iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 3
2
Security

資安戰爭 三十六計系列 第 3

資安戰爭 三十六計之第3計:借刀殺人

/images/emoticon/emoticon06.gif《原文注釋》:「敵已明,友未定。引友殺敵,不自出力,以《損》推演。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 敵已明,友未定:主要敵人已經很明確,但是第三方確未確定是誰,到底是敵人?亦或朋友?
(2) 引友殺敵,不自出力:意圖讓第三方攻擊主要敵人,而不用自己出手攻擊。
(3) 以《損》推演:指「損」與「益」的轉化關係,借用盟友的力量去打擊敵人,使盟友受到損失,但盟友的損失正可以換得自己的利益。

/images/emoticon/emoticon33.gif《出處》:

語或出明.汪廷訥《三祝記.卷上.造陷》,明代戲曲《三祝記》裡描述宋代名臣范仲淹的政敵想除掉范仲淹這個眼中釘,政敵的屬下便獻計說:“目前正值西夏趙元昊的叛變,朝廷欲選將帶兵平亂,您乾脆上奏推薦范仲淹給皇上,他沒有帶兵經驗,說不定會死在前線,這正是借刀殺人之計,又可以顯現出您不計前嫌,以德報怨。”

/images/emoticon/emoticon76.gif《資安戰運用實例》:

根據聯合新聞網2019.05.07一篇報導指出,美中雙方在2016年網路相互攻擊對方時,中方駭客獲取到美國國安局軟體「永恆綜效」(Eternal Synergy)和「雙倍脈衝星」(Double Pulsar)兩個軟體,爾後,陸續有截取到其他攻擊軟體,或是美方遺棄之攻擊程式,然而並未取得攻擊程式的程式碼,可以確定的是,中方用這些軟體網攻至少五個國家,包括比利時、盧森堡、越南、菲律賓及香港,但是中方並不敢用獲得的軟體攻擊美國網路,筆者推測如果程式碼未取得的情況下,只怕攻擊美國本土,反而被回擊力道更大。該新聞引用賽門鐵克推測原因有二,一是預設美方已開發出具防禦力的升級軟體,二是不想讓美方知道他們奪得軟體。

該篇新聞,請詳閱以下連結:https://udn.com/news/story/6809/3798866

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

企業實務上最常遇到的借刀殺人的手法,大概是用別人的帳號登入之後,大量刪除他人或公司的資料,或者放入病毒等等,關鍵就在於「取得他人的帳號」,類似狀況,其實在公司很多部門都存在,尤其有的部門更會設立一種公用帳號的機制,當然有些時候是為了便利性,或者特殊情形之下,給內部人使用上得以迅速完成一般性的工作,所以會出現許多漏洞。

攻擊方的手法大致上就是上述兩種手法:

(1)	取得他人帳號、密碼
(2)	利用公用帳號

守方該如何做好自保,筆者以用以下的一個查核方式給各位參考,當然沒有絕對性,首先,各位可以在windows事件檢視器的安全性裡面看到稽核成功的紀錄,如下圖所示:

https://ithelp.ithome.com.tw/upload/images/20190919/20107482ws32fcUUWy.jpg

各位在看稽核原則之時,就必須要抽絲剝繭地去查核可能的時間,正常來說都是從病毒發作時點開始從事件檢視器開始查起,然而事件檢視器資料過於繁雜,如果關鍵字設定錯誤,此時的查核就容易被誤導,此時透過系統的稽核機制,就能先過濾登入來源,筆者手邊因為沒有server管理系統,因此簡單用以下解釋說明。

每個「日誌」記錄下每個動作時,即使你刪除、更新、竄改…這些動作都會被彙整成一筆紀錄,那麼這筆紀錄,透過所謂電腦audit的步驟,將其彙整成一個紀錄,各位也都了解紀錄是不可刪除的,此時,只要透過稽核原則去過濾,相對於查看所有日誌,會在時間上與邏輯上省下很多時間。

以上只是粗略的解說電腦系統安全稽核的一個概念,然而如果那麼簡單,那麼很多電腦犯罪的刑事案件,就不用如此耗時費力了,正確地來說,筆者還是認為內賊難防,外部病毒其實很清楚就是攻擊,然而從內部爆發的案件,即使解決,後續責任歸屬,時間成本等等,反而更讓企業付出更大的代價。


上一篇
資安戰爭 三十六計之第2計:圍魏救趙
下一篇
資安戰爭 三十六計之第4計:以逸待勞
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言