2010年重大資安事件回顧:Stuxnet 的喧擾與真相

2010年間最受安全產業討論的議題 Stuxnet(編按:2010 年11月Stuxnet蠕蟲攻擊伊朗核電廠,鎖定水庫、油井、電廠等重要基礎設施)。大多數 Stuxnet 的攻擊目標出現在伊朗,引發意圖破壞核子設施的陰謀論說。)。毫無疑問的是,Stuxnet是一款高度精良的惡意軟體,其資源,不管是在時間,金錢或人力上其皆十分充裕地被運用來發展。但就衝擊度而言,多數的使用者並未受顯明的影響。沒錯,Stuxnet的確散佈到世界上許多的系統中,但對幾乎是所有受到感染的系統來說,它並不是個大問題。它不偷盜資料,不促銷假防毒軟體( Fake AV),也不會大量傳送垃圾訊息。

說 Stuxnet 預告了惡意軟體威脅影響「真實世界」機構的新世代來臨,也不完全正確。早在2003年,Slammer蠕蟲就打擊了俄亥俄州一個核能機構,並關閉了一個監視系統。而 DOWNADConficker 蠕蟲攻擊了多個高知名度機構如醫院(甚至影響了MRI磁核共振造影),執法單位,甚至不同的軍事機構。

要說 Stuxnet,可以說它的確劃下了第一次有人決定值得花時間,刻意以特定供應商的SCADA系統監控與資料擷取功能軟體(Supervisor Control And Data Acqusition,簡稱SCADA)平台做為攻擊目標。技術從過去就已經存在,欠缺的是進行的動力。

這類的惡意軟體攻擊數量少也遠在今日的威脅情勢之外。目前資料竊盜仍是最大的問題。趨勢科技每日所發現的惡意軟體中,大多數皆屬資料偷盜型惡意軟體。今日所見的每一件Stuxnet感染,皆相對地會發現上千件牽涉到偷盜資料的惡意軟體,如 Zeus 和 SpyEye

從 Stuxnet我們可學到兩個教訓。對那些和被 Stuxnet視為目標類似的企業控制系統來說,這應該是一記警鐘。Stuxnet 攻擊的「軟」目標皆未受到良好的防護。這些系統之所以未受到良好防護,是因為他們是位在網路的「內部」,可能被認為受到區域防護業已足夠。網路其實和其最弱的環節一樣安全。因此,企業控制系統中的電腦和網路皆需要全面強化。

第三者的應用程式最常被做為入侵破壞的目標,例如 Adobe Flash 和 Adobe Reader,因此如果不能將這兩者自系統中移除的話,最好是將兩者隨時更新。對可移除式裝置如USB記憶碟的攻擊也不能等閒視之,且需加以防範。這將不會是迅速,簡單或便宜就可以解決的。

不過對負責重要系統的使用者而言,來自 Stuxnet 的危險必須要被放在適當的內容中。憑證竊盜軟體是遠比Stuxnet更重大的威脅。除此之外,要記得針對重要系統而來的威脅很可能目標就單只是該系統。一般的使用者更常看到的威脅類型,會是憑證竊盜和假防毒軟體類的惡意軟體。

Stuxnet終歸是享受了大量的媒體關注。它最主要的是對系統管理者在防護重要系統,甚至那些他們認為不會受惡意軟體威脅的系統,產生警告作用而非是實際的威脅。這個問題必須要被囊括在更大的惡意軟體威脅內容中,這類的威脅每日皆可見到上萬新數量的產生,絕大多數都是在偷盜使用者的資料。

文章來源:2010 in Review: The Hype and Reality of Stuxnet   作者:Ivan Macalintal (趨勢科技資安分析經理)