原标题:资安周报第29期:勒索软体横行之怪现象,连金融业也沦陷
使用者一旦被勒索软体绑架,加密电脑中的档案时,就得设法支付赎金以取得解密金钥,但问题是,有更多时候就算付钱取得私钥,加密的档案也不见得可以完全被解开。(此为示意图)
图片来源:iThome
如果要说,今年台湾民众对于资安意识有那幺一点点提升的话,跟勒索软体的横行一定脱离不了关係。以往,不论资安专家讲的多幺口沫横飞,台湾政府遭受多幺严重的APT(进阶持续性威胁)攻击,或者是大量的民众个资外洩,遭到骇客使用资料拼图手法利用可能对民众带来的伤害,甚至是,有出现商业上的诈骗等等,许多民众往往都感受不到资安威胁到底有多严重。
但是,勒索软体却不一样,对民众带来的都是血淋淋真实的痛感,甚至有民众可能因此才意识到,原来资安跟你我是息息相关的。包括你我在内的每个人,身边的朋友或多或少都有听过,可能有谁一不小心,电脑中的资料就被勒索软体加密了,可能是存放在电脑中小孩的照片,或者是公司里重要的档案都因此被加密,也造成不同程度的实质损失。因为受骇的对象就是你我身边的亲朋好友,每个人损失的几乎都是日常生活中,最频繁使用、最重要的资料,被骇的感受也因此特别深刻。
除了身边亲朋好友受害外,也传出包括台湾某银行业者的台湾分行及海外分行分行主管的电脑,从去年开始企金,都曾经多次遭到勒索软体加密电脑档案,连该银行资讯部门高阶主管也曾经受害。连台湾最重视资安的金融业也遭勒索软体打穿,这也证明,台湾已经沦为勒索软体之岛了。
恶意网站加上没有更新的电脑,扩大勒索软体加密电脑档案危害程度
许多人受害都是因为浏览一些不安全的网站,像是一些中国网站、色情网站或者是一些免费下载网站的网站,也会有人因为看到一些「抽奖」问卷,被利诱填写问卷的同时,使用者无意之间就在背景程式中下载了这些恶意的勒索软体。
除了浏览不当的网站页面外,造成更严重伤害的其实是,使用者浏览正常的网站,却因为网站被转址到恶意的网址后,使用者无意间就下载了恶意了勒索软体在电脑中,假若相关的电脑系统或应用程式没有更新到最新版时,就可能因此触发勒索软体的执行。
让人最无奈的关键在于,这些看似正常却大量散布勒索软体的网站,有很多因为是许多行业和民众经常使用的必要网站,资讯部门同仁甚至不敢封锁该网址,间接加深勒索软体蔓延的速度和危害的程度。
目前也已经证明,恶意网址其实是造成台湾勒索软体横行一个很关键的因素,据了解,从今年一月~三月左右,鉅亨网的网站被植入恶意程式;其他像是股票行情网站StockQ也同样被植入恶意程式;住房网从今年一月~四月,也有上百人因为浏览该网站,被导到恶意网址而被植入勒索软体。
虽然目前这些网站都已经默默修复,但在受害期间,因为这些网站有其必要性,但却因为外界都不知道该网站是散布勒索软体的「间接兇手之一」,都可能扩大受害的使用者人数和範围。据了解,也有多次遭到勒索软体危害的银行业者,最终不得不採用封锁使用者浏览上述网站的方式,以减低勒索软体的危害。
此外,今年六月初,因为台湾雅虎奇摩网站的网路广告播放平台中,所播放的网路广告被植入恶意连结,导致只要刚好浏览雅虎奇摩首页且正好轮播到恶意网路广告,而且使用者的电脑Adobe Flash并没有更新到最新版时,就可能因此中标,电脑档案就可能因此被勒索软体加密。
台湾这一波因为雅虎奇摩网站的恶意网路广告,而遭到CrypZ勒索软体加密档案危害者众,虽然没有详细的受害者统计数据,但引述一位资安业者的参考数据,先前每天大约有500封~600封左右的电子邮件是勒索软体相关的求助信件,现在则减少到每天大约50封左右。
台湾最重视资安的银行业,也成为这波勒索软体的受害者
整体勒索软体受害的灾情看样子减轻不少,但每个人受害的威胁程度却没有因此减少,更有甚者,台湾也传出有某银行业,包括台湾分行以及海外分行的行员电脑,从去年开始,每个月至少传出1~2次有行员电脑,陆续遭到勒索软体加密档案的灾情,甚至于,还有同一名分行主管的笔记型电脑,更是多次被勒索染体绑架,整台电脑的档案都被加密。
