原标题:【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(下)
图片来源:台积电
台积电晶圆厂之所以爆发大规模的病毒感染有两个关键,台积电总裁魏哲家坦言,原本新机台上线的程序,是必须先通过防毒软件的检测,才能连上网络,但此次的疏失是,安装人员先将机台连上网络,再开始进行防毒处理。但当时准备上线的这一部新机台,本身内有病毒,在未经网络隔离及防毒系统处理的人为疏忽下,就连接到台积电的生产网络当中,再加上为了达到最佳的生产效率,该公司台湾所有厂区的生产网络全部连结在一起,才会因为一台病毒感染,就造成竹科、中科、南科厂区的相关设备受到大规模感染,导致如此严重的后果。而境外厂区,如南京晶圆厂,因台积电台湾厂区与海外厂区之间设有防火墙,因而阻断了病毒的境外感染,没有影响到国外厂区。
去年5月爆发全球大流行的WannaCry病毒,短短2天内,就袭击全球150多国,攻击数十万台电脑受到攻击,从英国、美国、德国、俄罗斯到亚洲的中国、韩国、日本、泰国、台湾都传出灾情。
例如韩国一家连锁电影院旗下50家间戏院都被WannaCry入侵,而日本JPCERT则统计去年当时有6百家日本企业,超过2千台电脑遭攻击,而中国灾情更是严重,根据中国防毒软件公司奇虎360统计,中国起码有3万个机构遭WannaCry攻击,包含政府机构、大学、医院及自动提款机都遭殃。台湾至少有10所学校共59台电脑被攻击,台电公司也有116台行政电脑被攻击,甚至有医院的行动护理车也中标。
WannaCry之所以能快速感染全世界的关键是,它利用了微软作业系统的SMBv1/SMBv2(Server△Message△Block)漏洞,并且采用了遭骇客组织公开的美国国安局(NSA)攻击工具EternalBlue(永恒之蓝),因而可以主动感染其他具有SMB漏洞的Windows电脑。一旦WannaCry入侵电脑后,就会开始扫描同一个网络上的其他电脑,只要发现没有修补SMB漏洞的电脑,就以EternalBlue攻击程式主动入侵该电脑,一旦渗透成功后,WannaCry勒索软件就会在受害电脑自动执行,一方面将受害电脑的档案逐一加密,另一方面则继续入侵其他有SMB漏洞的电脑。
虽然台积电遭遇的是WannaCry变种病毒,据台积电资讯技术资深处长陈文耀补充,这款WannaCry变种病毒,没有加密机制,而是会造成系统发生了当机或是重复开机等症状。但是这款WannaCry变种病毒仍是一个能够自动发动攻击和感染的电脑蠕虫。这也是为何,台积电新机台一连上网络,就会造成大规模感染的关键。
根据台湾赛门铁克首席技术顾问张士龙估计,新机台一开机完,WannaCry变种病毒就开始自动感染扩散,只要没有阻断445埠的通讯,几个小时,病毒就能快速扩散到其他县市的厂区。台积电在资安事件发生后快速向多家资安厂商寻求解决方案,赛门铁克也是其中之一,因此,张士龙对实际状况有更多的了解。
在复原作业上,魏哲家说,在制程较为先进的厂区当中,因为系统架构更复杂,受影响的层面较大,因而恢复的速度也越慢。所以在星期天下午复原的比例先达到80%,而到了8月6日下午,则已回到全线生产的状况。台积电也因此启动了紧急应变程序,加强与客户之间的沟通。
一般处理上,WannaCry病毒只能采取系统重灌的作法,才能彻底排除隐忧。半导体公司在新机台进驻时,多半都会先建立一份机台系统档案的原始映像档,作为日后系统复原之用。而进入生产阶段时的机台,会储存了不同订单的生产配方资料,甚至还有根据产线特定而调校过的配方参数,企业也多半会每个月备份一次到多次,依不同公司备份习惯而定,因此,台积电只需重新安装机台系统,并从内部备份系统中,将原有备份的机台生产配方和参数资料回复,多数可恢复生产。日常充分的备份工作,是遭遇WannaCry病毒攻击时,能快速复原的关键。
因为中毒事件预估冲击营收高达数十亿元,台积电8月6日在台湾证券交易所召开重大讯息说明记者会,解释事件经过和最新处理状态,台积电总裁魏哲家亲自上阵,连同IT、资安、财务等主管对外说明。
主要冲击是交货延迟问题虽然,这次大规模感染的病毒是WannaCry变种,但魏哲家强调当中并不涉及恶意软件的绑架、骇客攻击,也跟USB装置中毒无关,病毒是原本就藏在新机台中,也非安装人员私自夹带入厂,并非来自公司外部或内部的攻击,纯属疏忽,同时,他也表明,公司现有资料的完整性与机密资讯的保存,均不受到影响。后续处理上,魏哲家表示,目前要优先解决的是延迟交货问题,预计第四季全数补回,并对顾客说明事件处理细节。
