前言︰Yahoo!事件
今年一開春,網路界的大事應非Yahoo!的駭客入侵事件莫屬了。Yahoo!這個由一群年輕人所創設的公司,是目前世界上每天登入最多用戶交通最為繁忙的網站,平均每天傳遞四億六千五百萬篇網頁到全球各地,可能是樹大招風吸引了愛現的網路駭客發動攻擊。這不是有史以來的第一個駭客攻擊事件,然而卻是最引人注目的。攻擊使得Yahoo!的網站暫停服務三個小時,專家估計造成的直接營業損失約在美金25萬到50萬之間。
攻擊行為很快的就被追蹤與指認,網路駭客透過不知情被侵入的第三者電腦發動「阻斷服務」(Denial of Service, DoS)的攻擊,大量湧入的資料使伺服器無法對正常的用戶提供服務。慶幸的是駭客們並沒有侵入系統本身,重要的資料並未因此而外洩。攻擊發起後48小時內,包括了Buy.com、eBay.com、Amazon.com、CNN.com、Zdnet.com、E*Trade.com等幾個著名網站同樣受到攻擊,這些網站的服務受到長短不同時間的影響而無法提供正常的服務。
加州大學聖塔巴巴拉分校承認他們也是受害者。駭客利用校內的機器作為發動對CNN網站攻擊的始點。CNN網站從週二晚上7:00到8:45的時段內完全無法使用,在管理者處置之後,攻擊仍然繼續持續。
在重要網站分別傳出慘重的災情後,各種檢討的聲音到處出籠,包括白宮,FBI都召開會議討論這項攻擊事件並誓言追緝兇嫌。柯林頓總統宣佈次一週將召集政府與網路專家共同討論防範知道,五角大廈更下令檢查所屬單位之電腦是否遭到入侵,並以做為發起攻擊的始點,影響所及,重新喚起世人對網路安全議題的重視。
人們無法想像全世界網路的精華區居然如此不堪一擊,是法令的不完備?駭客技術過於高竿?還是我們沒有做到應該有的防備(想想921之後我們不也問過類似的問題?)。
攻擊招式︰TCP SYN攻擊
說起來這次駭客的技倆並不是什麼新發明,而是老把戲。TCP SYN攻擊是教科書上的範例習作。他利用TCP協定建立通訊所需的三項溝通封包,與系統處理特性,故意讓網路連線的階段無法完成,伺服器為迎接新連接用戶,其資源就無法釋放而造成伺服器過載。搭配著駭客以任意產生且虛假的發起IP(Source Address)對攻擊目標大量傳送TCP SYN攻擊封包,造成這些大型網站紛紛中箭落馬。老把戲,但很有效。
受攻擊的網站都是世界級的網站,他們有絕對足夠的經費、人才、專業與資源投注在網站的經營與營運上。網站以超高頻寬,數十台以上的網站伺服器同時運作,建置各種備援機制,負載平衡機制以維持網站的可靠度與信賴度。更加上各種樣式的防火牆,卻在攻擊發生後無一倖免。有網路安全專家指出,目前一個玩網路的十四歲孩童即可利用網路上輕易取得的工具,而使大部分網站暫停服務。
網路世界的秩序尚未建立,大家仍在摸索階段,為避免成為醒目的目標,許多安全議題只能默默執行,當曝露於駭客的砲火攻擊下,也只能盡力抵抗了。
網路與電腦安全並不是新的題目,在電腦系統開發後,電腦的安全也就受到重視,但我們卻可以發現,一般企業對於安全的議題通常是談得多而做得少。只是我們一般都認為這個事情不會發生在我身上。就如同早期人們對大地震的態度,認為這事情可能發生,但大概不會被我遇上。直到有一天,地震過後,就有很多的檢討聲,認為事情應該可以預防或做必要的事前準備以減低受到的損失。
可能是因為科技進展太快,或是商業的競爭太過激烈。讓我們資訊人員經常受到外在的壓力,必須很快地往前走以配合上企業對於資訊系統的需求。所以,只要是可能出問題,但還沒發生過的事情,我們多將它放在低優先等級,這即是所謂的「重要的事情不緊急,緊急的事情卻又都不重要」。
過去我們曾經因忽略了資料備援而造成資料永久遺失,我們也因為忽視電腦病毒的危害,而使電腦當機或蒙受損失。受傷之後,我們都學乖了,資料備援與防毒軟體現在都成了伺服器的標準配備(就像地震後我們的建築標準都提高了)。但對於網路的安全防範我們是否做到了呢?
增加你的網路安全
好的網路與系統是透過好的管理所衍生的結果。網路安全的加強是好管理的結果。假設網際網路上的使用者不全然都是友善的,我們應該如何防範才能避免損害。以下是我們的一些建議:
●架設防火牆,或設定封包檢視過濾的功能,以防止不必要的資料進出網路大門。基本的檢查機制是必須的,你不能夠敞開大門,而責怪人們任意進入你的家中破壞。
●伺服器上不屬於必要的服務不要開啟。很多作業系統安裝時,會同時安裝常用的服務(如FTP、Web、Telnet、SMTP等),如果你的網路伺服器不需提供這些服務,你應該手動將他們全部關閉。
●安裝最新的修正軟體(Software Patches)。軟體或多或少都有一些的漏洞,發現後軟體廠商也會提供必要的修補。為提供良好的系統安全,系統管理者應該注意新的修正軟體發表時機,隨時更新。
●定期檢視你的路由器建構與防火牆建構資料,確保沒有網路上不再使用的入口仍然是開啟的。檢視防火牆與伺服器中的紀錄檔(log),看是否有駭客入侵的痕跡。若有疑義,立即請專業人員追蹤可能來源。
●設立入侵偵測裝置。目前市面上有多種可以即時監視網路流量的工具,這種工具會依據內建的入侵行為模式,比對網路的流量,並在發現可疑封包後,通知管理人員採取必要的補救行動。有些設備甚至可以搭配客戶使用的路由器或防火牆,自動切斷此一連線,以防止入侵事件的發生。
●建立良好的管理機制。記住你要的是一個安全地支援企業運作的環境,不只是要一個安全但無法符合競爭需求的網路環境。好的安全是好的規劃、操作與管理的結果。你必須掌握網路的運作,而不要讓網路問題、事件追著跑,只有良好的管理機制才可以讓你掌控全局。
●與專業服務廠商建立良好的夥伴關係:網路世界的進展超乎我們的想像一般資訊部門的人員很難完全掌握各種最新資訊的發展。擁有一個或數個良好的技術夥伴,可以在緊急的時候找到專業的支援。這個對網際網路及電子商務蓬勃的時代,更是不可或缺的成功關鍵。
結語︰專業、科技、制度是關鍵因素
網路世紀是科技的世紀,但是科技無法保障系統運作的成功。科技需要專業的人員才能夠掌握,而人員必須在完整的制度下才能夠發揮整體的力量。就如同資料的保全不能只買了先進的備份軟體與高速磁帶館就可以解決,必須要有專業人員依照各種應用程式或資料庫的特性,設定備份策略﹔還要設定規則,註明操作人員或使用者每日、每週或每月應該執行的動作,並監督所有步驟徹底完成才能保障資料的安全備份。
為了網路安全,很多公司都買了高低等級不同的防火牆,但是否有良好的設定以避免成為攻擊的目標,或做為對外攻擊的發起點,應該定期的確認與檢查。防火牆中有紀錄檔,記載其工作中所發生的狀況,資訊部門應該有人定期檢視,以判斷網路運作的安全狀態。
(作者任職於甲尚公司IT事業處暨網路作業中心)
(網際先鋒2000.3月號70期)