每個人或多或少有迷路的經驗,如果我們發覺陷入這樣的狀況,通常還找得到方法自救,但渾然不覺地被誤導至危險的地方是更難設防的。

舉個實際的例子,靠GPS衛星導航卻導致迷路的狀況。10月16日花蓮的暴雨下,有一家四口開車在夜間八時自山區返回市區的途中,根據GPS的指示而開進河堤便道,結果暴漲的溪水將整輛車沖走。這樣的結果相當令人感到遺憾,是不是該歸咎GPS導航,也有很大的爭議,而遇到這種狀況,我們很難判斷怎麼作會比較安全,只能希望當下如果可以獲得更多情報,可以提醒我們、輔助我們判斷,也許就能避免悲劇的發生。

在網路安全方面,我們身為使用者,除了以小心翼翼、確認再確認的方式連網、並且謹慎地開啟任何的網址連結、下載檔案,有些結合相當複雜程序的攻擊手法,目標不只是一般個人的電腦,所欲綁架的對象還包括你所在區域的重要網路設備,接著所有存取該設備DNS服務的電腦,在連至特定網址時有可能會因此被誤導至惡意網頁。以我們這次報導的封面故事而言,主要是在一場知名資安研討會上所揭露的攻擊手法,而針對的就是路由器與DNS伺服器。(請見第22頁)

為什麼這些設備會淪陷?有幾個原因,一個是很多人都知道該作但都忘記去作的小事情,那就是去修改路由器預設的管理者登入密碼,很多進階使用者都相當熟悉這些密碼的組合就是那幾組。另一個是路由器本身對「由內而外」網路連線的控管不夠嚴謹,一般使用者若從內部網路連網,是可以因此利用路由器的外部網路IP連至設備端的網頁管理介面,如果再加上預設管理者密碼不改的問題,就更能讓有資安疑慮的內網電腦攻佔路由器,然後去改上面的DNS伺服器設定。

然而,這項攻擊最初的開端還是使用者的行為,他們因網路釣魚或各式各樣的理由被誘至惡意網頁瀏覽,才執行內藏的JavaScript來危害路由器設備。

有人質疑這問題真的存在嗎?他們提到一些很容易實現而且大家都熟悉的作法:例如,將個人端電腦的DNS伺服器IP,全部設至168.95.1.1(中華電信的DNS伺服器),不用設備端的DNS服務,就不會有這樣的問題吧,話雖如此,對於小型網路環境而言,仍有可能不獨立架設DNS伺服器,而想直接用多功能整合網路設備上的DNS服務,在這樣的條件下,企業的IT人員還是要出來面對並解決管理上的問題。

要避免同時發生這些狀況而導致有機可乘,方法並不複雜,不用特別砸大錢、雇專人來解決,難的還是在於徹底且持續落實。對於個人端電腦的防護,始終是最難百分之百貫徹的,但我們可以盡量採用能防護惡意網頁程式碼腳本(Script)執行的防毒軟體,如果公司有預算,可以在內部網路上架設具備這類防禦能力的網路與內容安全閘道設備;在網路設備端本身的防護上,除了一定要修改預設的管理者密碼,注意原廠是否提供新版韌體並升級,也是相當重要的。

為了因應這項危機,有些網路設備廠商在做法上已更積極去面對,例如D-Link已經宣布將具備DNSSEC強化路由器的安全防護,並搭配CAPTCHA的做法,以圖片密碼來驗證管理者以手動輸入密碼來登入網頁,而非透過程式去自動執行。

作者簡介


Advertisement

更多 iThome相關內容