筆者最近在研讀法律課程,無意間在查找資料時,看到法務部被駭的新聞(新聞連結請參照下方(1)事件),有點傻眼,仔細想想,有些的駭客,只是想演練其技術,至於說內容重不重要,他們也不見得看得懂,但是,有些案件的個人隱私,如果被有心人士轉賣獲利,那可就非常嚴重,甚至有些重大案件,資料提早外流,影響司法審判,那真的會造成嚴重的無形的社會成本支出,尤其目前新聞媒體如此發達,重要的卷宗外洩的後果,那牽涉的層面可能是一發不可收拾,因此不可不慎。
(1)事件:司法院隔離外網還是被入侵 (新聞連結:原文網址: 司法院遭駭!隔離外網還是被入侵 謝昀澤:未更新系統是漏洞 | ETtoday財經 | ETtoday新聞雲 https://www.ettoday.net/news/20180319/1133196.htm#ixzz5TIg4X1fA )
(2)被攻擊單位:台北地方法院公文主機、台南地方法院電腦教室
(3)系統:Windows XP、Windows 2003
(4)時間:2018年3月
(5)攻擊方式:利用延遲更新過時作業系統漏洞
法務部從去年開始,就開始導入所謂的無紙化,過往在審判過程裡,有的案卷堆起來可能跟兩層樓高一樣,把資料讀完,才能寫判決書,開庭時,也要隨時翻查,所以為了方便搜尋關鍵資料,這個無紙化政策是加速辦案的一個正確方向。
當然法務部在推動這一系列無紙化過程,當然注意到資安的問題,所以每個卷證檔案都提供加密防護,例如說,採用AES 256加密演算法來加密儲存檔案,每當要將檔案匯出下載或開啟檔案時,都必須經過晶片鎖及開檔密碼的雙重驗證,並搭配專屬特定的PDF編輯軟體才能打開,以確保即使檔案的安全等等。其中針對上述的晶片鎖使用也建立一套晶片鎖管理系統,並透過系統來進行權限管理,每一位配置晶片鎖的檢察官,只能開啟自己配屬股別案件的卷證電子檔,而無法打開其他檢察官案件的卷宗檔案來查看。以上這些,法務部都有建立SOP流程,這樣看起來,似乎是沒問題。
但是,讀者們千萬不要有錯誤的觀念,認為SOP訂完照著做就沒事
,以資訊業發展如此迅速的情況下,假使SOP沒有隨時修正,那麼這個SOP反而變成一個大問題,因為魔鬼可能藏在細節裡,就好比金庸的小說,笑傲江湖裡面說的,令狐沖發現避邪劍法在強,畢竟還是有破綻,只是破綻一閃即逝,快到讓敵人來不及出手就消失了,但最後招式不免重複,只要在重複的時候,搶先一步攻入破綻,那自然劍招就瓦解了。
同樣的,如新聞裡所說,司法院的做法雖然做了『實體隔離』
(詳見新聞連結),這種做法雖然是讓系統處於內網形式,但是很多入侵者,都是很善於等待的,他們就是在等待某個人犯錯,或是某個流程錯誤再出現,這時就能找到正確攻擊時點,大舉入侵系統,攻城掠地一般,洗劫這個系統。
我們也看到新聞說的,司法院目前已全面在主機布建APT(進階持續性滲透攻擊 Advanced Persistent Threat, APT)防衛系統,但是不經讓人懷疑,老舊系統到底有沒有專人在持續更新安全性呢?這是新聞裡面沒寫到的部分。
以下引用一篇報導對APT做個解釋:(原文引用自台灣微軟資安部落格: https://blogs.technet.microsoft.com/twsecurity/2013/07/07/apt/ )
『根據美國資訊網路公司 Mandiant 在2013年所提出的調查報告中可將 APT 攻擊歸類成以下的生命週期來進行:
- 初步的入侵:利用一些釣魚網站或電子郵件來做為入侵的媒介。
- 建立立足點:植入 Rootkit 等惡意程式以掌握使用者系統。
- 取得管理者權限:利用破解密碼等方式取得該電腦管理者權限。
- 內部偵查與平行擴散:找尋該主機附近的其他主機或伺服器,並伺機取得其內部資料庫儲存之機密資料。
- 持續監控並完成任務:持續掌控資料庫伺服器或是主機,並將資料匯出達到竊取機密的目的。』
光就上述第一點,就已經防不勝防,目前所謂的網路釣魚(Phishing),就已經是千變萬化,防不勝防了。例如一些email,只要不注意就很容易點開,造成病毒擴散。
因此,筆者結論,科技始終來自人性,人性始終存在,資安始終會有漏洞。