一般半导体晶圆制程上,是采一层层叠加的方式来制作晶片上的电路,平均一层得花上1天,技术优良的厂可以缩短到一层0.8天,一般24纳米晶圆上需要40~50层作业,就得花上30~40天,只要制作中断了,就得几乎得从头开始,这也是为何产线无预警中断,对晶圆厂影响甚巨的缘故,若是更复杂的7纳米先进制程,需要80~85层,就至少得花上连续不中断的60天作业。
台积电这次造成产线大当机,最大影响不只是制作到半途的晶圆,若无法使用得报废,而且得从头开始制作,若是已经接近完工的晶圆,等于60天的工作一夕作废,得重头再来。这也是为何魏哲家强调,目前首要工作是解决延迟交货的问题,而且得在第四季,花上一整季来想办法补齐。
预估营收损失从78亿元降低到52亿元,但仍是破纪录灾损而在损失预估上,原本8月5日公告中揭露的预估损失高达78亿元,但在星期一这场公开说明会上,魏哲家表示,经过更准确的评估后,预估损失将从对第三季营收影响3%,降低到只有2%。换句话说,损失预估值将降低到52亿元。而造成营收损失的原因主要来自报废晶圆、晶圆或物料重新调度的成本,追加的原物料等。而交货延迟的问题,魏哲家透露,目前受影响顾客不会向台积电要求赔偿,只是得尽快解决。他预估,第四季可以补回所有这次事件造成的延迟交货。
一位曾在南科担任半导体厂长的业界资深主管透露,产线中断的影响,得经过一定程序的检测和判断才能得知。产线机台系统上会有报废损失的预估,可以知道第一时间生产中断可能的损失,但可能有些晶圆作业可以重来,例如晶圆正在加温到300度的过程,但还未达300度,只需重新加温就可继续使用,或者正处于天车移动中的晶圆,若无限时完成下一步处理的必要,这类运输过程的晶圆也多半可再继续使用。经过检测或判断,可以知道哪些晶圆还能回收,或只需少数重工就能续用。因此,可以更精准地估算损失。
尽管损失从78亿元降低到52亿元,仍旧创下台湾资安史的纪录。魏哲家承诺,不会再让同样的事情发生。台积电将尽快开发新机台安装自动检测机制,搭配原有的人工检查作业,重轨并行。另外,台积电也正在开发连网防呆机制,未来新机台安装部署时,会导入防呆的机制,只有完成双重检查的设备,才由系统授权连上生产内部网络,以排除人为疏失。落实系统自动化检查,排除所有的人为因素,这些设备若未施行任何的防范措施,就不允许其上网,并且会建立机台之间的防火墙。长期措施上,台积电资讯技术资深处长陈文耀也表示,会持续与资安单位合作,来强化相关资安系统。而因为全台各晶圆厂都串连在一个生产网络上,每一台机台Windows△7系统的更新和修补工作也成了台积电未来的重要工作之一。魏哲家表示,将寻找适当时机全面更新。
台积电全台产线中毒大当机事件,经过4天风波,暂时告一段落,但诚如魏哲家在公开记者会中语重心长的坦白:“装过几万架机台,台积电第一次发生这种事情,我们才发现,人类不可能不犯错。”就连全球半导体龙头,台湾业界的资安资安生,都会犯错。这一个看似无害的违反SOP小疏忽,最后竟导致52亿元的预估营收损失,不只对台积电而言是一次惨重的教训,也是台湾全部企业的一堂资安震撼教育。
?更多台积资安事件相关报道?
【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(上)
台积电为何迟迟不修补机台Windows漏洞?不是不愿意,其实是无能为力
相关:
美国洛杉矶一间超市发生挟持人质事件,一位逃避警方追捕的疑犯撞车后,在街上连开数枪,之后走入超巿。报道指,疑犯冲入超市时,有顾客尖叫逃离,相信超巿内部分职员及顾客已被挟持作人质,警方已大举包围现场。美国
美国洛杉矶警方成功解决银湖区超市的抢手挟持人质事件,疑犯被锁上手扣带走,超市一位女子死亡。事发于当地周六下午一点半,疑犯驾车逃避警方追捕期间撞车,之后在街上与警员驳火,并冲入超巿挟持顾客,经谈判专家游
美国洛杉矶警方成功解决银湖区超市的枪手挟持人质事件,疑犯被锁上手扣带走,超市内一位女子死亡,另一位疑犯逃走时挟持的女子受伤送院,情况稳定。事发于当地周六下午一点半,疑犯驾车逃避警方追捕期间撞车,之后在
美国传媒指联邦调查局取得一段,总统特朗普前私人律师科恩,在前年总统大选前两个月,秘密录下与特朗普的对话录音,内容提到向一位声称与特朗普有染的花花公子离志前模特儿麦克杜格尔,支付掩口费。正在新泽西州度周
世界头号黑客 Kevin Mitnick 传奇事件簿 黑客眼中的区块链科技 | 香港 UNWIRE.HK 玩生活.乐科技 | 有趣科技产品新闻、评测
如果要选一个最令人崇拜的罪犯, Kevin Mitnick 会是小编的选择。入侵电脑系统,是现年?55?岁的 Kevin Mitnick 前半生的嗜好,后半生的事业。他在电脑入侵方面的“伟绩”,令他在?17?岁时成为世界上第一个因网络犯罪