搜尋此網誌

2009年11月14日 星期六

[從電影看資安] 印表機大變身 - 口是心非

在上一篇的 文章 中,我談到有關社交工程的議題。在這篇文章中,我要大家分享的內容同樣來自於 口是心非 這部電影。

在片中男主角的陣營想盡辦法想要偷取敵方陣營的機密資料,當然網際網路也是不可放棄的一個管道。不過根據劇中角色的描述,敵方陣營的網路防禦能力跟美國國防部的五角大廈一樣嚴密,所以無法成功入侵。好在男主角陣營這邊發現了另外一個可行的管道,那就是敵方陣營新採購的影印機。透過在影印機內安裝惡意程式的手法,後來男主角的陣營成功入侵敵方陣營的其他設備,並於日後順利傳出機密資料。

主角陣營稱讚敵方的網路防禦機制。vlcsnap-2010-03-16-19h23m48s55

像五角大廈是一種恭維還是諷刺?vlcsnap-2010-03-16-19h24m10s41

天無絕人之路,影印機也可以成為入侵的管道。vlcsnap-2010-03-16-19h24m24s187

有錢好辦事,買通設備廠商進行改造的工作。vlcsnap-2010-03-16-19h24m38s65

影印機用來攔截訊號流量雖然是不允許的,但是卻很有創意。vlcsnap-2010-03-16-19h25m03s63

影印機也可以當作跳板,尋找其他的受害設備。vlcsnap-2010-03-16-19h25m19s229

女主角利用被駭的影印機成功將機密資料傳遞出去。vlcsnap-2010-03-16-19h30m15s92

這裡有兩個地方可以跟各位分享,第一個就是木馬的觀念。現在談到木馬,很多人都會聯想到所謂的木馬程式。事實上,木馬一詞來自於希臘神話的特洛伊木馬,所以指的不單是程式這類虛擬的事物。躲在特洛伊木馬內的士兵,伺機而動,等待最佳的時機從內破壞敵方的堡壘。而躲在影印機內的惡意程式,同樣伺機而動,準備入侵其他網路上的設備。在這個例子中,木馬指的影印機本身,而不是那個惡意程式。通常要避免遭受木馬的攻擊,就是盡量避免接收來路不行的東西 (不管是硬體還是軟體)。但是以片中的例子而言,我們就需要探討下一個主題,也就是影印機的管理。

事實上,現在很多所謂的印表機、影印機,都已經整合成多功能事務機。雖然功能更加齊全與複雜,但是同時也為組織帶來更多未知的危害。舉例來說,多功能事務機通常具備更優良的快取功能,而這些快取資料包含各式各樣的資料,甚至是公司的機密資料。當機器送修時,這些快取內的資料往往也就隨著機器一起移至維護廠商,其所造成的危害我想就不需要再多作說明了。不管是叫做印表機、影印機或是多功能事務機,這些設備早已經不再只是 IT (甚至是總務) 的負責範圍,更應該明確的納入資訊安全的管理範圍。至於這些機器要怎麼管?這裡有張 清單 可供參考。

相關連結:

2009年11月12日 星期四

[從電影看資安] 天上掉下來的帥哥 - 口是心非

電影 口是心非 講的是商業間諜的故事,雖然評價有點兩極,但是有別於一般電影結局時主角們總是能夠來個奇蹟式的逆轉勝,口是心非的結局顯得有趣多了。雖然商業間諜的目標不一定是數位形式的資訊,但是以現今的商業環境而言,很多重要資訊都已經變成了數位的形式。由此衍生一個很重要的問題,資訊安全的範圍在哪裡?如果將數位資訊與傳統 (非數位) 資訊分開看待,那麼兩邊能否達到相同程度的保護是必須詳加確認的。另外一方面,如果將兩者一併看待,那麼負責單位的權責又該如何重新界定?這些問題沒有一定的標準答案,但是每個組織卻都必須找到一個最適合自己的平衡點。

此一議題我先在此打住,我今天要分享的是另外一個資訊安全的議題 - 社交工程。電影中有一幕是男主角這邊發現敵方陣營有一個獨立的辦公室,這個辦公室主要負責處理公司的出差及與旅遊事宜,其安全措施自然與總公司不可相提並論。但是對作戰而言,任何資訊都是不可放過的,所以男主角這邊決定前往竊取一些相關資料。男主角在電影中利用社交工程的手法,假裝在一個酒吧裡與該辦公室的女職員不期而遇。男主角表示自己因為來不及趕上飛機前往參加救助行動而煩惱不已,此時女職員自告奮勇提供協助,將男主角帶進辦公室前往處理班機的事宜。當然這一舉動,讓男主角取得了大門的密碼,之後順利取得所需的資料。

男主角與女職員不期而遇,而且”剛好”是鄰居。背景調查當然不可少。vlcsnap-2010-03-17-09h23m04s71

男主角不自主地透露出需要協助的困境。vlcsnap-2010-03-15-18h05m57s43 

女職員帶著男主角前往辦公室,女職員還有些基本概念,要求男主角不要偷看她的密碼。不過講歸講,男主角不但用眼睛看,還用手機拍了下來。vlcsnap-2010-03-15-18h07m46s6 

女職員的”善行”被發現後,即使已經知道這是一場騙局,女職員依舊深覺能夠幫助別人並獲得男主角的感激是很美好的一件事。vlcsnap-2010-03-15-18h10m55s155

這是一個很典型的社交工程手法,通常社交工程可以分成四個步驟:

  1. 研究目標組織,也就是片中的敵對公司。在片中男主角的陣營了解到這個獨立辦公室的存在與價值。
  2. 選定目標,也就是片中的女職員。
  3. 發展關係。以片中的情形而言,就是無助的帥哥醫生與寂寞芳心的女職員。
  4. 利用關係達到目的。以片中情形而言就是進入辦公室並取得門鎖的密碼。

雖然第四個步驟才是主要的目的,但是前三個步驟可是一點都不能馬虎。唯有確實做好前三個步驟,才能確保第四個步驟一舉成功。通常在第三個步驟會有各種不同的可能性,包含假冒高階主管、協力廠商、無助的路人、凶狠的惡徒、迷人的異性等等,利用這些假冒的身分並搭配上人性的弱點,以求順利達成目的

社交工程是一個很有效,也很難防範的攻擊手法。或許聽起來不如 XSS、Zero Day Attack 這些名詞這麼炫、這麼讓人覺得高深,但是其所造成的危害卻是令人不可小覷。要避免遭受社交工程手法的攻擊,除了一般性的防範措施外,最重要的就是有效的員工資訊安全教育訓練,提高所有員工對於異常事件的警戒心,以避免成為有心分子手中的待宰羔羊。此外,就像詐騙集團會不斷改變手法一樣,社交工程也沒有固定的形式,所以持續性的教育訓練更形重要。下次當你遇到天上掉下來的帥哥/美女時,你不需要拒他於千里之外,但是也千萬別失去理智,做出了平常不該做的事情。

About