原标题:台积电为何迟迟不修补机台Windows漏洞?不是不愿意,其实是无能为力
图片来源:台积电
台积电爆发了台湾史上最大的资安事件,一支WannyCry变种病毒瘫痪了全台各地厂区多条生产线,预估营收损失高达52亿元。台积电在事件发生后,一连多次公告来说明事件原因和影响,甚至台积电总裁魏哲家接同多位主管,亲自对外召开说明会。
台积电启动紧急应变作业,不到三天全台所有产线就完全恢复生产,获得不少好评,但从这次中毒事件,也暴露了台积电内部资安防护上的几项风险。
之所以发生这起资安大事件,第一个出问题是供应商。为何来自供应商的新机台,竟然一出厂就内藏了病毒?台积电在记者会上没有回答这个问题,只说明他们还在追查中,也没有说明问题机台来自哪一家厂商,甚至是哪一种用途的机台都不愿透露。
台积电产线大规模中毒关键6因素担任第一道资安防线的供应商把关不岩,导致病毒夹带在新机台中,潜入了连一支USB都不能带进场的台积电晶圆厂,供应商得负起一定的责任,这是供应商管理的议题,这是造成中毒的第一个关键因素。
但对企业来说,也不能全然将自家安全放在别人的手上。因此,无论如何,新机台进厂,企业也需自有一套检查措施,来确保进场的设备没有问题。台积电也是如此,甚至,魏哲家自己都承认,机台内有病毒不是正常现象,“每个行业都应该自己先对机台设备做防毒处理,这是基本机制。”他在记者会上坦言。
台积电的确有一套严密的新机台检查作业程序,担任第二道防护关卡,而且是已经用于台积电各地厂房,安装了数万次新机台。但在一万次中,就出现了一次SOP操作疏忽,安装人员在扫毒之前,就将新机台先连上网络,这是中毒酿灾的第二个关键因素。
机台离线扫毒并不困难,就算新机台中没有安装防毒软件,防毒软件公司也有USB形式的扫毒棒,只要安装到机台上,就可以自动扫毒,不用在机台上安装程式。
对许多病毒而言,先扫毒再开机,或是先开机再扫毒的防护或侦测效果是一样的,端看防毒软件能否侦测出病毒,但是对于WannyCry勒索软件这支病毒,这两者却有天壤之别。
因为WannyCry勒索软件是一支具有主动感染功能的电脑蠕虫,甚至会像系统预载程式一样,只要已感染的电脑一开机,短短几分钟内,就会开始扫描同一网络上的其他电脑,一发现有SMB漏洞的电脑,就以EternalBlue攻击程式主动入侵感染那一台电脑。台积电维修人员这一个违反SOP的小动作“先连网再扫毒”,就让这支蠕虫病毒,有了可趁之机,开始发动攻击,入侵其他电脑。这是第三个中毒关键因素,遇上一支自动感染的自动感染能力的WannyCry蠕虫。
第四个酿灾关键因素是,台积电为了效率,将北、中、南各地厂房都串连到一个大型网络中,称为生产内网。虽然有别于企业OA内网,生产内网不只和外部网络隔离,也和OA内网隔离,但是在生产内网内,对于WannyCry蠕虫所利用的445埠通讯,缺乏有效阻挡的机制,因此WannyCry蠕虫如入无人之境,可以一台台感染、扩散到各地。
第五个中毒关键因素是,台积电许多机台设备采用的作业系统是Windows,尤其这次受害的机台主机是Windows△7。尽管这个Windows不一定是标准版本,而往往可能是厂商自行修改订制后的版本或是嵌入式版本等,但对于SMB这类基本的445埠服务,也大多有支援。因此而成为WannyCry蠕虫可以攻击的对象。
最后一个中毒关键是,这些采用Windows△7系统的机台主机,没有更新到SMB漏洞的修补程式,而让WannyCry可以成功入侵来感染。
这六个中毒关键因素,只要有一个失效,就可以成功阻止感染,也就不会发生如此大规模的灾情。
其中,众人最不解的是,WannyCry勒索软件早在去年5月就引起全球大感染,微软也早就释出了Windows作业系统的SMBv1/SMBv2(Server△Message△Block)漏洞修补程式。换句话说,就算是WannyCry变种,若都是锁定同样的445埠来发动攻击和感染,只要更新作业系统,就能避免感染。尽管台积店产线满载,想要挪出空档时间停机来升级OS,的确是一件挑战。但病毒现身至今,足足超过了1年,外界对台积电迟迟还未更新Windows△7的SMB漏洞而十分不解。
一般企业OS环境中的电脑,只要排定更新时间,不影响日常作业下,就能更新,若是像是执行关键系统的底层OS要更新程式,则得费一番功夫,先做更新模拟,例如银行圈会先在安装同样软件和系统的测试机上升级,执行一段时间来观察,更新程式是否稳定,才会着手升级线上系统,也就是说,这不是无法执行的难题。图片来源/台积电
台积电总裁魏哲家坦言,一来得挪出可关闭机台的时机,二来还得找到机台原厂才能想办法进行更新,这是台积电Windows△7更新无法完全到位的原因。?
