第5章 競爭對手──民間部門的紅隊作業(節錄)
白帽駭客與倉鼠輪:網路滲透測試
紅隊作業非常符合民間部門的網路保安需求,尤其是因為網路安全漏洞一旦遭利用,代價和後果可能非常慘重。雖然企業相當成功地隱瞞了它們不時遇到的網路攻擊,這種攻擊的頻率和嚴重程度無疑正與日俱增。針對網路保安人員的匿名調查顯示,企業如果不認真做網路滲透測試,因此承受的代價非常可觀,而且正愈來愈大(以金錢和時間損失衡量均如此)。卡巴斯基實驗室(Kaspersky Lab)二○一四年調查三千九百名資訊科技專業人士,發現員工少於一千五百人的公司遇到一次資料安全事件的平均損失為四萬九千美元,員工超過一千五百人的公司則是平均損失七十二萬美元。研究機構Ponemon Institute二○一四年做過一項類似調查,訪問五十九家美國公司,發現解決一次網路攻擊平均需要四十五天,平均耗費一百六十萬美元,較上一年的平均三十二天和略高於一百萬美元顯著增加。這些攻擊主要是阻斷服務、惡意的內部人士和網頁式攻擊(web-based attacks),總共占網路安全成本逾五五%;約八六%的犯案者是在公司以外,一二%在公司內部,二%為內外部人士聯手。員工超過兩千五百人的大公司曾經是多數網路攻擊的直接目標,但如今愈來愈多犯案者轉向從較小型的公司竊取資料,或是藉由攻擊第三方供應商侵入大公司。
我們來看近年的三個重要案例。二○一三年,美國高級百貨公司尼曼(Neiman Marcus)遭駭客攻擊:安裝在該公司系統中的惡意程式蒐集並傳送了二○一三年七月十六日至十月三十日的付款資料,可能影響三十五萬名顧客。因為這次攻擊,這家零售業者在二○一四會計年度第二季承受的代價初估為四百一十萬美元。二○一四年五月,美國中西部超市集團Schnucks Markets宣佈,該公司遭惡意駭客侵入,超過四個月才發現,估計因此損失約八千萬美元。最值得注意的案例發生在二○一三年:美國零售商Target 遇到嚴重的資料安全問題,事件始於「黑色星期五」(美國感恩節翌日,聖誕節購物季的第一天),駭客竊取了至少四千萬名Target顧客的信用卡號碼。在這次攻擊中,駭客先是偷到Target提供給法齊奧機械服務(Fazio Mechanical Services,替Target監測商店能源消耗情況的承包商)的網路憑證,然後再侵入Target的內部網絡。此次攻擊造成的直接財務代價初估為六千一百萬美元,並導致Target執行長和資訊長遭公司開除;事件發生後不到八個月,Target承受的財務代價達到一億四千八百萬美元。
……
因應這問題,企業除了以內部的典範做法改善網路安全外,也愈來愈重視紅隊的弱點探查作業。這種作業人稱滲透測試(penetration tests或pen tests),由「白帽」駭客執行;「白帽」這說法源自好萊塢西部片,片中的「善良」牛仔戴白帽。與白帽駭客相對的是「黑帽」駭客,後者往往是帶著惡意擅自侵入目標組織的電腦網絡和軟體。這種區分可能過度簡化了實際情況,因為所有的頂尖白帽駭客起初都做過黑帽駭侵,後來才把這種活動變成合法的職業。此外,不少駭客在做合法的滲透測試工作之餘,私下也會出於政治或意識形態的原因駭入某些網絡(有時只是覺得好玩)。事實上,駭客圈內身分流動,是這個圈子的關鍵特徵之一,而駭客往往強烈抗拒把人歸類。根據我與駭客的無數次談話,他們的核心驅動力是一種天生的好奇心,希望知道自己在得到授權或未經授權的情況下,可以完成哪些新的駭侵(雖然他們的具體說法略有差異)。這種好奇心一般會隨著駭客年紀漸長而減弱:多數駭客最終會比較重視可靠的薪酬和穩定的生活,而非收入微薄下的自由探索。
