[轉貼]臺灣網路安全攻擊反應時間：172小時

這是一篇讓人感到傷心憂慮的文章，或許現階段看起來真的沒什麼大不了，但是如果放任其發展漠不關心，傷害會非常大。

網路、電腦發生問題時最困難的不是解決問題，而是找出根源，也很難相信這樣高貴也很貴的核心設備像紙糊的一樣任人操弄，如果有心要出事真的不難。

原文網址：http://blog.libraene.com/2009/04/05/831
原文網址：http://www.ithome.com.tw/itadm/article.php?c=54196

臺灣網路安全攻擊反應時間：172小時

將來如果有機會編寫臺灣IT年表，2009年3月應該很有機會榜上有名。

許多人在3月3日一覺醒來，凡是首頁設為msn.com.tw的使用者，肯定會驚慌了起來，因為熟悉的MSN首頁不見了，取而代之的是看起來一片亂碼的網頁。但是看看網址列上的位址：msn.com.tw，是MSN沒錯啊，難道連微軟網站也失守被駭客入侵了嗎？

自此後兩個禮拜，臺灣網路界、安全界開始展開一段史上從未如此峰迴路轉的驚異大奇航，本刊網站也在第一時間獨家報導MSN、臺灣C|Net、ZDNET（這兩個網站是同一家公司）遭到大規模轉址的安全事件。

一場攻擊行動+反應遲緩的官方

這場網路追追追的行動之所以如此令人驚異，是因為在黃金72小時的時間內，所有外圍人員如媒體、安全業界始終錯估原因，從DNS Spoofing到ARP掛馬，從新加坡網路懷疑到中華電信網路，始終無法真正找出攻擊發動的源頭，也沒有人能夠提出統一理論足以完美解釋所有發現的證據 與線索。

就連本刊報導，也從原先預估為DNS Spoofing攻擊訂正為路由器漏洞，後來也發現並非路由器本身的問題。

事實上，根據某Cisco路由器專家的檢測後發現，此次攻擊發動的源頭，應該是路由器在mirror port上的網路裝置如IPS等Layer 4設備遭到入侵所致。由於高階Layer 4設備本來就具備解析、插入、重組封包的能力，因此能夠輕易實現本次網頁轉址攻擊中，在正常封包前插入轉址指令的特徵。

為求驗證，某位不具名安全專家特地架設實驗室環境，以路由器+IPS成功重現相同的網頁轉址攻擊。

謎題解開後，中華電信也趕緊處置骨幹網路網段內可能出現問題的Layer 4設備，該網頁轉址攻擊事件就此平息。

但真正的問題才剛開始浮現，在這場攻擊之中，由於成因未明，故各單位相互推拖，ISP將推給網站，網站又推給使用者自己中木馬；等到成因漸漸浮現， 問題可能出在網路供應商身上時，中華電信推給新加坡電信，新加坡電信又將問題丟回給中華電信；回報給臺灣官方單位時，卻得到「轉轉址而已，又沒發生事情」 的回應而輕忽以待。

換句話說，整個臺灣網路安全界，在將近2個禮拜的時間內，均籠罩在「轉址攻擊何時會大規模爆發」的陰影中，直到該攻擊看似又無聲無息地消弭為止。

3月底，有史以來被查獲最為龐大的間諜網路－鬼網(GhostNet)意外曝光，臺灣網路深受其害，是否為各單位長期以來姑息養奸的心態所養出來的呢？

======================

(這篇原始網址中有圖片，有興趣的可以去瞧瞧)

研究：全球GhostNet網軍入侵，台灣受害最重

在針對GhostNet為期10個月的追縱裡發現，986個受感染的IP中，台灣就佔了148個，而且多數集中在外貿協會。

專門研究國際動亂的加拿大SecDev Group近日發表一份報告指出，針對GhostNet進行為期10個月的追蹤報告顯示，全球受到感染監控的政府/非政府組織的電腦數量台灣排名第一，而受感染的電腦大多數都集中在外貿協會（TAITRA）。

　完整報告內容

這項調查開始是因西藏流亡政府及達賴喇嘛私人辦公室懷疑機密資料外洩而與SecDev Group合作進行的調查，不料卻意外發現台灣才是該間諜網路最大的受害者。

該研究以追蹤間諜網路（GhostNet）的數字指出，共有103個國家的1295台電腦受感染，當中有3成高度鎖定軍事機構、大使館、國際組織、新聞媒體，及非政府組織。但在受感染的電腦中有許多重複計算，若以IP計算共有986個，其中台灣就佔了148個。

該報告還指出，2007年12月，全球56個國家中有320個感染事件，其中就有113個位於台灣，而且一樣主要發生在外貿協會。但截至目前為止，該報告中被點名的外貿協會尚未回應。

該機構所條列出的電腦中，屬台灣的機構有：史瓦濟蘭大史館（高機密），資策會（III，低機密），Net Trade（高機密），外貿協會（高機密），以及政府服務網（高機密），其中單外貿協會就有79個。

該組織指出，駭客利用社交手法在電子郵件中夾帶惡意程式，被駭的電腦是下載了一稱為gh0st RAT的木馬程式以用來竊取機密資料，受影響的有西藏組織及達賴喇嘛辦公室，以及伊朗、印度等國家的外交部，還有南韓、泰國及台灣的大使館，以及亞洲開發 銀行，這些木馬程式伺服器則設於中國海南島。

雖然該組織發現該間諜網路源自中國，但卻無法判斷中國政府介入此事，有可能是來自中國的愛國駭客，亦可能是來自其他國家。

不過，SecDev Group也認為中國政府很可能默許境內駭客的行為，被動地享受個人駭客為國家所帶來的利益，例如最受中國駭客歡迎的就是台灣的電腦系統，特別是在兩岸情 勢緊張的時候；先前中國飛行員因與美國偵測機對撞而身亡使得中國駭客發動對美國電腦網路的攻擊。但不論是哪件事，皆未與中國政府有明確的連結。

此外，該組織表示，雖然GhostNet間諜網路規模很小，但卻高度集中，目前他們仍無法判斷此一間諜網路的動機，或是駭客身份，也無法明確指出 受駭的範圍，並不知道駭客究竟取得了哪些資訊。不過從該網路鎖定西藏流亡政府、東南亞及南亞國家來看，最大的受益者應該是中國，但仍無法直接判斷是中國所 為，也有可能是來自其他國家的駭客，只是透過中國伺服器執行。

對於該報告強烈懷疑中國政府渉入其中，中國駐紐約領事管發言人否認該事件與中國政府有關，並說中國政府反對並禁止任何網路犯罪。（編譯/陳曉莉）