近期BGP劫持事件頻傳,即早發現可減少影響範圍

近來邊界閘道器協定 (Border Gateway Protocol, BGP) 遭劫持事件層出不窮,如2018年底奈及利亞劫持Google流量約74分鐘,以及6月初歐洲行動流量被導至中國電信兩個小時。最新一起發生於今 (2019) 年5月初,台灣網路資訊中心 (TWNIC) 營運之公共DNS遭到劫持,封包被導向巴西網路業者 (ISP),幸好持續時間僅三分半鐘,未造成太大影響。

BGP協定是一種去中心化之網際網路協定,透過IP的路由表以及前綴資訊,用以實現自主系統 (Autonomous System, AS)的可達性。然其僅在建立連接時會執行簡單的安全身分認證,但對於已成功建立BGP連線之AS而言,則幾乎是無條件信任對方。然而,當ISP—無論是惡意還是無意—錯誤地公布其實際上不屬於該ISP的IP位址以及前綴,即有可能導致BGP劫持事件。

Quad101是一實驗性的公共DNS,由台灣網路資訊中心 (TWNIC) 營運,推廣以隱私為主的DNS服務,其所分配到之IP位址為101.101.101.101。

但是今年5月8日台灣時間約23:08(UTC時間15:08),巴西一家ISP開始宣告理應不屬於該ISP的IP位址—101.101.101.0/24,亦即該巴西ISP宣告自101.101.101.0至101.101.101.255共256個IP位址,均屬於該巴西ISP,其中包含了Quad101所使用之IP位址,即意味著對Quad101進行BGP劫持,導致使用者應傳送至Quad101的封包,可能會因此被傳送至該巴西ISP。

彙整路由訊息的isolario.it計畫,是在UTC時間當天15:08:55取得巴西ISP的首次宣告,並於當天UTC時間15:12:15收到巴西ISP針對該IP區段的最後宣告;同樣進行路由資訊彙整的RIPE RIS則是於當天UTC時間15:08:39收到其宣告,並於UTC時間15:11:42收到最後宣告。此次BGP劫持總計持續了約三分半鐘,幸好其劫持時間不長、巴西ISP收到通知後也立即進行更改,未造成太大影響。

在網際網路的世界中,每個ISP都有責任建立並維護安全完備的路由設備和網路,但網際網路奠基於每個AS網路間的互動和彼此的操作,沒有任何一個ISP可以100%保護自己所負責之網路,唯有提高自身防護能力,同時遵守並保護網際網路規範,方能共同維護網路安全。

資料來源:

https://www.manrs.org/2019/05/public-dns-in-taiwan-the-latest-victim-to-bgp-hijack/

遭 ShadowHammer 供應鏈攻擊的企業,不只一家

先前華碩遭 ShadowHammer 進行攻應鏈攻擊,導致其系統更新程式成為惡意軟體的散播工具;然而另外還有多家企業也是 ShadowHammer 的受害者。

資安廠商卡巴斯基(Kaspersky)指出,除了先前遭到入侵的華碩之外,至少還有六家公司也遭到 Operation ShadowHammer 的入侵。

卡巴斯基在另外六個案例中觀測到和華碩案例十分接近的駭侵手法,包括利用多個有效的合法憑證以規避掃毒偵測,以及類似的複雜演算法。

這六家同遭感染的公司都在南韓,其中一半是遊戲開發商,另外也有藥廠、IT服務商與某家大型企業集團。

專家同時指出,不排除有更多受害者的可能性;由於 ShadowHammer 攻擊的目標是企業後端的各種開發工具,還會將惡意程式碼注入經合法簽章的程式中,因此不但擴散力極強,還非常不容易發現。

資料來源:

  1. https://www.kaspersky.com/blog/details-shadow-hammer/26597/
  2. https://www.securityweek.com/kaspersky-links-shadowhammer-supply-chain-attack-shadowpad-hackers
  3. https://www.bleepingcomputer.com/news/security/shadowhammer-targets-multiple-companies-asus-just-one-of-them/

華碩電腦 Live Update遭駭,百萬使用者恐安裝惡意軟體

原本提供即時更新,保護使用者的資訊安全的華碩Asus Live Update,近日被資安公司卡巴斯基公布,此更新機制遭受駭客攻擊利用,變成使用者安裝惡意軟體的一大捷徑。

