Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31404

資安周報第48期:一封釣魚信件可摧毀一個總統參選人信任度,資安成美總統大選關鍵

$
0
0

不知道你是否曾經思考過,有什麼方式可以改變一場重要的選舉結果?在美國進行各州民眾投票選舉美國總統的11月的超級星期二投票結果揭曉前,美國總統選舉結果仍有可能出現變數,而這個變數則和資訊安全有關係,例如,一則鎖定總統參選人重要幕僚老公的色情簡訊,可以讓民調遙遙領先的希拉蕊柯林頓(Hillary Clinton),民調被唐納川普(Donald Trump)拉近到誤差範圍之中,甚至有些民調結果顯示,唐納川普甚至已經後來居上,追上希拉蕊柯林頓的民調數字。

另外,資料外洩也是美國總統大選中,最重要的資安關鍵議題之一。從一剛開始希拉蕊柯林頓開始角色民主黨黨內提名之際,被爆料她從2009年~2013年,由美國總統歐巴馬指派擔任美國國務卿任內,使用不受監控的私人信箱(hdr22@clintonemail.com)和外界通聯。在希拉蕊柯林頓被美國聯邦調查局(FBI)調查時,也因為鬧的沸沸湯湯,媒體更以「電郵門」(Emailgate)來戲稱這場醜聞事件。

由於美國總統的選舉制度是間接選舉制度而非直接選舉制度,所以,美國總統大選是先經過美國各州民眾,在11月的超級星期二(今年為11月8日)進行投票後,再由選舉人團於12月的第二個星期三的第一個星期一(今年為12月19日),根據各州民眾投票結果進行選舉人團的投票,選出真正的美國正副總統人選後。美國國會則會在隔年的1月6日進行計票後,公布選舉人團的最終投票結果,新就任或者是連任成功的美國正副總統,則於1月20日中午正式上任。

美國第58屆正副總統在各州普選,這幾周已經陸續展開,雖然先前有許多政黨相關組織遭駭,甚至有多州的選民資料庫也傳出遭到駭客入侵,但是,因為都在正式投票之前爆發,美國政府還有足夠的時間做後續的補救措施,尤其是,美國投票制度中,只有5州是採用無紙化的投票方式外,其餘各州,最終仍會將投票結果列印成紙本以確保安全。

不過,美國總統大選前,傳出有駭客攻擊事件今年不是頭一遭,但是,各種入侵受駭事件頻傳,甚至是,連美國總統參選人之一,也深陷資安風暴當中,這的確也是美國史上頭一遭。不論這次美國總統大選的投票結果,是否會有出乎人意料之外的結果產生,他山之石可以攻錯,我們應該要從美國總統大選的經驗中,找出可以作為我們可以學習的課題。

政府部門應提供安全好用的公務電子信箱給公務人員使用

在這個大選中,最為人詬病的資安議題,首當其衝的當然就是希拉蕊柯林頓在2009年~2013年擔任美國國務卿的4年當中,使用私人的電子郵件進行各種公務聯繫,通聯往返的6萬封電子郵件中,除了是公、私不分之外,更重要的是,國務卿經手許多國家重要的絕對機密和各種機密與非機密的公務內容,不僅應該要遵守各種機密等級規範,相關的郵件歸檔也必須符合政府所有機密等級的分類,絕非是私人財產。

只不過,政府規定的這些機密等級規範等,完全不在希拉蕊柯林頓國務卿的腦袋中,但身為前第一夫人、參議員到擔任國務卿的公職期間,怎麼可能不了解政府對於相關機敏資料的在意程度,甚至於,有傳出希拉蕊柯林頓使用的私人電子郵件信箱的網域開通日期,就是她被歐巴馬指派擔任國務卿的當天。

這一切的行為,都讓人覺得,希拉蕊柯林頓是蓄意使用私人信箱進行相關的公務和機敏郵件往返,目的就是為了要規避政府部門的稽核和歸檔,絕非是希拉蕊接受調查時一句「因為我很懶,不想拿兩隻手機」的說法,可以矇騙過去的。而希拉蕊在此4年國務卿的公職期間,是否有其他各種見不得光的私相授受的情況,或者是利用職務之便的各種人脈經營等等,也一直是她人口特質上面的一個缺口。

