從近期國內知名銀行遭到國外駭客集團,針對自動櫃員機 (ATM) 植入惡意程式後,再派員來台順利盜領超過新台幣八千萬元現金的事件。這不但是國內首次遭到 ATM 攻擊進而被盜領金錢的事件,更是進一步考驗國內金融機構,針對資安問題夠不夠落實防範與執行的一次重要事件。

藉外網入侵封閉內網以植入惡意程式

據了解,這次的事件,根據資訊安全調查官的調查顯示,主要是因為駭客集團侵入倫敦第一銀行 ATM 的硬碟中,再透過第一銀行倫敦分行的 ATM 進行軟體更新的時刻植入惡意程式以控制後台,之後再以遠端登入方式植入惡意程式,進而在讓駭客集團成員於該銀行各分行執行吐鈔動作,進而盜領。而且在盜領程序結束後,還會自動刪除檔案,藉此來讓犯案過程「了無痕跡」。

針對這件國內有史以來被駭金額最高,而且詐騙手法極其創新的盜領案,國內資安廠商翔偉資安營運長杜世鵬強調,這次的事件或許可能有內神通外鬼的情形,才能使得第一銀行的資安防護會被輕易打破,領走鉅額金錢。然而,透過當前的駭客技術,也同樣可以入侵銀行後台系統,然後植入惡意程式,達到遠端遙控吐鈔的目的。但是,如果要像這次這樣,清楚了解第一銀行倫敦分行軟體的更新時間,這就或許就不是一句「巧合」就可以做解釋的了。

事實上,駭客的技術手法千百種,杜世鵬表示,除了透過內神通外鬼這種最耗時的方式,可以進一步破除金融機構的資安防備之外,駭客也可以透過公共網路,或者區域網路連線來進行掃描,在取得相關登入後台系統的帳號與密碼,並且確認該帳號密碼的網路權限之後,隨時都可以透過內部來植入惡意程式,進行攻擊的手段。

只是,杜世鵬則質疑,即便駭客取得了相關登入的帳號密碼,也登入了後台的作業管理系統,然而,就銀行的基本作業流程來說,銀行要進行軟體更新,不只是要登入帳號密碼而已,中間還必須有動態密碼的認證,甚至於其他作業方式的認證,才能透過伺服器派送更新軟體,或是藉由隨身碟、筆記型電腦送入更新軟體進行更新作業。比照目前所傳出的狀況,只是因為某主管打開有病毒的郵件,就會被感染,進而趁軟體更新時被植入惡意程式的情況要複雜許多。

金融機構須重新審視實體隔離網路的標準與作業

不過,不管如何,這次的事件事實上凸顯了國內企業或研究單位在進行實體隔離上的一個嚴重漏洞。杜世鵬指出,過去一般人都認為,就銀行 ATM 系統來說,會是一個封閉的內網系統,與連接網路的開放性系統相互隔離,透過網路進來的攻擊就不會危害到 ATM 的運作。如今事實指出,其結果根本不是大家所想的那樣。因為封閉系統一樣會被攻擊,而且造成的傷害甚至更加嚴重。因此,原本需要被實體隔離的系統,在操作人員貪求方便的情況下,沒有依照標準步驟進行,僅僅這一些微的疏失,就造成嚴重的傷害。

所以就這次的事件來說,為了能把未來發生同樣事件的風險降低,杜世鵬在此提出的幾點建議提供各金融單位或企業的資訊長們參考。首先,針對於實體的隔離的部分,企業必須慎重地去檢視與修訂。杜世鵬強調,企業的實體隔離範圍,要有多大規模,而且其涵蓋的範圍內包括那些設備、網路都必須完整的規範在其中。另外,還必須依照各自公司或單位的運作需要,訂定安全標準下的操作模式,其中當然包含軟體更新作業規定,這樣才能夠降低像這次駭客透過更新軟體作業,進而入侵內部,達到植入惡意程式的目的。

另外,即便在安全標準的作業模式下要進行相關軟體更新的工作,杜世鵬還是建議,這部分的作業還是必須要搭配完整的身分認證程序來搭配運作,而且最好是在兩種不同形式的密碼,例如密碼加隨機動態密碼的雙重保護下,進行身分認證工作。而非僅在後台作業程序完成身分登錄後,隨時都可以任意的進行軟體更新工作。如此,從而建立另一道安全機制,使駭客駭入的門檻提高,降低被入侵的機率。

