駭客入侵網路券商的防範與省思 

記得前一陣子新聞在報...大家還有映像吧!!
有關這新聞有以下這一篇文章...歡迎大家慢慢研讀一下...
對於國內系統安全,連最重要的股票券商都難逃入侵!!!
我深感嘆息...
------------------------------------------------------

近日國內驚傳網路券商被駭客入侵竊取客戶資料,冒用他人帳號下單後
,從中牟利,甚至發生違約交割的情形,導致業者損失慘重。其實本次
的安全事件,與今年四月某網路銀行被駭客破解密碼後,盜轉帳的情形
如出一輒,其入侵模式更是前陣子微軟網路被入侵且據傳原始碼被竊事
件的翻版,顯見國內金融業者的警覺性普遍不足,而業者所提供的電子
商務服務之安全性仍有待加強。

根據精誠資訊「安全處理中心」所提供的資料研判,本次駭客可能是以
下列幾種方式入侵券商網路下單系統:

1. 利用網路上唾手可得的駭客工具(Root Kit)對跳板主機發出第一波攻
勢,進行網路掃描。
2. 找出安全漏洞後,下載網路上相關漏洞破解工具進行入侵。
3. 入侵進入跳板主機後(即可能為Linux或Unix系統),進行權限提昇,取得管理者權限。
4. 植入後門程式並以跳板主機為出發點,發動第二波攻勢,入侵券商網路下單系統。
5. 利用跳板主機,掃描券商網路下單系統之漏洞。
6. 重複第2、3步驟。
7. 成功得手客戶帳號與密碼
8. 將跳板主機之歷史檔(Log File)清除。
9. 在盜用客戶帳號與密碼進行違約交割時,再次利用先前被入侵的跳板主機。
10. 利用認證中心無法辨別使用者真實身分與來源的弱點,以得手的帳號與密碼,
取得電子憑證進行交易,造成違約交割。(微軟入侵事件即為駭客入侵員工家
中電腦,取得使用者帳號密碼,並向認證中心取得憑證後,長驅直入微軟內部)。
11. 為避免被追蹤或發現,再次將跳板主機之歷史檔(Log File)清除。
12. 重複9-11的步驟。

從以上的分析可見,無辜的跳板主機被當成元兇,都只把焦點放在被駭客竄改網
頁的網站上,卻忽略了事件背後許多同樣被入侵當作跳板的無辜主機。殊不知網
頁未被竄改並不代表安全無虞,因為這些隱藏在背後的跳板主機才是企業要注意
的重點。目前,市面上有許多的安全產品與技術可以有效防止類似安全事件的發
生,如以下所提:

◎系統或網路漏洞的對策─安全掃描與防火牆
首先,每個系統都有已知或未知的弱點與漏洞,隨時注意安全訊息並安裝原廠提供
的最新的修正檔是企業立即可做到的。另外,使用弱點掃描工具,或是委外由專家
來為您執行掃描任務,協助您找出問題,並按照檢查所得的報告改進。要特別注意
的是,系統被植入後門程式或是被利用來當作跳板做進一步攻擊時,駭客必須使用
特定的網路服務通訊埠(port)對其他系統進行入侵。這些後門程式多半使用特定的
通訊埠號(port number),您可以用Nmap或是Nessus之類的Freeware或是如ISS Internet
Scanner之類的商用軟體來檢測出可疑的通訊活動。

◎更安全的認證機制─動態密碼
自從電子商務盛行以來,許多業者包括銀行、券商等所推出網路金融服務許多都未
做好整體的安全防護規劃,安全與消費者權益同時被犧牲了。本次事件中網路券商
雖然使用SET安全交易機制進行認證,但礙於技術本身的限制與業者不願增加成本
的情形下,無法對使用者的真實身份與來源做強化認證,一旦客戶帳號密碼被竊,
駭客即可用同組帳號密碼向認證中心註冊取得電子憑證。要克服這些問題,使用者
除了應定期更換密碼之外,業者也應善盡保護客戶資料的義務。提供更安全的交易
機制,更是業者取得客戶信賴的基本工作。使用ONE-TIME PASSWORD動態密碼結合
既有的固定帳號密碼,可以達到雙重認證的功能。舉本次事件為例,即使駭客取得
客戶存在券商網路下單系統的固定帳號與密碼,但是沒有客戶隨身攜帶的Token Card
動態密碼卡所產生的動態密碼,那也是英雄無用武之地。

◎化被動為主動─入侵偵測
以上所說的都是被動的防禦措施,但是除了保護之外,企業可以選擇建置入侵偵
測系統來主動偵測駭客的活動,以即時發現駭客入侵的前肇,做好事前的防護,
或甚至是在入侵發生時,將發生經過完整紀錄下來,並適時阻擋駭客的攻擊行為。

◎企業網路安全的難題 ─資訊安全委外服務
維護網路安全對資訊人員來說,一向是個很重要的工作。有別於以往ISP、ASP、
IDC的網路服務,MSSP(Managed Security Service Provider)可協助企業管理防
火牆、VPN、入侵偵測系統或企業防毒系統,甚至是做7x24全天候的安全監控。
客戶將上述問題委外交由專業的MSSP資訊安全服務中心來執行網路安全的任務,
除了可以減少對人力、設備、產品的投資成本外,相對地更能獲得有組織、有
系統的分析報告,以及更即時的回應與安全保障。