2009年12月3日 星期四

[專題] 網站面臨資安威脅的因應與挑戰

隨著Web 2.0的時代的來臨,許多網站都提供了更豐富多樣的互動式功能,像是部落格、討論區、留言板、影音播放,還有應用最新AJAX技術和Flash的即時動態網頁等,在這些功能的背後,最大的功臣來自於網站伺服主機與應用程式之間的相互運作,這也是提供使用者各項應用服務的重要關鍵。

一旦應用服務如果運作得宜,網站可以吸引大量人潮、激發商機,更達到傳播資訊的主要目的,但是萬一在網站主機與應用程式上出現了漏洞,又被惡意人士發現並加以利用,相對就會造成非常嚴重的問題,因為此時損害的將不只是網站經營管理者,廣大的一般網路使用者也都會深受其害。

近年來,網站惡意入侵事件不斷增加,日前歐洲即爆發大規模的網站遭到駭客入侵事件,根據資安業者的統計,當時受到影響的網站將近有一萬個左右;而根據Google的調查指出,全球平均每10個網站,就有一個網站曾經被入侵,台灣已知至少也有984個網站已遭到惡意的駭客入侵,還被評為全球惡意活動密度第二高的地區。

這些被入侵的網站,在網頁上多半被植入了惡意程式碼,使得上去瀏覽網頁的民眾,在無法察覺的情況下就被植入了木馬程式,更進一步造成個人的帳號與密碼等隱私資料外洩。

網站攻擊手法的演變

早期網站所面臨的攻擊威脅,大都是以針對網站伺服器的蠕蟲病毒和阻斷服務手法為主,像是聞名一時的Code Red紅色警戒病毒,它會自動去搜尋具有相同弱點的微軟IIS Server,找到之後就馬上進行感染動作並且植入木馬,受感染者也會繼續去攻擊別人,這種一傳十、十傳百的傳播特性,在很短的時間之內就造成了網路世界嚴重的災情。

然而,在大多數企業已佈署網路防火牆與入侵偵測系統,加上作業系統業者不斷推出安全修補檔之後,抵擋此一類型的攻擊行為的能力已經大幅提升。不過,隨著攻擊手法不斷的演進,單單依靠網路防火牆與入侵偵測系統等設備,已抵擋不了今日針對網路應用程式的攻擊,因為這一類型的攻擊,是採用合法的網路通訊協定與連接埠,經由防火牆所認可的正常連線管道進入網站,一般防火牆並無法辨識出所經過的網路流量內容,更別談可以看出其中是否夾帶著惡意的攻擊指令。

以往駭客入侵網站之後,最常使用的手法是採取置換網頁的方式,來顯示出其高超的入侵技巧,並未帶著強烈的破壞意圖,可是現在的惡意駭客,已經不再以此作為滿足,而是為了獲得更多的金錢利益,透過植入惡意程式的方法,讓瀏覽網站的使用者在不知情的狀況下安裝了木馬程式,進而去竊取個人隱私資料或是控制使用者電腦,以作為其他攻擊的跳板之用。

另外,針對提供網路應用服務的網站,像是網路銀行或具會員功能的網站等,多半則是遭受到所謂的「網路應用層攻擊」,也就是惡意駭客透過正常瀏覽網頁的連線方式,但是卻附加了惡意指令或參數,利用作業系統或是程式撰寫上的漏洞,來達成其入侵攻擊的目的。例如SQL Injection和Cross Site Scripting (XSS)等,一直都維持在最常見的十大網站攻擊手法的排名之內,這一類型的攻擊能夠成功,最主要的原因是來自於當初程式設計者,並沒有做好安全程式碼的檢測動作。

埋藏惡意威脅的正牌網站

過去,許多惡意人士常會利用大量散發的假冒銀行電子郵件,要求使用者點選信中的連結,連上冒牌的網站來更改帳號與密碼,藉此來騙取使用者的帳戶資料,使用者會不小心掉入這種網路釣魚的陷阱,通常是因為歹徒利用和正牌網站相近的網址,以及偽造一模一樣的網頁外觀,來讓使用者深信不疑,再加上信中所強調更改帳號與密碼的重要性,更讓使用者一時不察而點選連結,連至惡意駭客所建立的冒牌網站,落入詐騙的陷阱之內。

不過,目前新的駭客手法,已不再只是被動地等待使用者點選連結,而是直接入侵正牌的網站,在網頁中植入惡意的程式碼,當使用者一連上網站,惡意程式碼就會自動執行,然後下載木馬程式安裝至使用者的電腦中,這整個過程可說是神不知鬼不覺,這些木馬程式一旦啟動之後,就會偷偷記錄使用者的各項資料,像是信用卡號、線上遊戲帳號和密碼等,然後再回傳給散佈木馬程式的惡意駭客。

當正牌網站被植入了惡意程式,間接造成使用者受害,到底誰該負責任呢?對於網站經營者而言,由於表面上看不出有任何的損害,所以有許多經營者就加以漠視,也不願採取任何修正行動,進而造成更多人受害。但是對網路使用者來說,連結網站只是為了上去瀏覽網頁資訊,若因為經營者的疏忽而讓電腦被偷偷安裝了木馬、病毒等惡意程式,並且造成了個人的權益受損,這種情況一旦發生,相信是誰都無法接受的。

雖然目前國內仍沒有法令明訂因網頁被植入惡意程式,若造成了使用者的損失,網站經營者必須對使用者負起相關的賠償責任,但可以肯定的是,網站經營者務必要善盡管理維護之責,因為一旦被公佈成為惡意網站,就會損及企業或是組織的聲譽,更何況一昧的忽視只會讓更多的人受害,這也絕對違反企業組織的營運目標與政策。