对于金管会银行局而言,勒索软体并不在该单位主要检查稽核的项目中,即便被查到有该项事实,顶多只是记一个小缺失而已,银行不痛不痒之外,甚至于,也传出该银行资讯部门最后选择直接将电脑重灌的这种最省事的解决方式。
金融业其实是台湾最重视资讯安全的重点产业之一,不仅多半有配置相关的资安人员,也愿意投资相对应的资源在资安防护上。但从这个例子看来,银行看来对于防範勒索软体的威胁是束手无策,对银行而言,多年的资安防护体系,则活生生被勒索软体打穿,甚至于,连资讯部门的高阶主管电脑也都受害,也让人对于银行业如何轻忽勒索软体威胁,感到不寒而慄。
除了银行业外,也有听闻传统产业面对勒索软体的怪现象。有某传统产业的老闆,因为想要随时知道公司的营运资料,所以老闆自己在家里有一台跟公司即时同步的档案伺服器,只要公司营运资料有任何更新,不刻间,老闆家中的档案伺服器也会有最新版本的资料。
传产老闆家中和公司电脑的营运资料,同步被勒索软体加密
只不过,某一天,老闆的特别助理发现,老闆的电脑跑起来特别慢,说时迟、那时快,原来老闆的电脑已经中了勒索软体,正在把老闆家中的电脑进行加密中;更惨的事情是,因为老闆的档案伺服器和公司的档案伺服器是同步的,当勒索软体加密完老闆家中的电脑资料后,连公司电脑的资料也都同步被加密了。
夸张行径不只如此,中了勒索软体后,总共有超过13万个档案被加密,因为这些资料都非常重要,老闆要求资讯主管找专家来解密,而资安专家在老闆家中的电脑进行数位鉴识和解密的过程中,则被要求要穿上类似无尘衣的装扮,担心资安专家在鉴识和解密的过程中,会有灰尘不小心破坏被加密档案的完整性而无法解密、无法复原。
据该名资安专家说法,在解密一个多星期的时间,目前大概只有大约3~4万个档案被解开,这些可以被解开的档案,是很幸运,在老闆特助发现老闆电脑不对时,立即拔网路线、关电脑,只被加密一次的档案,还有解开的机会;其他近十万个档案,甚至出现被双重加密的档案,是无法被解开的。
资安专家也指出,因为这次损失的营运资料是非常重要的资料,受害的老闆在第一时间,就已经要求他老婆付赎金,大约折合新台币五十多万元,但是取得档案解密的私钥后,并无法把档案完全解开,也没有办法和骇客有进一步的联繫,只好设法另请高明提供解密的协助。
高科技製造业釜底抽薪,评估半年对外连线全数改用Chrome浏览器
从许多勒索软体受害者的经验中,发现共通的使用情况都是使用微软的IE浏览器,往往会再加上没有更新到最新版的Adobe Flash应用程式,双管齐下,距离电脑被勒索软体锁定加密的时间也不远了。
因为在微软XP作业系统中,IE只能更新到IE 8;而在微软Windows 7作业系统中,IE只能更新到IE 11;至于,号称最安全的微软浏览器Edge则只存在Windows 10作业系统中。对于微软公司而言,汰换老旧、不安全的作业系统和不安全的浏览器,原本就是理所当然的事情;但对使用者而言,这其实就是微软无法迴避的原罪。
对于许多使用者而言,在微软的作业系统中,使用微软内建的IE浏览器已经是天经地义的事情,至于浏览器有没有更新、作业系统有没有更新,甚至于,应用程式有没有更新,对很多使用者而言,都已经是超出他们可以理解的概念。加上,有许多使用者并没有良好的电脑使用习惯,所有的按键都没有详读显示视窗的说明内容,一路只有下一步、下一步的按键选项,即便微软作业系统有提供类似UAC的软体安装时的防护机制,会先询问使用者,是否确认安装该应用程式时,面对这样的使用者行为,再多次的询问都是失效的。
因此,对于微软而言,作业系统内建的各种浏览器,尤其是IE浏览器,为了便利使用者,尊重使用者可以启用ActiveX,在IE浏览器中使用Adobe Flash应用程式。但对于许多麻瓜的电脑使用者而言,根本无法理解启用ActiveX的同时,也意味着,使用者已经自行判断要承担使用该应用程式所带来的风险。
