日前 谷歌 遭到"极精密的锁定目标攻击",此事件经过媒体大幅披露之后,至少有三国政府发出建议,呼吁人民改用 Microsoft Internet Explorer 以外的浏览器。至于 谷歌 的说法则是"相当不同"。
但这些说法有多少成分是真的、有根据而符合比例原则的?
趋势科技 目前掌握的情况为何?根据 谷歌 的说法:"12 月中旬,我们的企业基础架构侦测到一项极精密的锁定目标攻击,这项攻击来自中国境内,企图窃取 谷歌 的智慧结晶"。他们接着指出:"在调查过程中,我们发现至少有其他 20 家不同类型的大企业都遭到类似攻击,包括网际网络、科技、媒体与化工等产业在内。我们目前正在通知这些企业。"
后续的揣测、评论与分析都将矛头指向 Internet Explorer 与 Acrobat Reader 当中未修补的漏洞,而所发现到的恶意程序包括 Hydraq 木马程序变体以及新的恶意程序。其攻击途径分别为含有恶意 PDF 附件文件的电子邮件以及强制下载。
遭到 Internet Explorer 零时差漏洞攻击的 谷歌 表示至少有 20 家其他企业也同样受害,另外,信息安全厂商 iDefense 也有一些客户遭到 Acrobat Reader 零时差漏洞攻击,他们表示有 33 家企业受到影响。
一般认为,上述攻击的动机有二:其一是要窃取智慧财产,其二是要试图入侵中国人权支持者的电子邮件帐号。根据 Defense Group Inc 的情报研究分析中心 (Center for Intelligence Research and Analysis) 总监 James Mulvenon 的说法,这些攻击当中"至少有六个看起来是来自台湾的网际网络位址 (这是中国骇客为了隐藏踪迹而惯用的技俩)。"
这些足以"改变世界"吗?我不这么认为。
这些攻击并不是率先利用零时差漏洞的攻击,事实上,零时差攻击通常会先用于一些锁定目标的攻击当中,后来才会受到广泛采用。
此外,这些也并非首次利用强制下载技巧或恶意 PDF 附件文件的攻击。
这些攻击也非目前所见最复杂的多重元件攻击,想看看什么叫做复杂吗?看看 Koobface 就知道了。
这不是第一次有人提出警告要大家采用其他浏览器,不过只要修补程序一出来,就没有人继续理会。
这也不是第一次大家指责中国从事大规模分散式全球间谍活动。
这次的攻击在方法上的确精密,这一点无庸置疑。歹徒确实成功将恶意程序感染其锁定的对象与企业,并且可能存取到原始码或电子邮件帐号,但我看不出有什么足以改变世界之处。
社交工程技巧的进步、一般人对威胁情势缺乏认知、资讯分享过度泛滥、地下经济体系的成熟,这些都是上述攻击能够得逞的原因。
那么,企业与个人应该如何避免遭到这类的攻击?
教育您自己和您的使用者:光是点选一个连结、开启一个 PDF 文件,就足以让您遭到感染,即使系统已安装了最新的修补程序也无法完全免疫。
仅管如此,您还是要确定系统及所有应用程序都安装到最新的修补程序,如果做不到这点,那就用主机式入侵预防系统来"亡羊补牢",防止零时差漏洞攻击。
当出现未修补的漏洞时,请务必遵照厂商的建议,尽可能将风险降至最低。
将储存个人宝贵资料与智慧财产的文件加密,这样一来,即使文件遗失,别人也无法使用。
考虑部署资料外泄预防技术,这类技术可以辨识敏感内容,防止这些内容传送至您的网络之外。如:趋势科技的 LeakProof 企业资料外泄防护方案
重新思考您的信息安全模型,从"由外而内"转成"由内而外"的思考方式。保护资料、保护存取权限、保护应用程序。边界其实只存在于网络图上
我要不厌其烦地再次提醒,请警告使用者切勿对外分享太多有关隐私、职务、联络细节等个人信息。目前有太多的攻击目标都太过招摇。