iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 18
3
Security

三十篇資安實例分享及解析系列 第 18

三十篇資安實例分享及解析DAY 18--三立電視台離職工程師,涉嫌利用「洋蔥網路」,駭入三立的網路影音平台「Vidol」,刪除主機資料並複製金鑰檔

『確實是有某些東西是無法經由語言來轉達的。不過這句話只有已經腸枯思竭的人才能夠講。』
                                                     --銀河英雄傳說 楊威利名言

一轉眼,寫了十八篇了,雙十國慶已經過了十八天了,突然想到,在腸思枯竭前,到底有沒有表達到資安想要表達的東西呢? /images/emoticon/emoticon13.gif

==================================================================

(1)事件:三立電視台離職工程師,涉嫌利用「洋蔥網路」,駭入三立的網路影音平台「Vidol」,刪除主機資料並複製金鑰檔(新聞來源: https://www.chinatimes.com/realtimenews/20171226002685-260402 )
(2)被攻擊單位:三立
(3)系統:影音平台「Vidol」
(4)時間:2017年12月
(5)攻擊方式:利用洋蔥網路,入侵系統後刪除檔案

先定義一下,何謂『洋蔥網路』,

洋蔥路由(英語:Onion routing)為一種在電腦網路上匿名溝通的技術。在洋蔥路由的網路中,訊息一層一層的加密包裝成像洋蔥一樣的封包,並經由一系列被稱作洋蔥路由器的網路節點傳送,每經過一個洋蔥路由器會將封包的最外層解密,直至目的地時將最後一層解密,目的地因而能獲得原始訊息。而因為透過這一系列的加密包裝,每一個網路節點(包含目的地)都只能知道上一個節點的位置,但無法知道整個傳送路徑以及原傳送者的位址。

本來這是一個加密的作用,並非攻擊手法,但是,反過來說,如果入侵者透過這個方式來攻擊,相對的,要抓到入侵者的難度就會升高,早在2016年就有發生過類似事件,

以下引述自由時報的新聞:

台灣首件偵破案例是去年(2016年)7月泓科科技公司比特幣遭竊案,駭客當時透過「洋蔥網路」手法,經由烏克蘭、美國、法國等10餘國進行境外攻擊,盜取員工帳號密碼後,再登入泓科內部系統,將市價逾5000萬元的2400枚比特幣轉往國外。

虛擬貨幣目前台灣已經要列管了,上星期的經濟、工商兩大報都有專刊報導,筆者後續會針對這部分再做分析,本篇主要重點,就放在離職員工的資安問題

這兩位離職員工身分是三立影音平台的開發者團隊成員,本身就知道影音平台的發展始末及技術,離職之後,因為對於前公司有所不滿,因而入侵『破壞』三立的影音系統,洋蔥網路本身只是個隱藏工具,這兩位工程師最大問題,是在竊取金鑰跟刪除檔案。

講個題外話,目前一般公司,對於離職員工離職時,都會註銷他的權限,以及銷毀硬碟等等,但是有個問題就是檔案重製的問題,該如何規範?在2013年左右,聯發科的一位離職工程師,在離職時,將200多個專利檔案複製後,繳回空白硬碟,完成離職手續後,將這些專利轉出去,謀取不當利益,聯發科因為這樣,而照成重大損失。引述一下官方數據:

台灣二○一七年違反「營業秘密法」的技術竊密案高達廿一件,較二○一三年的八件激增逾一.六倍,包括台積電、聯發科、華亞科、南亞科、聯詠、美光台灣子公司等半導體業者的技術都落入中企手中。

我國的營業秘密法,在民國八十五年就已經制定,目前最新的版本是102年更新的版本,然而,這個營業秘密法強調的重點是在於『意圖為自己或第三人不法之利益,或損害營業秘密所有人之利益』,換句話說,就是要證明有『利益』才能起訴。然而相對於這兩位三立的工程師,起因只是對前公司的不滿,因而破壞系統,這就不適用營業秘密法的不法利益。

因為不涉及利益跟洩漏問題,所以讀者可以參考以下刑法的規定,了解一下罰則,注意最後363條,這是告訴乃論罪,不是想撤就能撤告的:(引用自全國法規資料庫)

第 三十六 章 妨害電腦使用罪
第 358 條
	無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

第 359 條
	無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

第 360 條
	無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。

第 361 條
	對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。

第 362 條
	製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。

第 363 條
	第三百五十八條至第三百六十條之罪,須告訴乃論。

筆者不知道公司有沒有告知即將離職資訊部門員工,上述的一些法律規定,但是,以筆者看過跟查核過的公司,基本上,幾乎都沒告知,這主要還是人資部門跟資訊部門缺乏法律知識,交接過程也沒有告知違法的重要性,反正,要離職的人最大,不需要為難離職的人,筆者也離職過,大致上心態就是這樣,兩方都不想互相為難或是找麻煩,所以,很自然的,很多離職員工就會在離職後,做出不合法的事情。

法律也是防範資安的一個手段,本篇也分享給大家了解法律的重要性。


上一篇
三十篇資安實例分享及解析DAY 17--嫌犯利用民眾設定密碼習性,破解Google雲端竊取個資,轉走銀行存款
下一篇
三十篇資安實例分享及解析DAY 19--個資蟑螂集團,涉從不詳管道取得全台一億七千萬筆全民個資,自行開發系統,販售給房仲
系列文
三十篇資安實例分享及解析30

尚未有邦友留言

立即登入留言