有些人認為駭入資訊網絡是迷人和刺激的事,但事實遠非如此。說到底,駭客的本領其實就是能夠坐下來極其細心地盯住電腦螢幕(往往必須仰賴許多能量飲料支持),找出可以利用的形態或弱點。駭客表示,他們做的事類似整理不完整外文手稿的書籍編輯,或把經文抄到羊皮紙上的中世紀修道士。現在有一些功能日強的軟體可以將駭客的部分工作自動化,尤其是自動辨識網絡弱點和逐行檢視原始碼。但是,相對於這種自動化作業,人工駭侵網站和檢視原始碼仍往往可以找到更多重大弱點……
……
駭侵與其說是科學,不如說是藝術,因為駭客使用的方法和戰術主要取決於個人的背景和技能。資深白帽駭客估計,如果你請兩名駭客找出某個網站的所有安全弱點,他們找到的弱點大概只有一半相同。如果叫他們檢視軟體原始碼,他們找到的相同弱點會更少。駭客的資歷和背景相當多元,滲透測試人員並無公認的行業標準,但有「道德駭客認證」(Certified Ethical Hacking):只需要上五天的課,通過一個四小時、一百二十五題的考試,便能取得這資格。在滲透測試界,幾乎所有知名高手都認為這項認證非常公式化,提供的訓練顯然不足和過時;他們甚至多數認為,個人履歷表最好不要列出這項資格。二○一四年二月,提供道德駭客認證的國際電子商務顧問局的網站遭駭客侵入,首頁貼出了斯諾登(Edward Snowden)的護照和他申請道德駭客認證的信。
駭客攻擊的情況,某程度上可以藉由觀察駭客會議的趨勢來了解。駭客會議曾經只是少數駭客展現自身技術、建立名聲和培養一種社群感的場合,但這種會議的數目和出席人數近年均大增。根據一項估計,美國二○○九年專門討論駭侵的會議只有五個。到了二○一四年,這種會議有三十七個,另有十七個會議是討論網路安全。在此期間,規模最大的兩個會議的出席人數也大增:比較自由的DEF CON從一萬人增至一萬六千人,比較專業的「黑帽會議」(Black Hat)從四千人增至九千人。但是,長期出席的人表示,這些會議已變得愈來愈平淡乏味,因為上台報告的人總是在描述他們的最新駭侵特技,希望得到媒體的報導,而不是誠心希望分享有用的資訊。另一個原因,是「零日攻擊」的市場大有成長;零日攻擊基本上就是尚未揭露或目標組織尚未察覺的駭侵。以前駭客會在同業會議上炫耀他們最了不起的駭侵,如今則多數會保持沈默,把這種資訊賣給易受攻擊的公司或對此有興趣的政府機構或犯罪集團。零日攻擊市場非常不透明,但可能有用的駭侵估計可賣四萬至二十五萬美元,最大的買家據稱是美國政府。
DEF CON和後來的「黑帽會議」,都是綽號「黑暗切線」(Dark Tangent)的莫斯(Jeff Moss)創辦的。四十歲的莫斯被視為駭客圈的祖宗和良心,是網際網路指定名稱與位址管理機構(ICANN,制定網際網路規則的國際組織)的安全總監。他談到上述的黑市現象時表示:「早年根本不可能拿駭侵換現金。如今駭侵資訊在地下市場很值錢,這種資訊也就比較少公開了。在此情況下,駭客會議也就有點走下坡,因為一些最有意思的駭侵技術和構想不會公開。」此外,因為駭客圈規模快速擴大,分出了一些非常專門的技術領域,駭客會議的社群感隨之變淡,愈來愈少人認為有公認的駭客行為規範。莫斯說:「早年你可以從留言板和駭客會議認識到所有重要人物,現在是無法追蹤所有動態了。我一直覺得網路安全這圈子不可能再擴大和變得更多元,但事實一再證明我錯了。」
……
