〔ITHOME報導〕 銓敘部遭駭?超過20萬名中央及地方公務官員個資外洩

 

2019-06-24

 

掌理全國公務員的銓敘,以及各機關人事機構管理事項的銓敘部,今晚發布個資外洩通知,共有超過20萬中央與地方公職人員受此資安事件影響。

 

在今日(24日)晚間8點左右,掌理全國公務人員人事制度的銓敘部,在其官方網站上發出個資外洩通知公告。

 

根據銓敘部的說明,這起個資外洩事件之所以被發現,是因為他們在上週六(6月22日)接獲外部情資,進而得知有國外網站揭露了銓敘部所掌理擁有的59萬筆個人資料。

 

從影響範圍來看,目前銓敘部已經公布個資外洩範圍,包括2005年到2012年6月底的中央及地方機關公務人員送審人員歷史資料,實際影響人數的資料為243,376筆,其中的資訊包含身分證字號、姓名、服務機關、職務編號與職稱。

 

不過,目前銓敘部尚未揭露外洩原因或是否遭駭的細節,僅表示疑似外洩資料的資訊系統,其實早就在2015年3月下線,因此還不確定外洩時間與過程,但已經協請行政院資通安全處,協助進行根因調查及全機關全面性資通安全檢測。而在這次事件發生之後,銓敘部也已經表示,將會對現行運作的相關資通系統,重新檢視其防護措施。

 

基本上,掌理全國公務員的銓敘,以及各機關人事機構管理事項的銓敘部,是我國人事制度的核心機關。目前,銓敘部也已經依照資通安全管理法,向行政院國家資通安全會報技術服務中心進行資安事件通報。

 
 
 

 
 

〔ITHOME報導〕 【涉及遠端派送與集中控管的應用軟體,都必須強化安全防護】不只更新管道,所有軟體派送方案也會被當成濫用目標

 

2019-05-08

 

近期的駭客攻擊暴露了軟體更新機制的風險,而這樣的威脅同樣存在於具備集中管理特性的軟體系統,例如企業級防毒軟體、資產管理與GCB

 

當企業軟體更新服務被駭客盯上,讓原本信任的管道成資安破口,而這次華碩更新主機遭駭事件,更讓企業憂心的是,是否還有其他過去信任的管道,也可能帶來同樣的風險。

 

在這次議題中,多半是圍繞在軟體更新服務討論,但是,也有資安服務業者提出不同層面、但架構類似的問題,讓我們注意到更多的威脅面。例如,除了有更新服務會被濫用,駭客若要散布惡意程式,也可以在企業內部利用正常的軟體派送管道,像是任何有中央控制臺架構、具備軟體派送功能的系統。

 

事實上,多年前已有資安專家提醒,憂心這些預設的信賴機制,也會是駭客下手的目標,不過我們較少看到這類事件被揭露。在這次報導過程中,我們找到經常協助企業進行資安事件處理的安碁資訊,該公司技術副總黃瓊瑩也以他們的經驗,說明這種威脅的實際存在。

 

除了連外上層管道,企業內部建置的軟體派送工具也面臨入侵風險

 

在2015年,已有類似的駭客攻擊手法,是在企業內網中啟動了假冒的防毒中控主機,會先向原本真正的防毒中控臺要求資訊,以取得註冊數與版本等相關參數,接下來再向用戶端程式發送封包,通知向新的主機報到,藉此派送惡意程式後再消失。黃瓊瑩表示,透過事後的調查分析,他們才發現這起事件的更新路徑有問題,同時也注意到軟體缺乏相應的下載檢查機制,甚至還發現駭客曾利用通知降版方式,來規避既有檢查的狀況。後續,防毒業者也對此改良防護機制,像是在產品部署註冊時,都會用公鑰架構來加密,讓上述假冒、掉包的方式無法進行,因此,在2016年後,已較少看到這樣的問題。

 

但是,這樣的攻擊手法也不斷變化。在2018年他們又看到這樣的威脅,原因出在企業內部管理的問題,被駭客竊取相關的金鑰,使得駭客又可以原本的假冒方式來攻擊。另外,他們在2016年也發現有駭客是利用資產管理系統,來散布惡意程式。這也表示,入侵者相當清楚這些軟體的架構與溝通方式。

 

對此,黃瓊瑩指出,以往企業都會重視AD伺服器的防護,但萬萬沒想到這些具有中控、遠端派送功能的系統,也能被駭客操弄。因此,在現行攻擊手法的轉變之下,他認為,不論是防毒中控臺、資產管理系統、更新主機,這些系統的防護層級,都應該要提升到如同AD伺服器防護,予以更嚴格的管理。

 

更值得關注的是,黃瓊瑩還大膽預測下一波濫用的管道,很可能會是政府組態基準設定與檢測工具(GCB),這也意謂著政府組織要特別關注。

 

此外,對於最近發生的更新伺服器主機遭駭事件,黃瓊瑩也強調伺服器本身金鑰防護的重要性,可多多利用HSM(Hardware Security Module)、IC卡,強化金鑰管理的安全。