資安系統監控　仍敵不過個資大盜？

資安趨勢專家 吳肯尼。

在實體世界，每隔一陣子就會傳出某反抗軍以機關槍掃射、自殺炸彈客瘋狂攻擊等恐怖事件，然而在虛擬世界，恐怖程度有過之而無不及的各種攻擊，更是天天上演，網路駭客以日新月異的高超技術，隨時準備好竊取機密資料、破壞企業團體或政府機關的正常運作！

駭客任務－竊取機密換收入

「總統府網站遭惡搞，新聞稿頁面被換上kuso影片」、「跆拳道國手楊淑君事件引發網友憤怒情緒，亞跆盟官網遭駭客入侵置換首頁畫面」這類消息經常登上新聞版面，以致多數人對駭客的印象，仍停留在「入侵網站、換換網頁」的階段。

事實上，這並不是專業駭客會做的事，就算來自專業駭客，也頂多只是平時的「休閒娛樂」，資安趨勢專家吳肯尼表示，當前駭客不再以搞破壞、炫耀技術為主，反而專趨低調，以竊取機密資料來換取相對報酬。

吳肯尼指出，對專業駭客而言，真正的戰場並非一般網站，而是企業內部的作業系統，可透過提權攻擊長驅直入。當駭客鎖定待攻擊的系統，便會設法取得使用者權限，再進一步透過提權等方式取得管理者權限，接著就能輕鬆竊取或篡改資料。

您以為一切就這樣結束了嗎？錯！高竿的駭客不僅會湮滅證據，來去不留痕跡，甚至會偷偷植入不為人知的後門，或直接竄改系統合法程式、程序，以合法掩護非法，例如隱藏為Utilman.exe、Sethc.exe，騙過防毒軟體，如此一來，就能隨時保時連線，以便從事其他非法活動，例如以此為跳板，轉而入侵其他系統。

帳號密碼不受控　企業資訊全都露

吳肯尼以入侵企業監視系統為例指出，許多主管喜歡透過監視器，查看員工是否專心上班，然而在網路上可以很輕易的找到某些監視系統的安裝使用手冊，裡面甚至包含預設密碼，如果有些企業疏忽這個問題，駭客很容易就能坐在電腦前觀賞「現場直播」。透過畫面上的公司名稱，要找到公司網站一點也不難，接著，就能大顯身手，進行竊取資料的駭客任務。

在某個案例中，該企業竟將多位員工的帳號密碼列表，儲存在網路空間，雖然是企業內網，但是大剌剌的將資料暴露出來，別說駭客竊取，公司內部人員也可能盜用。

此外，吳肯尼也現場展示如何在SSL正常連線的情況下，透過中間人攻擊(Man-in-the-Middle Attack)，成功入侵某金融業者官網。

吳肯尼解釋，SSLstrip的手法屬於透過使用者介面及通訊協定間介面漏洞所進行的中間人攻擊，而非攻陷了SSL安全協定或認證憑證的漏洞。舉例來說，當一位用戶點擊一個登錄頁面時，SSLstrip會修改網站未加密的回應，使https變成http，甚至可在瀏覽器位址欄中顯示https的安全鎖符號，以致用戶一直以為該連結是受到加密保護的。

吳肯尼提醒，現在許多大型入口網站都存在這樣的漏洞，駭客只要利用此法，就能輕易取得許多帳號與密碼的序對，經過分析，就能得知該組序對是屬於哪個網站所有，甚至連取的信用卡資料，也是輕而易舉。