此外,身為政府的高階公務人員希拉蕊,竟然選擇不使用防護措施比私人電子信箱更為嚴謹的公務電子郵件時,甚至於,希拉蕊的作法也直接違反1950年通過的聯邦檔案法,必須保存、記錄各種公務人員所有決策、程序和各種重要的活動過程等,甚至於應該依法被公開的規定。

因為希拉蕊在擔任國務卿期間,美國政府是有條件允許公務人員使用「私人」電子郵件信箱,但根據2011年通過的電子郵件記錄管理的規定中,美國政府也同時要求這些使用私人信箱的公務人員,應該要把相關的郵件收發記錄交由任職機關本身做歸檔和保存,但希拉蕊則是在離開公職之後,刪除3萬多封「私人」郵件後,才將所謂與「公務」相關的郵件,交由政府歸檔。

歐巴馬則到2014年正式簽署,通過一起總統暨聯邦記錄法修正案Presidential and Federal Records Act Amendments of 2014,修法內容就是,所有的聯邦記錄幫含電子或數位格式的內容,如果公務人員使用非公務的電子信箱,則要把郵件副本寄到公務信箱,或者是在20天內,把原本的信件內容都轉到公務信箱,以符合聯邦檔案法保存記錄的規定。

目前政府並未直接明定公務人員不可以使用私人信箱對外聯繫,但的確有一些公務機關對公務電子信箱有制定相關的申請程序和使用規範。據了解,過往有很多機敏單位,為了保護身分以及確保資料不被鎖定、外洩的需求,也都使用私人電子信箱對外聯絡多年。

加上,過往,有很多政府機關的電子信箱都有信箱容量過小、垃圾郵件過多,甚至是安全防護不佳等問題,加上許多公務機關長期被中國網軍鎖定攻擊,對於許多經常出差、有長期行動需求的公務人員而言,公務機關的電子郵件「不好用」,也創造出某些私人郵件發展的空間。尤其是,許多中國網軍針對臺灣政府機關的APT攻擊之所以可以成功,從防護較弱的私人電子信箱開始寄送釣魚郵件、植入惡意程式往往是入侵成功的第一步。

當然,根據政府規定,像是「行政院及所屬各機關資訊安全管理要點」第 27 條就已經禁止公務人員以電子方式傳輸機密檔案,如果有其必要性,則應該採取安全的防護機制。現在的公務機關,如何提供公務人員一個可以容量大、沒有垃圾信件、可以跨裝置讀取並且安全傳輸機敏郵件的公務電子郵件系統,已經是公務電子信箱所必備的基本功能,再加上許多資訊公開以及開放資料的需求和趨勢下,要求公務人員「樂於」使用公務電子信箱之前,政府機關有責任先提供一個安全好用的公務電子信箱給公務人員使用,而未來公務人員使用公務信箱進行各種公務溝通,更是理所當然。

防釣魚、防色情簡訊應是每個人的基本常識

這次美國總統大選中,維基解密創辦人亞桑奇也跟希拉蕊槓上,在10月下旬,維基解密(Wikileads)則在網路上公布許多不利於希拉蕊的郵件內容,據了解,這些資料的取得都和希拉蕊競選團隊主任John Podesta,遭到網路釣魚郵件而被成功騙取電子信箱密碼有關。

時間回溯到今年的3月19日,John Podesta接到一封寄件者標明是「no-reply@accounts.googlemail.com」的電子郵件,信件標題則為「CHANGE PASSWORD」。根據報導指出,信中說明有來自烏克蘭企圖存取John Podesta帳號,不過遭到封鎖,但建議用戶立即修改密碼,並包含一則看似連到外部網站的連結。根據維基解密公佈的資料顯示,希拉蕊競選團隊的員工告訴John Podesta說這是「合法」(Legitimate)的信件,並建議他循Google官方程序修改密碼。

這種因為相信釣魚信件內容,進而修改密碼,或者是點選連結而被植入惡意程式的手法,其實已經是最常見的社交工程手法之一,歷年來,一些重要的全球性的資安大事件,也都和釣魚郵件脫離不了關係。例如,早在2011年3月17日,原本被EMC併購的資安公司RSA,就爆發發生RSA資安產品SecurID的技術資料遭駭客入侵竊取的事件。

