封鎖消息無法對付駭客

上個月，我們大篇幅報導「320黑暗韓國」駭客攻擊事件，因為這起事件的攻擊手法──利用企業更新軟體的正式管道來輸送病毒，不僅前所未見，更是殺傷力十足。

此一駭客攻擊事件啟動破壞的一瞬間，韓國大型企業的數萬臺電腦竟然就應聲癱瘓，受害企業的員工束手無策的局面，令人震驚。虛擬世界的戰爭，已經可以打亂真實世界的秩序了。

事隔不到一個月，類似的攻擊手法在臺灣也上演了。負責全臺各機關公文交換的電子公文交換系統，在5月中旬證實被駭客入侵。據了解，此一事件之所以被發現，是有一位公務員在電子公文交換系統網站下載最新版的用戶端軟體（eClient），結果防毒軟體隨即警告：該下載軟體是不安全的程式，有可能是木馬程式。該員將此現象向上呈報後，相關單位追查後證實系統已被入侵。

在320黑暗韓國攻擊事件中，駭客是利用防毒軟體的更新機制，讓使用者的電腦在下載防毒更新檔時，也一併下載了惡意程式，並且安裝在受害的電腦上。而上述的公務員在官網下載新版的用戶端軟體，實際上卻下載了木馬程式，可見駭客也是利用使用者下載更新軟體的機制，把木馬程式偷渡到使用者的電腦上。這樣的攻擊手法，與韓國駭客攻擊事件基本上是相似的。

從攻擊手法相似度來看，這起駭客攻擊事件可不容小覷，更何況電子公文交換系統是國家重要的資訊設施。負責國家資訊安全的行政院資通安全辦公室，雖遲至5月24日才對外發布的新聞說明，卻也直指這起事件的攻擊模式之新、手法之複雜與精密程度，乃過去所罕見，判斷是駭客長期埋伏且有組織、有系統的行為。不過，事件過程中行政單位的處理做法，卻顯現出封鎖消息的意圖。

在主管機關掌握證據之後，行政院技術服務中心在5月15日就發布資安通報，認為駭客攻擊，但是在隔一周、5月22日舉辦的電子公文交換系統業務會議中，主管機關卻對駭客攻擊事件隻字未提，只強調要各單位強化電子公文交換系統的安全性，並於現場提供新版光碟，要求各機關清查軟體，並安裝最新版的用戶端程式。

此舉令人匪夷所思，主管機關都已經確認系統被駭客入侵了，而且還要求各機關回去後要清查軟體，並安裝現場提供的最新版程式，顯然主管機關擔心有些機關已經中計，讓駭客偷渡木馬程式得逞，那麼為何不跟與會的各機關電子公文系統承辦人員說清楚，好讓大家提高警覺？

現在這麼做的道理，我怎麼想都想不通，難道是主管機關不懂嗎？應不至於如此，因為行政院資通安全會報對於資安緊急事件處理即有明確的說明：「當發生資安事件時，立即召集相關單位應變並通知各政府機關防範。」唯一合理的解釋，就是企圖掩蓋事實。

殊不知，面對駭客攻擊，尤其是這類鎖定目標、長期潛伏的新型態APT（Advanced Persistent Threat）目標針對式攻擊，若採取企圖封鎖消息的做法，只會讓駭客繼續得逞。唯有壯士斷腕，第一時間讓所有關係人都知道狀況，全員主動提高警戒，才能改變原本敵暗我明的不對等情勢，讓駭客知難而退。

就以更新用戶端軟體來說，或許主管機關以為只是用戶端程式有問題，只要各機關重裝軟體就行了。但說不定木馬程式早就常駐在受害電腦了，只把用戶端程式換成新版本，根本解決不了問題。唯有告知駭客入侵的事實，提醒各機關其連線電腦可能已有木馬程式，必須整臺電腦清除等等，這些都得明明白白說清楚，才能讓所有受害電腦都回復到安全的狀態。否則，只要有任何一臺電腦不安全，駭客就會有機會再犯。

Google近日甚至宣布，對於他們所發現的軟體安全問題，當他們反應給軟體廠商之後，該廠商若未能在7天內告知消費者，並提出因應方法，Google就會直接對外宣布安全漏洞問題。之所以這麼做，是因為封鎖消息、掩蓋事實，並無法有效對付駭客。

吳其勳／iThome電腦報周刊總編輯