我们当然可以「理解」微软公司尊重使用者的前提,尤其在台湾,不能使用Adobe Flash应用程式时,就表示苹果日报网站中的很多影片就不能看了,这对一般使用者而言,才是浏览器好用与否的判断依据。
但「不能理解」的地方在于,微软公司为什幺要将判断安全性与否的问题,丢回给技术麻瓜的使用者身上。像是Google推出的Chrome浏览器,根本已经预设禁止使用Adobe Flash应用程式,若使用者确定要使用该应用程式,必须自行安装其他外挂程式(Add On),当使用者有这个安装外挂程式的过程时,对于坚持使用结果当然就是「使用者自负」。
也因为勒索软体的中标都与微软IE浏览器以及Adobe Flash应用程式息息相关,便有资安专家表示,在新竹科学园区中,已有某间员工大约4万名左右的某知名高科技製造业者,经过去年下半年的评估后,在去年底已经正式导入,所有员工对外进行网路连线时,一律都强制改用Chrome浏览器,而IE浏览器在浏览内网资料时,仍然可以顺利使用。
根据该名资安专家的说法,这间高科技製造业只是改用浏览器而已,整体资安系统警告的讯息量就已经大幅降低,也提升资安部门判断公司资安风险的效率。
从这个经验判断,微软作业系统的使用者,如果可以在今年7月29日前,可以免费升级到微软Windows 10作业系统的使用者,都应该儘速升级到目前微软最安全的作业系统以及使用微软最安全的浏览器;但如果因为种种因素而无法升级时,禁止使用不安全的IE浏览器,改用其他预设禁用Adobe Flash应用程式的浏览器时,其实是保护使用者避免被勒索软体绑架的第一步。
上週(6/19~6/25)重要资安事件回顾:※苹果在WWDC没说的事:iOS 10核心不再加密
※调查:安全防护不足,逾半五百大网站可能沦为电子邮件诈骗帮兇
※新版Docker产品战略大升级,三大亮点:内建容器调度、预设启用资安、还要支援公云
※The DAO专案遭骇客盗走360万个以太币,价值暴跌逾40%
※IBM联手飞机网路服务供应商Gogo,採用乱流侦测演算法加强飞行安全
※Android抓漏奖励首年成绩出炉,中国研究人员抱走7.5万美元奖金
相关:
继脸书祖克柏之后,Google执行长Pichai的Quora与Twitter也沦陷了
图片来源: Google 日前挟持脸书(Facebook)创办人暨执行长祖克柏(Mark Zuckerberg)Twitter帐号的骇客团队OurMine周一(6/27)再度宣布已成功入侵Google执行长Sundar Pichai及Amazon技术长Werner Vogels的Quora或T
Container双周报第12期:新版Docker产品战略大升级,发展重心从容器技术发展转往应用程式
图片来源: Docker 重点新闻(6月11日-6月24日)·Docker产品战略大升级,DockerCon大会重点回顾Container圈的年度技术大会DockerCon近日在西雅图登场,吸引了超过4,000人参与,Docker技术长Solomon Hykes的一句话,更
英国公投结果脱欧派胜出,震撼金融市场,金管会现有三招控管金融业海外投资风险。金融监督管理委员会27日将出席立法院外交及国防委员会,就“英国脱欧公投结果对我外交、经贸之影响、挑战及因应”进行专题报告。金管
英国公投出乎意料以52%对48%支持脱欧,国內财金部会今(24)日紧急开会讨论因应措施,强调目前已将英国脱欧列为专案处理,且现阶段评估对台湾影响有限,但后续仍会密切观察,随时祭出像是国安基金护盘等措施。 英国公
英国公投结果,脱离欧盟派胜出,金融监督管理委员会今天公布统计,金融业对英国曝险约1.1兆元,在可控制范围。根据金管会统计,截至4月底止,39家本国银行在英国授信及投资曝险为1455亿元,其中授信428亿元、投资10