為方便使用者,華碩(Asus)開發了一款自動、即時的軟體更新工具程式—Asus Live Update,附於華碩筆記型電腦內,當電腦開機時會自動開啟,連入華碩網站檢閱是否有華碩相關軟體更新版本,並進行自動更新。

此項方便的即時更新工具程式,卻在去年(2018)6月至11月間,遭受有心人士透過未知管道獲得之合法華碩數位憑證,將後門或惡意程式植入被更新之軟體中,大量散播惡意軟體,此事件之攻擊手法被稱作「ShadowHammer」。

ShadowHammer攻擊事件

今年(2019)1月時,卡巴斯基公司應用了新的供應鏈攻擊(Supply Chain Attack)相關檢測技術,用以檢測合法程式中被隱藏的異常部分,因此發現華碩電腦可能遭駭並遭植入惡意軟體。在被發現之前,此攻擊可能已經持續了半年以上,影響範圍可能相當大。

Asus目前表示已主動聯繫可能遭受攻擊之用戶,並且提供檢測以及更新之相關服務,也透過客服專員協助相關用戶解決問題,同時亦會持追蹤,確保使用者資訊安全無虞。

除了協助使用者,華碩已針對該軟體進行升級為全新多重驗證機制,針對此次事件的各種可能漏洞,強化其加密機制,確保事件不再發生。

檢測及建議措施

在ShadowHammer攻擊中,目前已經在200支惡意程式樣本中,查出約600個不同的MAC位址,未來將會對更多樣本進行檢測。卡巴斯基也提供擔心的使用者於其網站中(https://shadowhammer.kaspersky.com/),查詢自己電腦是否有問題。同時,華碩已提供ShadowHammer的檢測工具 (https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip?_ga=2.20570680.1823363715.1553584600-974246282.1552277686),供擔心的民眾用以檢測電腦是否有被攻擊。

若民眾仍擔心安裝到惡意程式,建議可至「系統設定」視窗中,將「服務」和「啟動」標籤下的Asus Live Update選項取消,停止該程式的開機自動啟動。並且將Asus Live Update更新至最新V3.6.8或是更高的版本。且除非作業系統等較重要之升級,驅動程式不需持續更新,若真的需更新,使用者可直接於官網下載更新,不應透過其他軟體下載安裝,以避免遭植入惡意軟體。

資料來源:

  1. https://securelist.com/operation-shadowhammer/89992/
  2. https://www.kaspersky.com/blog/shadow-hammer-teaser/26149/
  3. https://www.asus.com/tw/News/IsyIB2Q5VN9N1Y3w

日文IDN持續在日本地鐵車站與您相會

三月日文IDN在日本地鐵車站引發了關注,隨著四月也是前往日本賞櫻的好日子,別忘了旅途中行經JR鐵道「東京車站丸之内南北通路」車站時看看,也許能巧遇出現在燈箱上的.tw喔!別忘了到域名之友粉絲專頁(https://www.facebook.com/twnicNEWS/)與我們分享!

購買時請詳閱各家受理註冊機構說明,若有疑問可進一步與受理註冊機構詢問。

有關日文IDN之介紹可見服務網站: http://日本語.tw/index.html

防杜 DNS 攔截攻擊事件,ICANN 發文敦促技術升級

有鍳於透過 DNS 造假技術,將網路流量導向至假網站,藉以監聽網路通訊,甚至騙取帳號密碼等敏感訊息的事件愈來愈多,國際網際網路管理的最高組織 ICANN 日前發表文件,敦促和網域管理有關的各公私單位,早日升級至更安全的 DNSSEC。

閱讀全文 “防杜 DNS 攔截攻擊事件,ICANN 發文敦促技術升級”

「2018台灣網路報告」發布

「2018台灣網路報告」主要目的為希望能夠完整呈現台灣網際網路發展與應用服務的趨勢,並將台灣整體網路使用圖像與使用者輪廓,藉由長期追蹤調查研究,以量化分析與質化研究,綜整台灣網路整體面貌,將量化研究調查的數據與圖表,及質化研究對台灣網路發展之趨勢和分析,以網頁的方式提供給國內產官學界參考。而今年,TWNIC更以英文網站將「台灣網路報告」研究成果公布在網路上,讓國外投資者能更方便的直接透過TWNIC所建立的「台灣網路報告」網站,取得台灣網路現況與發展的第一手資訊。

