近期BGP劫持事件頻傳,即早發現可減少影響範圍

近來邊界閘道器協定 (Border Gateway Protocol, BGP) 遭劫持事件層出不窮,如2018年底奈及利亞劫持Google流量約74分鐘,以及6月初歐洲行動流量被導至中國電信兩個小時。最新一起發生於今 (2019) 年5月初,台灣網路資訊中心 (TWNIC) 營運之公共DNS遭到劫持,封包被導向巴西網路業者 (ISP),幸好持續時間僅三分半鐘,未造成太大影響。

BGP協定是一種去中心化之網際網路協定,透過IP的路由表以及前綴資訊,用以實現自主系統 (Autonomous System, AS)的可達性。然其僅在建立連接時會執行簡單的安全身分認證,但對於已成功建立BGP連線之AS而言,則幾乎是無條件信任對方。然而,當ISP—無論是惡意還是無意—錯誤地公布其實際上不屬於該ISP的IP位址以及前綴,即有可能導致BGP劫持事件。

Quad101是一實驗性的公共DNS,由台灣網路資訊中心 (TWNIC) 營運,推廣以隱私為主的DNS服務,其所分配到之IP位址為101.101.101.101。

但是今年5月8日台灣時間約23:08(UTC時間15:08),巴西一家ISP開始宣告理應不屬於該ISP的IP位址—101.101.101.0/24,亦即該巴西ISP宣告自101.101.101.0至101.101.101.255共256個IP位址,均屬於該巴西ISP,其中包含了Quad101所使用之IP位址,即意味著對Quad101進行BGP劫持,導致使用者應傳送至Quad101的封包,可能會因此被傳送至該巴西ISP。

彙整路由訊息的isolario.it計畫,是在UTC時間當天15:08:55取得巴西ISP的首次宣告,並於當天UTC時間15:12:15收到巴西ISP針對該IP區段的最後宣告;同樣進行路由資訊彙整的RIPE RIS則是於當天UTC時間15:08:39收到其宣告,並於UTC時間15:11:42收到最後宣告。此次BGP劫持總計持續了約三分半鐘,幸好其劫持時間不長、巴西ISP收到通知後也立即進行更改,未造成太大影響。

在網際網路的世界中,每個ISP都有責任建立並維護安全完備的路由設備和網路,但網際網路奠基於每個AS網路間的互動和彼此的操作,沒有任何一個ISP可以100%保護自己所負責之網路,唯有提高自身防護能力,同時遵守並保護網際網路規範,方能共同維護網路安全。

資料來源:

https://www.manrs.org/2019/05/public-dns-in-taiwan-the-latest-victim-to-bgp-hijack/

線上調查資料庫未加密,八百萬美國人個資外洩

資安專家發現一個含有八百萬人個資的資料庫,未經任何加密與安全措施,可供人任意存取。

獨立資安專家 Sanyam Jain 日前發布調查報告,指出有一個內含八百萬美國人個資的線上資料庫,未經任何安全措施,也沒有加密,任何知道網址的人均可自由存取。

資料庫中的個人資料,是來自線上問卷調查、抽獎活動或索取試用樣品而輸入;個資欄位包括全名、居住地址、Email 地址、電話號碼、生日、性別、IP 位址等等;甚至連這些人是參加哪一檔問卷或抽獎活動而來留資料的記錄也一應具全。

該資料庫是放在 Amazon 雲端服務上,資料庫維護者在接獲通知後,已對資料庫進行必要的安全措施。資安單位呼籲各種線上活動或行銷活動產生的資料,都應該進行嚴密的安全保護,以免個資一再外洩。

資料來源:

https://www.bleepingcomputer.com/news/security/unsecured-survey-database-exposes-info-of-8-million-people/