管理不當是容易受駭的原因

網站容易遭受惡意駭客攻擊利用的原因,除了因為網頁伺服器本身所存在的軟體漏洞之外,絕大多數都是來自於管理不當,歸結出的主要原因如下:
  • 主機系統設定不當 - 系統管理人員直接使用預設的目錄路徑,或是採用太簡單或是預設的管理密碼,另外就是檔案的存取權限設定錯誤,使得歹徒有機可趁。
  • 系統漏洞未更新修補 - 由於系統管理人員疏忽,在作業系統業者發佈修正檔案之後,並沒有經常地更新系統修補檔,使得網站主機一直存在著既有的漏洞,讓惡意人士不費吹灰之力,即可透過破損的門窗而擅自登堂入室。
  • 應用程式碼撰寫不當 - 許多網站的應用程式,在開發時並未經過安全性的原始碼檢測,即正式啟用上線,因此一些常見的程式漏洞,像是未限制可輸入的字串,或是未檢查輸入的內容,都讓惡意駭客得以利用這項弱點,而順利執行惡意程式指令,取得網站資料庫的各項資料。
除了管理面的問題之外,目前網站也可能因為遭受零時差攻擊(Zero-Day Attack)而受害,所謂零時差攻擊是指一些已遭揭露的系統漏洞,在業者卻尚未推出修補程式的這段空窗期,惡意駭客即利用此項弱點來進行網站入侵,像是之前微軟的Windows動態游標(.ani)漏洞,即造成許多知名的電視台、大學、政府機構等,紛紛遭受攻擊而被植入病毒等惡意程式。

如何進行網站安全強化

想要降低網站遭受攻擊與植入惡意程式的風險,我們可以採取一些適當的安全控制措施,以避免可能遭受的惡意攻擊,例如:
  1. 導入應用程式安全開發流程(Security Development Life Cycle) - 建議程式開發人員,在應用程式開發初期即導入安全開發流程,從一開始的規劃、需求分析、系統設計、程式軟體到完成測試,務必做到安全性的要求,而不僅僅是應用程式的功能要求而已。過去,由於程式撰寫人員多數缺少安全的概念,所以導致程式出現安全上的漏洞,若藉由導入安全的開發流程,在各個階段都以安全作為驗證的要求,並且在應用程式正式上線前,再透過第三方的工具,來進行黑箱(Black box)與白箱(White box)的安全性測試,即可有效確保應用程式的安全。這裡所指的黑箱測試是使用Web應用程式掃瞄工具,模擬各種駭客可能的攻擊手法,來找出存在的安全性弱點,而白箱測試則是採取分析原始碼(Code review)的方式,來檢驗程式是否有撰寫上的問題。
  2. 建置網頁竄改即時還原機制 - 惡意駭客在入侵網站之後,會擅自修改網頁以插入一段惡意的程式碼,若企業或組織擁有網頁即時復原機制,可在網頁遭修改的第一時間內,將原始網頁還原回去,並且透過email或簡訊等方式,通知管理者網頁已經遭到更改,管理者便可以盡快地來予以處理。不過,網頁即時還原機制是治標不治本的工具,只能協助管理者針對事件即時反應,並無法根絕網站漏洞問題,管理者仍必須仔細檢驗並加強各項安全機制。
  3. 建置網路應用層防火牆:如果電子商務是企業的營運重心,那麼建置網路應用層防火層會是最好的選擇,因為它與一般的網路防火牆不同,可以針對網頁存取的流量進行深度檢測,也能夠即時阻擋隱含的惡意指令。另外,網路應用層防火牆還可以隱藏網站的敏感資訊,並且保護使用者輸入的個人隱私資訊,像是信用卡號和身份證字號等,對於每日有大量網頁存取連線,以及提供金融交易服務的企業組織,網路應用層防火牆除了可以發揮安全功能之外,對於高流量的網頁存取連線,也有加速以及負載平衡的功用。
  4. 建立資訊安全稽核機制:在應用程式上線提供網路服務之後,仍需要定期進行弱點掃瞄,並且針對已知的弱點進行修補動作,若企業或組織已在閘道端佈署了網路應用層防火牆,應針對所有的網路連線流量加以檢查監控,並且保存可疑的攻擊記錄,確保惡意攻擊能夠被阻檔,也可做為調整防禦對策與存取控製清單(Web ACL)的參考。在了解針對應用服務的攻擊風險之後,企業或組織也需要適時地調整資訊安全政策,定期分析各項記錄檔並進行資安稽核,以確保漏洞皆已被修補,降低可能遭受攻擊的風險。
總結

過去,大家都以為只有上一些非法網站像是賭博色情,或是下載安裝非法軟體,才有可能被植入木馬、病毒等惡意程式;如今,很可能只要上網查詢目前正在上映的電影,看看熱門的體育影片,或是瀏覽週末假日想要去旅遊的網頁資料,就有可能成為下一位受害者。

因此值得注意的是,這些埋藏著危險威脅因子的網站,已不再是以往被視為危險性較高的賭博或色情網站,而是一般使用者都會經常上去瀏覽,像是電影、音樂、汽車、旅遊和飯店網站,還有許多商業、媒體和學術機構網頁等。

換句話說,今日網站所面臨的各項威脅,已是所有網站經營者都需要去重視的課題,因為當網站本身未做好安全防護,受害的將不只是經營者的商譽與民眾的信心,如果網站本身還牽涉到金融與電子商務的交易,一旦出了差錯,企業還必須要承擔巨額的賠償與復原成本,更會成為一項重大的營運損失。

所以,與其在網站被入侵之後再來忙著亡羊補牢,倒不如事先未雨綢繆,確實做好各項網站安全防護工作,以降低資安問題發生的風險。(本文刊載於2007工商時報電子資訊工業年鑑)

沒有留言: