政府網站安全未明 資安辦4月底才能掌握Heartbleed受害狀況

由於OpenSSL的Heartbleed漏洞災情頻傳，包括加拿大、美國政府都積極修補網站、重設網站密碼以為因應。根據資安公司數聯資安掃描結果，臺灣有2千多個網站有Heartbleed漏洞，但是，負責掌管臺灣行政部門資通安全現況的資通安全辦公室，目前仍無法掌握政府網站的受害狀況，需等到行政院技術服務中心在4月底完成GSN（政府網際網路）的掃描後，才會知道政府完整的受害狀況。

臺灣有2千多臺網站伺服器有Heartbleed漏洞

數聯資安副總經理張裕敏表示，從APNIC彙整臺灣的網站列表後，該公司在4月16日晚上9點半，針對APNIC的臺灣網站資料，對於已開通443通訊埠的網站進行掃描，結果總共有381,476臺網站伺服器開啟443通訊埠，其中，使用OpenSSL的網站有33,522臺，具有Heartbleed漏洞的有2,424臺。

若以整體比例來看，臺灣的網站中，有8.8％使用OpenSSL進行加密傳輸；而這些使用OpenSSL的網站，則有7.2％有Heartbleed的漏洞。他說，有Heartbleed漏洞的網站中，更有1,116臺網站伺服器是使用OpenSSL 1.0.1c版本，該版本成為臺灣最常見的受害版本，占有Heartbleed漏洞網站的46％。

戴夫寇爾共同創辦人徐念恩亦指出，他們取得在今年3月28日前，所有可從網路上取得的臺灣政府網域名稱，並於4月11日針對這些政府網域進行檢測後，發現有26個政府部門網域的網站伺服器有OpenSSL的Heartbleed漏洞，這些受害的除了包含官網的伺服器外，其中不乏是機關政府的郵件伺服器受害，例如臺北市政府、民航局飛航服務總行、高雄市社教館等。

從民間業者的反應速度來看，在Heartbleed災情擴散的一周內，大多已經可以掌握臺灣整體和部分政府的受害狀況。

相較國外政府反應速度，臺灣政府因應速度普遍過慢

由於OpenSSL是非常普遍的傳輸加密開源套件，所以當OpenSSL出現Heartbleed漏洞時，加拿大報稅局便在第一時間關閉報稅網站，檢測所使用的OpenSSL版本是否有Heartbleed漏洞，其中，並發現900名報稅人個資外洩。至於，美國歐巴馬健保網站也緊急於4月19日，在週末時間發布公告，強迫所有使用者都必須變更網站登入密碼，且必須是獨一無二的密碼，以確保使用者登入網站的安全性。

行政院資通安全辦公室主任蕭秀琴表示，在臺灣時間4月8日傳出傳輸加密的OpenSSL有漏洞後，其所屬的行政院資通安全辦公室技術服務中心也在4月10日針對政府機關發布資安通報，同時在評估多種檢測Heartbleed漏洞工具，在確認掃描的效果和範圍後，也將掃描工具用於全GSN的政府網站和資訊設備，以確認GSN整體安全狀況。

她表示，在技術服務中心發布資安通報後，有許多A級和資安意識比較強的機關單位已經先進行內部清查。根據回報結果，已經有少數單位發現使用OpenSSL政府網站有Heartbleed漏洞，除了立即更新版本外，也已經要求網站的使用者更換密碼。

日前資安辦已經選定適當的檢測工具，針對錨點GSN（政府網際網路）內所有政府網站及使用OpenSSL加密的資訊設備進行掃描，確認是否有Heartbleed漏洞並進行漏洞修補。她表示，最遲在4月30日所有的掃描結果才會出爐，屆時，對於有問題的網站和設備除了要求立即更新到最新版OpenSSL之外，如果是政府網站，也會要求管理員和使用者進行密碼更換。

相較於國外政府的積極應變，臺灣政府資安部門在因應速度上，則顯得參差不齊，雖然有些資安意識較高的機關已經完成修復並重設使用者密碼，但資通安全辦公室對於政府整體受害災情掌握，卻得等到4月30日完整掃描GSN內的網站和資訊設備後，才能得知。

張裕敏指出，許多駭客在4月8日時，已經開始嘗試隨機取得某些網站的記憶體資料，估計未來1～2周，駭客可能利用這些已經取得的資料，設法取得重要網站的管理者權限。因此，他建議，許多已經發現有Heartbleed漏洞的網站擁有者，都不可以掉以輕心，應該立即更新OpenSSL版本，並且更換網站管理者和使用者密碼。