机台OS更新3大难题不过,台湾趋势科技技术顾问简胜财表示,对高科技制造业而言,想要更新机台OS,不是一件容易的事。常见有三大难题,第一是,许多老旧机台设备往往使用多年,供应商早已不再提供支援,IT人员想要升级,会担心发生问题无人可协助而不敢进行。第二是,企业采购机台设备时,往往是软硬件整套购买,包括内部软件、周边硬件和OS。为了避免影响设备的效能或功能,供应商甚至不会开放OS权限或禁止企业IT人员安装任何软件或工具,除非供应商自行释出更新,否则,科技业IT部门很难对这类机台的OS自行升级。第三种则是许多机台采用的不是标准OS,而是订制后的嵌入式Windows版本,但微软释出的更新往往以标准版为主,这类机台也需要供应商才能处理,IT人员也不敢担保升级后会不会造成机台问题。
甚至一位在南科担任过半导体厂长的业界主管坦言,许多机台厂商在OS上还安装了各自独特的硬件驱动程式,微软更新程式的相容性测试,根本无法涵盖到这类产业专用的特殊硬件驱动程式。贸然升级微软的驱动程式,是否会造成系统冲突而当机,IT往往没人敢担下这个责任。
所以,魏哲家在记者会上才会坦言,台积电机台更新进度的确比较慢,一来得挪出可以关闭机台的时机,二来还得找到机台原厂,才能想办法进行更新,这是台积电Windows△7更新无法完全到位的原因。不过,他还是承诺会想办法找出时机来解决此问题。但在这之前,台积电生产网络环境中的Windows△7机台,仍旧处于不设防的高风险状态。这也更加凸显了,企业得搭配其他防护机制或多重资安措施的重要性,例如防火墙隔离、网络攻击流量侦测、或是更严格的应用程序白名单管制、也能搭配虚拟补丁的措施等,在OS更新空窗期间加强防护。
高科技业者机台设备的更新任务,比起一般企业IT主机或者是OA环境的OS更加困难,不是高科技业者自己不愿意更新,而是无法只靠他们自己的IT团队就能解决。图片来源/台积电
?
?更多台积资安事件相关报道?
【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(上)
【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末(下)
相关:
假新闻充斥惹议,WhatsApp再被爆含有可窜改通讯内容的安全漏洞
图片来源: Check△Point 就在WhatsApp因假新闻事件被印度政府盯上的时候,以色列资安业者Check△Point在本周踢爆WhatsApp含有可窜改通讯内容的安全漏洞。WhatsApp为一跨平台且强调端对端加密的免费通讯程式,在2014年
资安一周第3期:台积电总裁亲上火线解释病毒感染事件。新加坡史上最大网络攻击,怀疑是政府骇客发动的APT攻击
针对台积电8月3日发生机台停摆事件,该公司8月6日在证交所召开重大讯息说明记者会,由总裁魏哲家率领多位高阶主管亲自上阵说明。(图片来源/翻摄自苹果日报脸书直播) 0801-0807一定要看的资安新闻??台积电? ?勒索
永恒之蓝病毒变种 台积电公开攻击详情 | 香港 UNWIRE.HK 玩生活.乐科技
为 Apple 代工生产 A11 Bionic 等处理器的晶片生产商台积电,于刚过去的周末受到电脑病毒攻击,虽然台积电很快就将病毒威胁解除,但依然导致部分生产线需要暂时停工 1 至 2 天。有分析指此次是有预谋的袭击,目的可能
台积电机台停摆元凶,证实是WannaCry变种病毒,因新机台带有病毒,先上线才进行防毒处理,加上生产设备网络全部连结一起,导致大规模感染
图片来源: 翻摄至苹果日报脸书直播 针对台积电上周五(8月3日)傍晚发生机台停摆事件,该公司在8月5日下午4:30分发出新闻稿,初步公布电脑病毒感染事件影响,今天下午(8月6日)在台湾证券交易所召开重大讯息说明记者
示意图,与新闻事件无关。 图片来源: TSMC 台湾积体电路制造(台积电,TSMC)在上周五(8/3)传出工厂机台遭到病毒感染,引起媒体争相报道,台积电除了澄清并非遭到骇客入侵之外,也在周日(8/5)说明是在安装新机