行政院技術服務中心雖然在4月10日發布資安通報,但行政院資通安全辦公室要到4月底,才能掌握全GSN的Heartbleed受害狀況。

行政院技術服務中心雖然在4月10日發布資安通報,但行政院資通安全辦公室要到4月底,才能掌握全GSN的Heartbleed受害狀況。

由於OpenSSL的Heartbleed漏洞災情頻傳,包括加拿大、美國政府都積極修補網站、重設網站密碼以為因應。根據資安公司數聯資安掃描結果,臺灣有2千多個網站有Heartbleed漏洞,但是,負責掌管臺灣行政部門資通安全現況的資通安全辦公室,目前仍無法掌握政府網站的受害狀況,需等到行政院技術服務中心在4月底完成GSN(政府網際網路)的掃描後,才會知道政府完整的受害狀況。

臺灣有2千多臺網站伺服器有Heartbleed漏洞

數聯資安副總經理張裕敏表示,從APNIC彙整臺灣的網站列表後,該公司在4月16日晚上9點半,針對APNIC的臺灣網站資料,對於已開通443通訊埠的網站進行掃描,結果總共有381,476臺網站伺服器開啟443通訊埠,其中,使用OpenSSL的網站有33,522臺,具有Heartbleed漏洞的有2,424臺。

若以整體比例來看,臺灣的網站中,有8.8%使用OpenSSL進行加密傳輸;而這些使用OpenSSL的網站,則有7.2%有Heartbleed的漏洞。他說,有Heartbleed漏洞的網站中,更有1,116臺網站伺服器是使用OpenSSL 1.0.1c版本,該版本成為臺灣最常見的受害版本,占有Heartbleed漏洞網站的46%。

戴夫寇爾共同創辦人徐念恩亦指出,他們取得在今年3月28日前,所有可從網路上取得的臺灣政府網域名稱,並於4月11日針對這些政府網域進行檢測後,發現有26個政府部門網域的網站伺服器有OpenSSL的Heartbleed漏洞,這些受害的除了包含官網的伺服器外,其中不乏是機關政府的郵件伺服器受害,例如臺北市政府、民航局飛航服務總行、高雄市社教館等。

從民間業者的反應速度來看,在Heartbleed災情擴散的一周內,大多已經可以掌握臺灣整體和部分政府的受害狀況。

相較國外政府反應速度,臺灣政府因應速度普遍過慢

由於OpenSSL是非常普遍的傳輸加密開源套件,所以當OpenSSL出現Heartbleed漏洞時,加拿大報稅局便在第一時間關閉報稅網站,檢測所使用的OpenSSL版本是否有Heartbleed漏洞,其中,並發現900名報稅人個資外洩。至於,美國歐巴馬健保網站也緊急於4月19日,在週末時間發布公告,強迫所有使用者都必須變更網站登入密碼,且必須是獨一無二的密碼,以確保使用者登入網站的安全性。

行政院資通安全辦公室主任蕭秀琴表示,在臺灣時間4月8日傳出傳輸加密的OpenSSL有漏洞後,其所屬的行政院資通安全辦公室技術服務中心也在4月10日針對政府機關發布資安通報,同時在評估多種檢測Heartbleed漏洞工具,在確認掃描的效果和範圍後,也將掃描工具用於全GSN的政府網站和資訊設備,以確認GSN整體安全狀況。

她表示,在技術服務中心發布資安通報後,有許多A級和資安意識比較強的機關單位已經先進行內部清查。根據回報結果,已經有少數單位發現使用OpenSSL政府網站有Heartbleed漏洞,除了立即更新版本外,也已經要求網站的使用者更換密碼。

日前資安辦已經選定適當的檢測工具,針對錨點GSN(政府網際網路)內所有政府網站及使用OpenSSL加密的資訊設備進行掃描,確認是否有Heartbleed漏洞並進行漏洞修補。她表示,最遲在4月30日所有的掃描結果才會出爐,屆時,對於有問題的網站和設備除了要求立即更新到最新版OpenSSL之外,如果是政府網站,也會要求管理員和使用者進行密碼更換。

相較於國外政府的積極應變,臺灣政府資安部門在因應速度上,則顯得參差不齊,雖然有些資安意識較高的機關已經完成修復並重設使用者密碼,但資通安全辦公室對於政府整體受害災情掌握,卻得等到4月30日完整掃描GSN內的網站和資訊設備後,才能得知。

張裕敏指出,許多駭客在4月8日時,已經開始嘗試隨機取得某些網站的記憶體資料,估計未來1~2周,駭客可能利用這些已經取得的資料,設法取得重要網站的管理者權限。因此,他建議,許多已經發現有Heartbleed漏洞的網站擁有者,都不可以掉以輕心,應該立即更新OpenSSL版本,並且更換網站管理者和使用者密碼。


Advertisement

更多 iThome相關內容