巴爾的摩市遭勒贖軟體攻擊,多項市政系統停擺

美國巴爾的摩市於本月初遭到勒贖軟體大規模攻擊,半個月以來已有多個市政電腦形同癱瘓。

巴爾的摩市是在五月七日遭到勒贖軟體大規模攻擊,包括電話語音系統、Email、水費帳單、房屋稅、交通監理等多項市政電腦系統停擺多日。

更嚴重的是,由於相關系統無法運作,巴爾的摩的不動產交易受到嚴重影響,據估計有多達 1500 個不動產交易案件還在塞車中。

巴爾的摩市政府一方面緊急搶修受損系統,另一方面也提供替代方案;市政府表示多數系統正在逐漸復原中,但完全復原的時間仍無法確認。

歹徒向巴爾的摩市府勒贖 13 枚比特幣,約合美金十萬元;巴爾的摩市府表示目前暫無支付贖款的想法,但為了早日讓市政恢復正常運作,也不排除支付這筆贖金的可能。

資料來源:

俄羅斯政府網站遭駭,225 萬人護照與個資外洩

多個俄羅斯政府所屬網站遭駭,包括多名高官在內,共有 225 萬人的護照與個資外洩。

這起大規模個資外洩事件,係由一家名為「資訊文化」的俄羅斯非政府組織所揭露;該組織發現共有 23 個俄羅斯政府所屬網站所儲存的俄羅斯公民個人保險號碼(類似美國的社會安全號碼)資料外洩;另外還有 14 個政府網站外洩護照資料。

除上述資料外,外洩的資料還包括全名、工作職稱、工作地點、電子郵件、稅務編號等。有些資料需要解密才能取得,但也有不少個資直接能用 Google 從俄羅斯政府網站搜尋出來。

外洩的資料包括多名俄羅斯高官,如俄國國會副議長、兩位前任副總理的資料赫然在列。

該組織說,八個月前就通知俄羅斯相關單位,但相關單位置之不理,甚至還說依法這些資料可以公開;而在資料外洩事件公開後,該單位仍然堅持資料本來就可公開。

資料來源:

新型比特幣詐騙 Bitcoin Collector,可能致使感染勒索軟體及木馬程式

應用程式—Bitcoin Collector正在網路上流傳,該應用程式承諾使用者每天可以輕鬆地獲得高達45美元的免費比特幣。但實際上,當使用者下載該應用程式後,除了不會真正收到收益之外,更是引入勒索病毒和木馬程式到電腦中。

這個新型詐騙最早是由一名為Frost的資安研究人員發現,並發布於Twitter及透過BleepingComputer.com進行報導。

這款應用程式是透過網站進行宣傳,告知使用者在協助推薦分享後,只要有1,000人點擊該推薦連結,便可以獲得3個以太幣(Ethereum),以5月底價值換算約804美元。

而當使用者透過連結進入網站後,網頁上顯示著使用者可以「免費且自動」的賺取每天最高45美元的比特幣的相關宣傳。當使用者點擊後,會被導入「Bitcoin Collector」頁面,告知使用者下載該應用程式並運作後,可以透過此應用程式獲得免費的比特幣。

但當使用者下載並啟動後,應用程式非但不會生成免費的比特幣,反而自動開啟一名為「Freebitco.in – Bot」的程式,看似不影響電腦的運作,但實際上,該程式是一個偽裝成比特幣生成工具的木馬程式,散播潛藏其中的惡意程式。

最早Frost發現該詐騙時,該應用程式執行了一款名為「Marozka Tear Ransomware」的HiddenTear勒索軟體,並要求受害者支付贖金。幸好該勒索軟體僅是HiddenTear的變種程式,若不幸遭受感染,可以透過HiddenTear Decrypter免費解密被上鎖之文件。

然而,經過幾次更新後,該應用程式已不再以散播勒索軟體為主,而是致使使用者感染專門竊取受害者資料的木馬程式。該木馬程式可竊取受害者的各種個人資料、檔案、網頁瀏覽資訊、受害者帳號密碼,甚至受害者電腦中的加密貨幣錢包資訊。

因此,若真的不幸遭到了詐騙,除了應立即移除與該應用程式相關的所有檔案外,更應立即更改所有的密碼,尤其是網路銀行、信用卡等金融相關交易訊息之密碼。

資料來源:

微軟旗下雲端郵件駭侵事件,主要攻擊用戶加密貨幣錢包

駭客透過釣魚郵件,取得微軟簽約之第三方客服人員工具使用權限,因此得以存取大量微軟雲端郵件用戶的帳戶資料,包括郵件內容在內。

四月被發生的微軟旗下 MSN、Hotmail、Outlook 雲端郵件遭駭事件,已有受害者浮出水面;數名受害者表示,其加密貨幣的錢包被駭客取走,存放的加密貨幣均遭提領一空。

