HITCON臺灣駭客年會副總召邱銘彰表示,因應資料外洩,恢復紙本作業無效,重點要有經過演練、可以執行的災難應變計畫。

圖片來源: 

iThome

民進黨總統參選人蔡英文訪美資料外洩,民進黨決定以紙本作業和面交方式因應。HITCON臺灣駭客年會副總召、臺灣威瑞特技術長邱銘彰(網路暱稱Birdman)今(25)日在HITCON Enterprise搶先看網路直播時表示,這種遇到資料外洩,就改用紙本作業的新聞事件,就顯示出受駭組織或企業已經慌了手腳,沒有其他因應方式。沒有堵住真正外洩資料的缺口,改用紙本作業只是表面上看起來有效,其實根本無效。邱銘彰認為,企業因應資料外洩時,平常應該要有一套災難發生後的應變SOP(標準作業程序)。

除非紙本作業不繕打不外傳,否則一樣不安全

蔡英文訪美資料外洩,包括許多重要幹部的電子郵件和網路硬碟都遭到入侵,除了提升員工資安意識並使用加密方式外,許多重要資訊的溝通都以紙本作業並恢復面交方式作為因應。

邱銘彰表示,不論前端的文書作業,如何在絕對安全的環境中,例如,多年前聽過幫文膽租一間小房間,完成機敏文稿的內容,但只要後端的資料傳送需要仰賴電腦繕打,甚至透過網路對外傳送,而不是以快遞或郵差以紙本實體信件方式傳遞到當事人手中時,紙本作業的防護都只是表面上的安全,根本無濟於事。

因為,不論是繕打的電腦早就被駭客植入惡意程式,或者是透過網路傳送的資料,已經被惡意軟體打包或複製回傳駭客控管的網路硬碟,「只要沒有真正堵住外洩資料的洞口,所有的紙本作業流程,也只是表面上,誤以為有效的解決之道,根本無效。」他說。

「只要看到新聞報導哪些企業面臨資料外洩時,選擇以紙本作業因應,就表示該受駭企業已經慌了手腳,沒有其他因應方式。」邱銘彰認為,企業因應資料外洩時,平常應該要有一套災難發生後的應變SOP(標準作業程序),更重要是,這些SOP是經過演練的。

駭客甚至可以假冒當事人回信而不漏馬腳

邱銘彰指出,不只是荒謬的以為,只要所有的流程恢復成傳統的紙本作業,一切就會安全是假象外,他在今年4月協助客戶進行資安事件調查時也發現,駭客社交工程手法更進階,除了以往鎖定特定人士,以社交工程手法取得帳號密碼入侵電腦外,現在甚至已經可以做到,假冒當事人發信而不露出任何馬腳。

他進一步解釋,有2個機敏部門的同仁在聯繫公務時,彼此雙方當天有3封信件的往來,但在3天後,其中一位同仁收到原本有公務聯繫對象的回信,內容接續當天原本的信件內容,主旨也一樣,但夾帶的附檔卻是一封惡意郵件。要不是事後進行資安調查時偵測到惡意郵件,才發現原來3天後回信者的電腦已經被駭客入侵,而駭客也已經可以做到假冒當事人回信而不被起疑。

邱銘彰坦言,駭客這樣的攻擊手法,一般使用者根本防不勝防,這不是要求使用者不開啟來路不明信件或檔案的資安政策就可以防範,而是,幾乎每個使用者,都沒有能力躲過這樣幾乎擬真的社交工程郵件。

行政院資通安全辦公室主任蕭秀琴表示,這類的社交工程信件過往就有類似的存在,不過,近期沒有新的通報案件,但她會再進一步查證是否有其他類似案件發生。

面對勒索軟體,「付錢」只是短暫的妥協

邱銘彰表示,過往15年看到的資安怪現象,除了強調紙本作業是一切資安防護的終極解決方案的荒謬,也有駭客進階到假冒當事人而不被察覺有異。但面對近期許多臺灣企業發生被勒索軟體加密公司文件後,駭客要求企業「支付贖金」後才肯解密文件,他有不一樣的想法。

邱銘彰認為,雖然不應該助紂為虐,但以實務面而言,為了恢復公司正常運作,企業或許可以先選擇支付贖金、將公司文件解密,畢竟,駭客可以啟動勒索軟體加密公司文件,表示公司IT和資安人員已經有疏失在先,但他強調,「付錢只是當下的權變,付錢後,更重要的是,必須先找到公司的漏洞並且堵住,付錢才有價值。」否則,支付贖金只是養大駭客搶錢的意願而沒有任何意義。


Advertisement

更多 iThome相關內容