iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 21
1
Security

三十篇資安實例分享及解析系列 第 21

三十篇資安實例分享及解析DAY 21--多益測驗(TOEIC)遭駭,要求考生至ATM重新操作辦理退款或匯款,72位考生已遭詐騙

『必勝的戰略──至少聚集有敵方六倍以上的兵力,有者完全的裝備及補給,毫無差錯地傳達司令官的意思,就這樣。』
                                                   --銀河英雄傳說 揚威利名言

(1)事件:多益測驗(TOEIC)遭駭,要求考生至ATM重新操作辦理退款或匯款,72位考生已遭詐騙 (新聞來源:http://news.ltn.com.tw/news/society/breakingnews/1712315 )
(2)被攻擊單位:忠欣公司
(3)系統:TOEIC報名系統
(4)時間:2016年5月
(5)攻擊方式:截至目前為止尚不知如何洩漏

看到這則新聞時,筆者也想起過去為了留學,拚了命的準備托福、GMAT的日子,好在筆者考試那時,個資外洩的狀況還沒有這麼被重視,加上入侵的技術上也還沒那麼厲害,雖然詐騙電話當時已經非常橫行了,要買個資補帖也很容易,但是技術上還是沒辦法Match到報名的資料,這十年間的變化實在太大了,如果台灣早一點出手,抑制當時詐騙的犯罪,想來現在可能不會得到世界第一『詐騙』國家的美名了。

新聞當中,忠欣公司營運長在事情發生之後,發佈了一篇新聞稿,詳細內容可參考新聞連結,筆者節錄以下這段來說明一下:

忠欣公司(美國ETS台灣區總代理)….除了上述立即性的因應措施外,忠欣公司已尋求外部資安專家的協助,進行全面性了解,盤查資訊系統的安全性,以建構更安全的防火牆。

筆者所要探討部分主要是防火強對於資安的成效,前幾日看到一篇鐵人賽裡面一位參賽者Sergeyau的文章,很明確的點出防火牆的問題,本人也很認同他的說法,筆者就簡單說明一下問題,首先防火牆設定時,會先設定阻擋的規則,以明確先阻絕掉一些有問題的封包,但是這些能通過防火牆的封包並非絕對安全,正常情況下,如果能通過防火牆的封包,還是有問題時,就得要去檢視防火牆日誌,可是這樣其實也是很耗時間,就算從日誌上找到問題,再將防火牆設定加高,每加高一次就是增加防火牆資源的浪費,日復一日這樣下來,整個系統資源一定會被耗盡,我想這就是他所表達的"防火牆前面收集資料的缺陷是無法得到防火牆之後的流量資訊"。因此,在這個案例中,筆者就大概可以預測,忠欣公司可能沒辦法防止後續的詐騙問題,畢竟,第一,檢視日誌太耗時間了,其次,不是每個MIS都能從日誌內看出問題,而且就算抓到了,有些通過防火牆卻有問題的封包,該怎麼解決呢?

在此非常感謝Sergeyau的回覆,他認為還是要慎選防火牆軟體,免得花錢又沒得到該有的成效。筆者也認同這個說法,這部分還是得比較過各家廠牌的優劣在採購適合自己企業的防火牆軟體。

就另一個角度來看這個事件,除了探討防火牆的問題之外,還有就是多益題庫是否會外洩的問題,美國ETS考題,是用適性測驗的方式來進行考試,也就是前一題答的對或錯,會影響到下一題的題目,如果答對,則會變得更難一點;反之,如果答錯,會變得更簡單一些,透過適性測驗,能比較客觀的測驗出考生的英文水平,所以在這個考試,題庫就變得很重要了,也就是說,ETS一定會建置一個能夠依不同狀況調整的題庫,假如這個題庫被侵入,那麼公平性就會產生問題。

過去筆者因為是參加托福跟GMAT考試,因此沒有實際參與過多益考試,但還是可依這些考試經驗來分析,很多年前,在還沒有進入電腦化測試時,很多亞洲的學生,會透過時差的方式,到不同國家(例如新加坡或香港)的考場記托福的題目,後來進入CBT、IBT的電腦化測驗,很多中國大陸的學生就開始分享考試時候,所記住的題目,在藉由網路分享,讓題庫更趨於完備,雖非百分之百,但是能預先看到題型,尤其以字彙跟閱讀測驗這類題目,如果有先看過,就能加速答題時間。當然,最後中國大陸的人海戰術奏效,新聞有報導,ETS只好在同樣屬於留學資格考的GRE多增加30%的冷門字彙,來抑制這股人腦記憶人海戰。

筆者提到這段歷史,只是說明,就算資料庫在強大,還是可以運用這種螞蟻雄兵(呼應一下開頭的名言,這至少也有六倍以上的兵力)方式,另類的『攻破』考試資料庫,就算有很強大防火牆,一樣也會被推倒的。


上一篇
三十篇資安實例分享及解析DAY 20--東海大學計算機中心被駭,一企管系學生被收回畢業證書
下一篇
三十篇資安實例分享及解析DAY 22--內政部舉辦「身分證明文件再設計徵選活動」,遭對岸駭客攻擊
系列文
三十篇資安實例分享及解析30

1 則留言

2
Sergeyau
iT邦研究生 3 級 ‧ 2018-10-30 07:09:19

之前寫得不夠清楚,這裡補充一下。我的文章是以偵測分析為主,因為偵測分析是阻擋防禦的前一步。

而且就算抓到了,有些通過防火牆卻有問題的封包,該怎麼解決呢?

進一步用工具分析這些封包,偵測其中可疑或惡意的行為,便是網路安全監控NSM可以思考的地方。

忠欣公司這個案例,假設第一道防線(防火牆)被突破,有一台電腦A被入侵,接著從電腦A橫向移動,入侵到含有個資的TOEIC報名系統,竊取個資後藉由網路管道外洩回傳給入侵者。

一般大部分的反應會是:1.我們要構建更厲害的強防火牆,捉到惡意流量把它擋在牆外;2.買更厲害的防毒軟體,在電腦A就把入侵行為消滅掉。

但是我們不妨換一個思維看看其他的方法:

1.入侵往往是一系列行為的總和,事前會進行偵查、試探,我們想研究所有incoming網路流量,藉此提升偵測率與準確度。
方法:將NSM佈署在防火牆前面,進行偵測分析。

2.當電腦A橫向移動入侵到含有個資的TOEIC報名系統,我們希望能偵查到這個行為。
方法:在TOEIC報名系統裝設HIDS,或者以NSM監控這橫向移動的流量。(如果將NSM佈署在防火牆前面,無法監控到這橫向移動的流量,「防火牆前面收集資料的缺陷是無法得到防火牆之後的流量資訊」指的是這個問題。所以這種情況下要將NSM佈署在正確的地方。)

3.當個資藉由網路管道外洩回傳給入侵者,希望能偵測到這個行為。
方法:以NSM監控流量,監看傳輸的檔案是否為事先判定的機密檔案;或者檢視檔案本身是否有個資。加以警示。(這部分要先克服加密流量的問題)

檢視日誌太耗時間了,其次,不是每個MIS都能從日誌內看出問題,

這裡點出兩大資安界面臨的問題,一是反應時間,二是人才。運用工具(例如SIEM)可以試著解決,最近很多廠商把AI/machine learning投入在這一塊也是為了解決這兩個問題。至於成效和$$之間的關係,是否值得投資購買...就看囉^^

感謝!

Sergeyau iT邦研究生 3 級‧ 2018-10-31 00:13:44 檢舉

也感謝您的分享交流

我要留言

立即登入留言