經過RSA公司內部調查發現,事件的起源都和網路釣魚信件有密不可分的關係。駭客先從公開資訊中,鎖定RSA公司中的兩群員工,針對這些特定員工寄送經過設計的「魚叉式網路釣魚信件(Spear Phishing email)」,確保收件人一定會點擊信件,例如,當年。駭客當時針對RSA的兩小群員工,在2天內寄送2封針對性的網路釣魚信件,並在標題寫著「2011年招募計畫」,也夾帶一個Excel附加檔案。

據調查,這個Excel檔案其實已經包含了一個當時還沒有發現、也還沒有被修補的PDF漏洞,只要這兩小群RSA員工,有任何一個人因為任何原因開啟了這個Excel檔案,就會在開啟該Excel檔案員工的個人電腦上,安裝一個後門程式。當RSA某位員工的電腦淪陷、被駭客控制並安裝後門程式後,駭客便開始APT攻擊手法的共通階段,那就是要安裝可以遠端控制該臺電腦的遙控工具。

希拉蕊的競選主任因為相信網路釣魚信件,密碼被騙,導致許多不可見人的電子郵件遭到駭客竊取並外洩;而即便是資安公司的員工也難逃釣魚郵件的威脅,甚至連公司最主要資安產品的技術資料都因此遭到外洩。顯見,原本單純的網路釣魚郵件帶來的後遺症,甚至可以左右一場總統選舉和一間公司生死存亡,其嚴重性不可不慎。

除了網路上不小心點到的網路釣魚信件,現在各種社交網路工具以及簡訊等等,也都是資料外洩的重要管道之一,像是色情簡訊則是這此美國大選中,另外一個最被常提到的資安風險,尤其是,希拉蕊的機要助理亞佩丁(Huma Abedin)前夫,也是民主黨紐約州前眾議員韋納(Anthony Weiner),二年多前曾經因為捲入性醜聞而被迫辭去眾議員職務,但在今年9月又再度因為因為與位成年少女傳送色情簡訊遭到調查。

韋納在接受調查的過程中,在所擁有的電腦設備上發現他前妻亞佩丁和希拉蕊對外往來的電子郵件,這些極有可能就是希拉蕊刪除的3萬3千封私人郵件的一部分。因為這樣的事件也引發FBI重啟郵電門的調查,也拉近希拉蕊和川普的民調差距。

定期進行資安檢測,避免從外部單位入侵重要內部系統

因為美國超過75%的州在進行總統大選投票時,即便投票者是使用螢幕投票,但最終還是會列印出紙本的投票結果,雖然系統老舊,但是,這些系統都分散四處,加上各州投票時間都有很大的差異,駭客要直接入侵相關的投票系統,包括資安專家在內,都認為這種直接駭入選舉系統的可能性並不大。

但是,美國政府對此則要求負責各州相關選舉投票系統的業者,除了要符合聯邦政府對於相關系統的安全規範外,也應該要事先做漏洞檢測和修補,以確保投票時,整個投票系統的安全和可信。

除了系統的安全和可信任外,從美國爆發的種種資安事件來看,最大的風險在於組織遭駭、導致重要資料外洩,像是,今年6月,美國民主黨的全國委員會資料遭駭,該黨針對川普的研究資料全數遭竊;到了今年9月,伊利諾州選民資料庫遭駭;10月則爆發駭客入侵柯林頓基金會,並取得數萬封電子郵件和捐款人資料。這些遭駭的組織單位,有一些是政黨組織或參選人自己的單位,也有一些是政府單位遭駭。

但是,不管是這些組織遭駭、造成資料外洩,大部分的影響都來自於選民對總統參選人的評價是否有所動搖,一旦民調因此有所動搖,這將會成為選戰中,動見觀瞻的重要資安事件。為了避免這些不可控資安事件的爆發,從州政府的選民資料庫的安全性,到各個參選人相關的網站和資料庫安全性,都不可以掉以輕心,定期的滲透測試、弱點掃描等,已經是基本的資安防護措施之一。

若以臺灣為例,公務機關的資安防護尤其是A級和B級單位,往往都有一定的資安水準,但是,若鎖定要入侵特定單位,不一定要從防護較為嚴密的公務機關下手,從民進黨中央黨部入侵也是好方式。這樣的模式和美國爆發的資安事件的攻擊路徑是大同小異的,也是值得關注的資安風險之一。

美國總統歐巴馬在各州於11月8日投票選舉美國第58屆總統之前,仍努力幫民主黨總統參選人希拉蕊柯林頓站臺助講。


Viewing all articles
Browse latest Browse all 31404

Trending Articles