白帽滲透測試有多種形式,但可分三大類:黑箱測試:測試者除了知道網站或軟體的名稱外,對目標一無所知;白箱測試:測試者完全了解網絡組態,也能進入網絡和使用相關裝置;灰箱測試:測試者掌握若干資訊和某程度的進入權。企業選擇什麼類型的測試,取決於它最想保護什麼、最擔心什麼類型的敵人,以及它估計敵人會蒐集多少資訊來發動惡意攻擊。
一家公司的電腦網絡接受典型的白帽滲透測試,有四個步驟。首先,白帽業者會藉由電話、面對面交談和訪問公司資訊長和資訊安全主管,確定滲透測試的範圍和條件。白帽業者了解目標組織委託測試的原因,將為此次作業(包括執行改善建議)投入多少資源和時間,以及最擔心網路攻擊造成什麼後果(財務和名譽損失總是它們最擔心的)。在這個階段,白帽業者將確定這次測試的規則,包括測試的目標(什麼人和什麼系統)、何時測試,以及測試前要通知誰(越少人越好)。測試的類型和範圍決定了白帽團隊的人員組成──可能包括網絡、作業系統、資料庫和行動裝置的專家,以及一名當「指揮」和「壁畫家」(muralist)的經理。
第二步是白帽業者偵察目標組織,利用到處都能取得的軟體勘測目標網絡,了解網絡使用什麼作業系統,並尋找人人可以進入的門戶。白帽業者實際上可以很快找出誰是目標組織的網絡管理者,從領英(LinkedIn)上的個人介紹、社群網站和公開的資料庫蒐集網絡管理者的個人資料, 用軟體建立他們可能使用的密碼清單,根據可能性替這些「密碼」排序,然後試用它們登入目標網絡。如果網絡管理者進入網絡需要第二層驗證(例如指紋、聲音或臉部辨識,或眼球掃描),白帽業者會設法避開這種要求,或設計軟體偽造所需要的東西來騙過系統。他們也會蒐集所有員工的電子郵件地址和電話號碼、伺服器機房的位置、系統使用的作業系統類型和版本、供應商的資料,以及許多其他資訊(視他們投入多少時間而定)。
第三步是滲透測試本身,而白帽業者幾乎總是可以在某程度上擅自侵入系統,而這往往拜目標組織一些令人咋舌的愚蠢做法所賜。資深白帽業者肯尼迪(David Kennedy)發現,侵入目標網絡有兩種最常奏效的方法。第一種是使用網絡的預設密碼,因為網絡管理者根本不改這些密碼。第二種是針對目標公司員工的魚叉式網路釣魚(spear phishing),例如寄一些偽造的電子郵件給這些員工,誘使他們點擊有問題的連結。許多員工接受過辨識這種釣魚手段的訓練,但白帽業者也很清楚這一點,因此早就相應調整做法。康倫(Brendan Conlon)曾經是美國國家安全局「特定入侵行動」的駭客,後來創辦滲透測試公司Vahna。他曾針對一家小公司做過魚叉式網路釣魚:「我們假裝是富達(Fidelity)公司,寄一封有關退休計畫的電子郵件給一百名員工,有五十人立即打開郵件,並按照指示輸入了他們所有的個人資料。」這種情況並不罕見。
……
第四步是最後階段,白帽業者會向客戶提交一份報告,內含摘要、詳細說明(以螢幕截圖和文字解說,具體指出他們發現的安全漏洞),以及根據急迫性和成本排序的改善建議。多數白帽業者表示,目標組織的資訊長(有時是執行長)通常只看報告摘要,然後指向建議部分問道:「這些措施需要多少錢?」雖然不常見,但企業高層有時甚至會對白帽業者做到的事嗤之以鼻,因為他們誤以為白帽測試者能力超強,是黑帽駭客無法相比的。莫斯表示:「企業經理人會試圖貶低你做到的事。他們會說,那只是一時僥倖,又或者剛好他們的系統發生故障。」白帽業者有時為了傳達他們的訊息,會在執行長的電腦上啟動惡意程式,讓他知道自己的電腦被駭了。白帽業者也提供跟進的滲透測試服務,頻率隨客戶喜歡,而多數業者建議,財星雜誌五百強公司應該至少每年做一次測試。多數白帽業者表示,四分之三的目標組織會處理最嚴重的安全漏洞,比較次要的問題則通常不理會。