其中一名用戶指出,駭客取得 Email 帳戶存取權後,隨即重置他使用的某個加密貨幣交易所密碼,並且提走存在數位錢包中的比特幣。

媒體也指出,駭客取得 Email 帳密後,就能取消用戶遺失的 iPhone 或 iPad 等裝置的鎖定狀態,這樣就能賣出裝置牟利。

微軟表示,懷疑自己的信箱可能遭駭的用戶,應儘速連絡微軟支援服務以取得協助;我們也建議各位讀者儘可能在自己使用的各種服務中設定兩階段登入認證 (2-Factor Authentication),避免 Email 帳戶遭駭時,其他服務跟著被駭。

資料來源:

GitHub 遭駭客入侵,刪除多支程式源碼並勒贖

GitHub 調查後指出,該站本身的登入系統並未被駭;駭客入侵主要是因為受害者將密碼以明文存在其程式庫中,而遭駭客掌握。GitHub 建議用戶應立即啟用二階段登入驗證。

被微軟購併的全球最大開源程式庫社群 GitHub,日前被駭客入侵;共有 392 個開源程式庫被刪除。

駭客在取得程式碼後,將之存在自己的伺服器中,然後刪除 GitHub 上的程式碼,並在被駭帳號下留言,要求受害者將 0.1 比特幣贖款匯入特定錢包位址,以取回程式碼。

到昨晚為止,還沒有任何受害者匯款給該比特幣錢包;該錢包中僅有一筆 0.00052525 比特幣匯入款,相當於美金 2.99 元。

資料來源:

駭客架設「復仇者聯盟4」假網站,騙取用戶資訊

資安廠商卡巴斯基指出,近來許多駭客架設假網站,以線上觀看或下載「復仇者聯盟4」為誘餌,騙取用戶資訊。

卡巴斯基說,目前全球熱映中的電影「復仇者聯盟4」,成為駭客用來騙取用戶資訊的最新誘餌。

該公司發現網路上出現不少假網站,以免費線上觀看或下載完整「復仇者聯盟4」為號召,誘使對版權與資安觀念較薄弱的廣大用戶,在其網站上留下各種敏感資料。

卡巴斯基指出,假網站試圖騙取的用戶資料,包括姓名、Email、密碼、郵遞區號、信用卡卡號、到期日、安全碼等。

這些資料除可以用來盜刷外,還能用來駭入用戶以相同帳密註冊的其他網路服務。

正在播映中的電影,其正版線上播映往往要等下片後數月才會上架,這段時間差往往成為駭客用來誘使用戶上鉤的時機。

資料來源:

參與亞太資安論壇 (InfoSecurity)

台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 組長林志鴻參與亞太資安論壇,講授網路威脅新態勢與跨域聯防資訊。

隨著網際網路的蓬勃發展,因為網路犯罪造成之資料外洩的損失正快速成長,因此,資安的重要性越發被企業和使用者重視,根據亞太網路資訊中心 (APNIC) 的統計,企業最對資訊系統最為關心的就是資訊安全。而為了因應資通安全的需求,市面上之資安防禦設備供應商更是數不勝數。然而,即便有高強度之防禦系統,如何將「有做」轉為「有效」,是資安相當重要的一個議題。

對資通安全而言,要讓防禦真的「有效」,必須思考自己所建立之防禦系統究竟是「治標」還是「治本」?企業隨時都需要考慮自己要防禦何種類型的攻擊、攻擊樣態?攻擊樣態是否進行改變?偵測的規則為何、是否有效?以及最重要的是攻擊來源是否有透過相關單位進行處理。舉例而言,放大式DDoS攻擊是駭客透過殭屍網路的方式,大量偽冒目標受害者的IP去針對DNS、NTP伺服器等進行服務要求,導致IP遭偽冒主機會收到大量的要求回覆信息,使其伺服器或主機無法負荷如此大量的訊息而導致服務中斷。一般來說,此種攻擊手法都是以流量限制、流量清洗,以及阻擋透過網路情資所取得的可能為惡意的網域的封包。但這些方法均是治標而非治本,若要真正治本,應針對來源IP進行驗證,確定該IP是否真正屬於請求者,才不會遭受偽冒IP的惡意請求而導致此類偽冒IP的攻擊。另,BGP劫持,可以透過RPKI(Resource Public Key Infrastructure)驗證而大幅減少其威脅。此外,對於DNS劫持攻擊,可以透過將註冊資料鎖定、或隨時監控其網域而避免此攻擊手法的潛在威脅。

