如同雨後春筍般的蓬勃發展。
雖然大家都很看重勒索軟體對企業和使用者帶來的後遺症,因為,這是立即可見的威脅,但張裕敏說:「更難以察覺的APT攻擊,其實一直都沒有消退。」他進一步解釋,從2013年~2015年7月,光是趨勢科技團隊就已經處理376次事件處理,也調查1,997臺受駭主機,其中,伺服器就有1,216臺,使用者電腦則有781臺。
更有甚者,張裕敏表示,現在APT攻擊潛伏的時間,從攻擊被發現的時間,到可以追溯、最早駭客潛入的時間點,目前平均約為559天,大概駭客要入侵企業一年半後,企業才有機會發現出事了;其中,更有些極端的案例甚至要2,000天後才會被發現,大約駭客要潛入企業五年半的時間,企業才會察覺有不對勁之處。
若以產業來看,政府(791天)高科技製造業(762天)以及金融業(761天),是前三大駭客潛伏在企業內時間最長的產業,平均都超過2年以上,企業才會發現已經被駭客入侵。若以最長潛伏時間來看,前三名產業則是政府(2,486天)、高科技製造業(2,312天)以及資訊業(2,284天),平均都要超過6年以上,才可能發現不對勁之處。
也因為勒索軟體和APT攻擊是現階段普遍可以感受到的資安威脅,張裕敏建議,在解決勒索軟體的威脅時,可以從伺服器端和個人電腦端下手,前者只要裝對防毒軟體,還有做好妥善備份,問題不大;後者,除了常見的不要點擊來路不明的網址等提醒外,也建議可以使用虛擬機器上網,並且將資料備份在雲端,都可以降低風險。
面對APT攻擊的威脅,張裕敏認為,最難的地方在於傳統防禦邊界消失,縱深防禦已經防不了APT攻擊,第一線沒有可以打仗的兵,後方也沒有可以支援的部隊,這也使得多數企業面對APT攻擊時,往往束手無策。若要有效防禦APT攻擊,他表示,從閘道到端點的資訊流,結合產品、服務和情資,看重事前、事中和事後的處理流程,並引進新技術,就可以有效的因應APT攻擊。
越多人用Docker,風險也越高
這兩年,開始有越來越多IT人開始使用便於部署應用程式環境的新技術Container,預計今年Docker公司也開始推出企業的Docker相關的雲端服務。張裕敏表示,Docker對IT部門而言,解決了繁瑣的應用程式部署環境的問題;但是對駭客而言,卻成為一個可以從企業虛擬環境,轉進到企業真實環境的新的攻擊路徑。
張裕敏表示,這個現今IT業界最受歡迎的明星技術,也開始醞釀新一波IT典範轉移,可以預測,在未來十年IT架構、應用程式開發與部署的方式等,都會受到由Docker引爆的Container(容器)技術的影響。因此,他也預言,在2016年,隨著Docker推出新的商業服務,對企業帶來的資安風險也越高。
物聯網明年帶來嚴重的資安威脅
當萬物連網時,每一個連上網路的裝置,勢必面臨安全的議題。張裕敏也觀察到,不論是無人機安全以及連網的智慧家電等,都可能是接下來無法忽略的物聯網風險要角。
他進一步解釋,包括各種零售物流業者,例如亞馬遜(Amazon),或者是軍方等單位,都積極發掘各種無人機的應用,除了用無人機來載貨之外,也可能用來投放各種危險物品。此時,有能力的駭客就可以用遙控器操控無人機,讓無人機飛行、降落到駭客指定的地點。
當然,駭客也可以操控一臺改裝過的無人機,對於同樣在天空中的無人機群,發出「Following Me」的指令,滿天的無人機就可以跟著發出指令的無人機,飛行降落到駭客指定的地點。也因此,對於各國政府而言,有一臺不受控、可以飛在天空中的飛行裝置,也使得各國政府開始思考,應該如何管制這類的飛行裝置。
張裕敏認為,無人機的風險在於,因為使用不安全和老舊的技術,每一個操控的方式,都可以是駭客入侵的管道。舉例而言,目前的GPS技術已經是10年前的老技術,駭客不僅有能力蓋臺,也可以發動中間人攻擊,更可以偽造假的GPS訊號,來劫持無人機;再者,現在有許多無人機都可以透過App操控,但這些App幾乎都不安全,都有許多弱點可供駭客入侵;更可怕的是,每一臺無人機都可以匯入各國禁航區的資訊,一旦駭客竄改相關禁航區的資訊,將對於無人機的飛航安全帶來很高的風險。
除了無人機外,許多連網的智慧家電,也有潛在風險。張裕敏便說,家用路由器是許多智慧家電的核心,但這也成為駭客鎖定攻擊的標的。更讓人擔心的事情是,這些連網的智慧家電,多數是採用安全性不高的通訊協定,包括:藍牙、Wi-Fi、NFC、SMS或是Zigbee等,駭客就可以利用這些不安全的通訊協定,做到蓋臺、劫持、重播攻擊,或者是讓智慧家電等裝置成為惡意基地臺等,而且,這些智慧家電本身,多是採用2.4GHz頻道連結,不僅干擾度高,有些時候,裝置之間也無法有效連結。
此外,當每個人都拿著各種行動裝置,充電這件事情,就成為很重要的事。張裕敏表示,現在很多人看到插座就會直接充電,但是,現在駭客也已經有能力,假造一個充電的插座並植入惡意程式,使用者只要用這個惡意插座充電時,就可以被植入惡意程式,這也已經在2013年美國舉辦的駭客年會上,就有在iPhone手機充電的實作案例。
他說,今年2月有一個新研究發現,有一個網路相關的路由廣告(Advertisements)RFC4861漏洞,會讓手機快速消耗電力,這就成為駭客入侵的機會,當然,目前已經可以透過RFC7772的研究,改善這個耗電的漏洞。
張裕敏表示,對於駭客而言,越多人使用的產品或服務,就可以對駭客帶來更大的價值及利益,駭客也越願意花心力找出這些產品和服務可以利用的漏洞。而不論是勒索軟體或是APT攻擊,因為現在是熱門議題,駭客持續在這方面鑽研;而Docker的應用漏洞,預料會成為今年度,可以經常聽到的新的攻擊形式;談了好一陣子的物聯網,則會因為應用範圍大,從智慧家電到無人機都是駭客可以用來發動各種攻擊的案例,相關的防禦難度也越高,對於相關的安全性,也必須開始留意。
【相關報導請參考「2016 全臺最大規模資安盛會直擊」】