分類: 重大資安事件

2010年間最受安全產業討論的議題 Stuxnet(編按：2010 年11月Stuxnet蠕蟲攻擊伊朗核電廠，鎖定水庫、油井、電廠等重要基礎設施)。大多數 Stuxnet 的攻擊目標出現在伊朗，引發意圖破壞核子設施的陰謀論說。)。毫無疑問的是，Stuxnet是一款高度精良的惡意軟體，其資源，不管是在時間，金錢或人力上其皆十分充裕地被運用來發展。但就衝擊度而言，多數的使用者並未受顯明的影響。沒錯，Stuxnet的確散佈到世界上許多的系統中，但對幾乎是所有受到感染的系統來說，它並不是個大問題。它不偷盜資料，不促銷假防毒軟體( Fake AV)，也不會大量傳送垃圾訊息。

說 Stuxnet 預告了惡意軟體威脅影響「真實世界」機構的新世代來臨，也不完全正確。早在2003年，Slammer蠕蟲就打擊了俄亥俄州一個核能機構，並關閉了一個監視系統。而 DOWNADConficker 蠕蟲攻擊了多個高知名度機構如醫院（甚至影響了MRI磁核共振造影），執法單位，甚至不同的軍事機構。

要說 Stuxnet，可以說它的確劃下了第一次有人決定值得花時間，刻意以特定供應商的SCADA系統監控與資料擷取功能軟體（Supervisor Control And Data Acqusition，簡稱SCADA）平台做為攻擊目標。技術從過去就已經存在，欠缺的是進行的動力。

這類的惡意軟體攻擊數量少也遠在今日的威脅情勢之外。目前資料竊盜仍是最大的問題。趨勢科技每日所發現的惡意軟體中，大多數皆屬資料偷盜型惡意軟體。今日所見的每一件Stuxnet感染，皆相對地會發現上千件牽涉到偷盜資料的惡意軟體，如 Zeus 和 SpyEye。

從 Stuxnet我們可學到兩個教訓。對那些和被 Stuxnet視為目標類似的企業控制系統來說，這應該是一記警鐘。Stuxnet 攻擊的「軟」目標皆未受到良好的防護。這些系統之所以未受到良好防護，是因為他們是位在網路的「內部」，可能被認為受到區域防護業已足夠。網路其實和其最弱的環節一樣安全。因此，企業控制系統中的電腦和網路皆需要全面強化。

第三者的應用程式最常被做為入侵破壞的目標，例如 Adobe Flash 和 Adobe Reader，因此如果不能將這兩者自系統中移除的話，最好是將兩者隨時更新。對可移除式裝置如USB記憶碟的攻擊也不能等閒視之，且需加以防範。這將不會是迅速，簡單或便宜就可以解決的。

不過對負責重要系統的使用者而言，來自 Stuxnet 的危險必須要被放在適當的內容中。憑證竊盜軟體是遠比Stuxnet更重大的威脅。除此之外，要記得針對重要系統而來的威脅很可能目標就單只是該系統。一般的使用者更常看到的威脅類型，會是憑證竊盜和假防毒軟體類的惡意軟體。

Stuxnet終歸是享受了大量的媒體關注。它最主要的是對系統管理者在防護重要系統，甚至那些他們認為不會受惡意軟體威脅的系統，產生警告作用而非是實際的威脅。這個問題必須要被囊括在更大的惡意軟體威脅內容中，這類的威脅每日皆可見到上萬新數量的產生，絕大多數都是在偷盜使用者的資料。

文章來源：2010 in Review: The Hype and Reality of Stuxnet   作者：Ivan Macalintal (趨勢科技資安分析經理)