然而,針對大多數的資安防禦,都會牽涉到跨域聯防,必須透過彼此之間的互助,方能達到最佳的防禦效果。而TWCERT/CC和國際上許多資安組織都有合作關係,因此,本中心可透過這些資安組織,掌握第一手的資通安全資訊,達到跨域聯防的重要效益。除此之外,若國內企業/組織遭到境外IP攻擊,亦可將相關資訊交予本中心,本中心會將此訊息去識別化後轉給可處理之相關單位,例如企業遭受某國家IP攻擊,本中心可通報該國之CERT組織,並交由該國CERT組織進行相關之處理。目前已有企業透過本中心進行通報後,遭受攻擊之行為有逐漸改善,因此本中心所收之情報量以及來源單位數量都逐漸上升。

除此之外,本中心藉由推動台灣CERT/CSIRT聯盟,整合國內資通安全相關企業,進行資安事件情資分享以及應變通報之交流,以強化國內資安防護能量。目前正持續擴大該聯盟之規模,任何有興趣之企業均可至本中心網站進行了解及聯繫。

在今 (2019) 年第一季,本中心已通報20餘萬筆的資安訊息通報,並且提供相關資安預警資訊。由於相當多的資安事件均來自於網路協定的不完備和網路協定之更新或改版,而本中心洽隸屬於台灣網路資訊中心 (TWNIC),可以透過TWNIC所擁有之網路協定第一手訊息進行資通安全相關預警和通報。例如今年二月份的EDNS事件預警,本中心於1/29便提前獲得情資並發布於聯盟、國內資安分享系統中,較其餘國家—例如美國MS-ISAC以及新加坡SingCERT—都較早通知所有相關單位,以減少此事件對國內所有企業及個人造成之影響。

而針對資安漏洞部分,本中心目前為Root CNA,亦即為MITRE組織認證之CVE編號授權及發放單位,可對資安漏洞進行審核並發放CVE編號。目前本中心已接獲數件由國內自主發現之系統漏洞,在接獲通報後協助發現人和廠商進行協處和漏洞修補後,發放並公告CVE漏洞編號以及發現人於本中心網站。因此,若未來有任何漏洞欲取得CVE編號者,不須透過美國MITRE進行通聯和審核,可通報本中心,經由本中心審核後,便可取得CVE編號並公告於網站中。

TWCERT/CC是台灣所有CERT的協調中心,若有任何資安訊息,歡迎透過官方網站(twcert.org.tw)、免付費電話(0800-885-066)以及電子信箱twcert@cert.org.tw進行資安通報。

FBI 指出:2018 年各種網路犯罪造成損失高達 27 億美元

美國聯邦調查局(FBI)指出,2018 年各種網路犯罪案件,造成的損失估計高達 27 億美元。

FBI 轄下的「網路犯罪申訴中心」(IC3)於上個月發表 2018 年網路犯罪調查報告,去年一整年該單位受理超過 35 萬起各式網路犯罪申訴,合計財產損失高達 27 億美元。

在這些網路犯罪案件中,Email 帳號遭竊相關案件多達二萬起以上,造成財損約 12 億美元,是最大宗的網路犯罪型態;犯罪內容以轉帳支付詐騙為主,犯罪手法成熟。這類案件大多透過「社交工程」騙取郵件帳號存取權,進而發動攻擊。

FBI 在報告中也指出,技術支援詐騙的案件數量急速上升。去年這類案件的受理次數接近一萬五千件,較前一年大增 161%,損失額達近四千萬美元;受害者以六十歲以上老人為主。

資料來源: