iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 1
5
Security

三十篇資安實例分享及解析系列 第 1

三十篇資安實例分享及解析DAY 1--美國證券交易所受駭,美國證券交易所延遲一年才公佈受駭訊息

選今天國慶日開始發文,因為資安即國安,願台灣永保安康,國泰民安!

這幾年駭客事件頻傳,以下三十天,將會以資安的案例來做一個探討,從實例中了解資訊安全的重要:

(1)事件:美國證券交易所受駭,美國證券交易所延遲一年才公佈受駭訊息
(2)被攻擊單位:美國證券交易所(SEC)
(3)系統:EDGAR(類似台灣的公開資訊觀測站,網址:https://www.sec.gov/edgar.shtml
(4)時間:2016年9月
(5)攻擊方式:系統漏洞

首先,先解釋這個單位EDGAR是一個類似台灣公開資訊觀測站的系統,英文是Electronic Data Gathering, Analysis, and Retrieval system,中文翻譯是『電子資料取得、分析及訊息檢索系統』,注意它是個『系統』,換句話說,就是美國政府在管理上市公司的所有公開資訊的網站,所謂的公開資訊就是他裡面有公司的財務資料、股東資料、重大訊息等等,換句話說,你如果想了解一家美國的上市公司,你就可以上這個網站,輸入公司代號,例如你想找APPLE,你就輸入AAPL(APPLE公司的股票代號,注意美國上市公司跟台灣不同,不是用數字做為代號,而是用英文字母),你就可以查到APPLE公司所發佈的任何公開訊息。

我們用台灣的公開資訊觀測站來解釋,大家可能就會比較了解,這是台灣公開資訊觀測站的網址:
http://mops.twse.com.tw/mops/web/index ,當大家點進去之後,映入眼簾是以下這個畫面,

請大家注意看,中間是公司上傳的重大訊息新聞,主旨都很清楚,我們不說太多高深的駭客技術,我們盡量用實務讓大家了解,筆者是在上櫃公司擔任過稽核,也必須在固定的時間上交易所的系統申報訊息,交易所給上市櫃公司一片磁卡,必須透過讀卡機認證之後,才能進行申報。但是,如果申報者的筆電或者PC,早已經被木馬所入侵(如果讀者認為公司的防毒軟體跟防火牆很夠力,那就不用太擔心),此時,申報資訊就很容易先被截取,進而影響之後的股票交易結果。

有了以上的概念,我們再來看EDGAR的頁面,如下圖所示:

我們在FAST SEARCH欄位輸入AAPL,接著,我們就看到下面的頁面,

下圖上半部紅色圈圈裡的欄位,分別是Filings(申辦案件)、Format(格式)、Description(敘述)、Filing Date(申辦日期)以及File/Film Number(申辦代號)

我們接著點選第一個申辦案件S-8進去,出現的畫面如下:

一共七個檔案,這些檔案都是該申請案件的公開說明書,我們此時選此畫面中第一個S-8的Form進去,就可以看到公開說明書的畫面,圖示如下:

從以上我們可以了解,或許從apple上傳時,apple公司的資安沒有任何問題,可是這是要傳到美國證交所的系統的資料,如果被外部駭客提早攔截到,那是否會產生不正常交易,又或者竄改S-8 FORM的資料,進而影響到股價呢?或者造成股市混亂?

這件事情,根據新聞報導,美國證交所是在一年之後才公佈訊息,雖然修補了漏洞,但是,美國民眾已經對這種處理態度失去信心,而且懷疑有內線交易的問題存在。

對此,我們必須說,資安永遠是個難解的問題,無盡的循環,入侵-->防護-->入侵-->防護…,但是,以一個將近6000家的證券交易系統,影響美國金融資本市場的單位之巨大,實在不應該延遲到一年才公佈訊息,因此該如何監督以避免此事再發生,筆者認為資訊透明化是非常重要的,台灣政府有通報平台,例如教育機構資安通報平台
https://info.cert.tanet.edu.tw/ 、國家資通安全通報應變網站https://www.ncert.nat.gov.tw/ 等等,就是要做到資訊透明化的方向與目的。

大家都要有認知,有些駭客入侵的問題,並非馬上能解決,很多時候都需要時間,大家都要知道,這是一個戰爭,一個相互的對抗,如果能透過媒體第一時間公佈處理的訊息,雖然短時間內會招致很多非難,但至少顯示政府單位積極處理及解決問題的態度。


下一篇
三十篇資安實例分享及解析DAY 2--駭客勒索比特幣,癱瘓台灣券商交易系統
系列文
三十篇資安實例分享及解析30

尚未有邦友留言

立即登入留言