建立實體隔離環境也同等重要

至於,在實體隔離的範圍內做好相關的保護措施之外,實體隔離的環境也必須受到重視。因為,即便做好實體隔離範圍內的各項工作,但是在環境中許多不相關的人士也能觸碰的實體隔離中的終端設備,這也會造成整個環境的不安全。這方面杜世鵬指出,企業或研究單位最經常進行的實體隔離環境模式,就是隔離出一個區塊或空間,將實體隔離的設備或網路設置於其中,任何要進入這個空間或區塊工作的員工,都必須進行一定的身分認證,才有機會能接觸到相關的設備。這就像許多企業內機房必進行身分認證才能夠進入的做法相同,使得實體隔離的做法能更加安全。

杜世鵬強調,除了建立實體隔離的架構與環境之外,最重要的仍是定期與不定期的檢視、偵測、演練的作法。因為任何的資訊安全架構都無法保證針對攻擊有百分之百的防護,透過不定或定期的資安檢視、偵測、演練,可以隨時了解整個系統的資安情況,有問題時能加以修補更新。杜世鵬舉例表示,就實體隔離的環境中,任何設備的存取都要被嚴密的監控。甚至,在那些沒有被授權的設備中,被人插入了沒有認證過的隨身碟,這樣的情況就會立即在後台跳出警示的訊號。這樣的作業方式都必須要進行嚴密的偵測與演練,以達到問題發生時最短時間內被排除的效率。

打造非常模型式的演練與資安測試標準

就本次事件來觀察,國內的金融單位的資訊長,對於企業資訊安全的防護絕對到了一定等級,甚至被奉為必須落實的標準政策,絕不會是馬虎帶過的情況。但是,為什麼還會發生事情,使得金融業面臨再一次的「震撼教育」呢?原因似乎就在於這些金融單位所建立的常模上出了問題。

杜世鵬進一步指出,這些金融單位在定期接受的相關資安稽核時,這些稽核或檢查都是建立在一個固定的常模上,只是達到標準就算是過關。但是,相關的資訊安全事件常常不會是依照這些常模的順序進來,以避免被資訊安全系統給檢查出來。因此,當資安事件發生的開始,這些券商或金融單位有沒有能力,或是習慣性地去找尋這些問題的所在,這就沒能力及時防堵事件的發生。

從這次的事件擴展到在現代的駭客攻擊事件來觀察,抹煞軌跡絕對是駭客入侵後必要的手段。甚至,更為狡猾的駭客手段,會是分批分地區的將資料或金錢分批的轉出,這讓在伺服器段的流量或特定攻擊偵測都無法發現,這會讓後來造成舉證與調查的困難,甚至很難以完成案件的偵破。

所以,為防堵類似的事情發生,杜世鵬強調,就必須建立可比對的「常模資訊」,隨時比對現在的資料與過去有甚麼樣的不同點,來進一步先行發覺資安問題的徵兆。這樣潛藏型的資安問題,隱藏期絕對不會是短時間一兩天而已,一定是以月來計算的時間長度。所以,如果能有常模來進行比對,在問題發生之初就能掌握,就可以降低這類問題造成的損失風險。

關於 芬-安全 F-Secure

芬-安全 F-Secure 是一家具有多年企業和個人安全防護經驗的歐洲資訊安全公司,它既防護機會主義者勒索軟體感染,也針對高級網路攻擊提供全面的安全服務體系及芬-安全的獲獎產品。 芬-安全 F-Secure 的專利安全創新和先進的威脅情報技術,保護上萬各公司和數百萬的用戶安全。 芬-安全 F-Secure 的安全專家比市場上任何一家廠商更頻繁地參與了歐洲資訊犯罪現場調查。在全世界有超過200多家運營商和上千家分銷商銷售 芬-安全 F-Secure 。 芬-安全 F-Secure 成立於1988年,在赫爾辛基納斯達克交易所上市。

2016 年在台授權科益國際為芬-安全企業版中小型客戶總代理,提供F-Secure 全方位企業安全解決方案,同時設立台灣客服中心提供個人版用戶在地的貼心服務 。