根據今年的調查發現,全國上網人數推估已達1,866萬,整體上網率達79.2%;家戶上網部分,推估全國可上網戶數為705萬戶,上網比例達80.9%。而其中,我們有三個主要的發現:第一,調查顯示12歲以上在近半年來的行動上網率逐年上升,在2018年首度突破七成,較2017年成長近一成。而相對的,近半年在戶外或公共場所使用WiFi的上網率,則首度呈現下滑,和去年相較,使用率下滑約一成五左右,這個有趣的發現與消長,就發生在2018年,由於行動上網使用率的不斷提升,預測將會引領並帶動新一波的行動網路經濟。

第二個發現,這是和行動網路使用成長相呼應的,在第一個主要發現當中,雖然行動網路使用成長,但根據今年的調查中發現,行動支付的成長卻相對緩慢,2018年的調查結果是16.3%使用率,和去年相較只成長2.3%。這也是一個很有趣的發現,當行動網路使用率不斷攀升的同時,行動支付的使用率與接納度卻僅有緩步成長。且國外行動支付品牌市占率持續顯著增加,壓縮國內品牌市場。但隨著今年純網銀執照的發放,純網銀的成立與行動網路的普及之加乘效果對於行動支付使用的影響仍有可持續的發展空間。

報告第三個發現是針對網路邏輯層的部分,台灣 IPv6 滲透率在 2018 年 1 月 1 日僅為 0.46%,到 2018 年12 月底 IPv6 滲透率約為 29.46%,取得了顯著的成長。台灣 IPv6 部署顯著成功因素包含:營運商全力支持 IPv6 部署;其次,大多數網路設備和行動電話都支援IPv6,第三個因素是市場競爭,一旦第一個運營商獲得IPv6 服務的成功結果,同時也刺激其他競爭者在 IPv6 市場領域競爭。這種競爭將帶來更多的創新,這將有助於網絡空間進入下一代網際網路。

最後,綜整本次研究結論顯示出:台灣在完善的基礎建設和成熟的網路環境下,都為台灣下一波經濟發展帶來無窮的動能,而未來台灣在全球網路整體生態環境下的機會在哪裡?我國積極建構數位創新環境、增進數位經濟發展,在產業端擁有厚實的工業基礎,加上長期累積豐富的智慧產品供應鏈經驗,與活躍參與網路的網民,都是相當利於數位經濟發展的優勢。

 

相關新聞報導請參考:

TVBS  台灣網路環境成熟 競爭力躋身國際

民視    去年上網人數推估1866萬人 整體上網率達79.2%

台灣電腦網路危機處理暨協調中心(TWCERT/CC)於2019年1月1日由台灣網路資訊中心(TWNIC) 接力營運!

台灣電腦網路危機處理暨協調中心(TWCERT/CC)自1998年9月於國立中山大學成立;並於2010年1月由台灣網路資訊中心 (TWNIC) 接手維運;再於2014年8月起改由國家中山科學研究院承接。而今年(2019) 1月1日起,為因應國家資安政策,將再次轉由TWNIC繼續推動TWCERT/CC的各項業務。

閱讀全文 “台灣電腦網路危機處理暨協調中心(TWCERT/CC)於2019年1月1日由台灣網路資訊中心(TWNIC) 接力營運!”

「at.tw 翻轉域名實驗計畫服務」把握最後免費試用機會申請試用

TWNIC「at.tw 翻轉域名實驗計畫服務」推出後,深獲廣大網友們的喜愛與熱烈申請。本服務首重快速申請、簡易設定的流程,翻轉您對架站的概念。申請過程不需輸入任何個資,只需輸入電子郵件及您所要設定轉址的URL,例如您的FB粉絲專頁或現有網頁平台等連結。申請好並完成電子郵件身份驗證後,只要短短數分鐘開通更新時間,即可在網址列上輸入您的專屬網址。 閱讀全文 “「at.tw 翻轉域名實驗計畫服務」把握最後免費試用機會申請試用”