勒索软件染指IoT 导致破坏性创新应用受挫?
随着近期新闻披露,大家都已知道,台湾在5月份遭勒索软件感染的人次突破50万,改写历史新高,堪称是当前最令人惧怕的恶意活动;可曾想过,诸如勒索软件等如此刁钻诡谲的攻击型态,一旦缠上了以物联网为基础的创新应用,会发生何等灾难?
从来没有一种恶意程序,能够像勒索软件一般,早在3年前即已被网安研究人员发现行踪,但3年过去了,穷尽网安业界的努力,仍无法将之歼灭,反而随着变种技术日益精进,让其危害性愈来愈高,不仅个人受害,就连企业用户也开始惨遭荼毒,而这群用户的共同特徵,乃在于对业务停顿的容忍度都非常低,譬如医院便是典型之例。
2016年第一季期间,位在美国洛杉矶的好莱坞长老教会医疗中心(HPMC),遭到勒索软件Ransomware侵袭,其核心营运系统因而瘫痪超过一个星期,在这段期间,举凡药剂、电脑断层扫瞄、实验室作业乃至日常文书作业全都被迫处于离线状态,导致医护人员无从查阅病患病历或检验结果,该院别无他法,只好选择将病情较为危急的患者,转送到其他医院进行治疗。
难承受营运中断的企业 易被黑客盯上
正所谓人命关天,这起网络攻击堪称是有史以来,与人命存续之间距离最近的时刻。根据HPMCCEO所述,黑客勒赎金额为40个比特币,依当时行情而论,等同于1.7万美元,看似不高,但对于以救人为天职的医疗院所来说,其代价却是无比沈重。
黑客之所以对HPMC出手,理由很简单,就是看准了医疗信息系统(HIS)不容中断,因此院方通常会乖乖付钱了事;既然如此,黑客不可能只对HPMC单一医院进行蹂躏,果不其然,位在德国的Arnsberg医院、Lukas医院,也相继沦为勒索软件的苦主,其后果也大同小异,同样将无纸化流程回归到纸本作业,仅能靠传真来传递医疗信息,同时导致许多已排定时程的手术活动,因而延期或转诊,更惨的是,受害医院也无力接受新病患。
事实上,近期颇为猖獗的勒索软件,不过是黑客经济商业模式当中的一种活动;除此之外,看似固若金汤的SWIFT系统,竟然惨遭黑客攻破,使黑客得以堂而皇之取得合法操作凭证,据以建立与提交SWIFT信息,进而冒充孟加拉央行,意图自该行位在联邦储备银行纽约分行帐户转出9.51亿美元,尽管黑客因为若干笔误而百密一疏,导致最终仅成功转出8,100万美元,但此笔金额对多数人而言,已算是穷其一生都未必赚得到的钜款,可谓骇人听闻。
可想而知,只要利之所趋,杀头生意一定有人做,更何况网络犯罪还是一门行藏不易败露、被杀头机率不高的好生意!因此勤业众信联合会计师事务所副总经理温绍群直言,网络诈骗年产值突破千亿元,已跃居第三大黑色产业,道理便在于此。
黑色产业链 平均月入8万美元
温绍群引述国外调查报告指出,当前透过地下网络黑色产业链模式,黑客月入8万美元已非难事。任何一名黑客,若以日平均点击恶意连接用户数20,000名为基础,假设工具攻击包的成功入侵机率为10%,受害者付费比率为0.5%,黑客向每名受害者索价300美元,则每天便可赚得3,000美元,一个月累积下来有90,000美元,再扣除攻击工具的取得成本大约5,900元,则平均每月净收入可望达到84,100元。综上所述,便不难让人理解,为何黑客对于勒索软件的关爱程度与日俱增了。
说起勒索软件,开始让人闻之色变的时间,算是2013年,只因当年CryptoLocker蓬勃兴起,堪称是黑客首次凭勒索软件嚐到甜头的第一年。事实上,别以为勒索软件是2013年才初来乍到的新攻击,它在2006年即已诞生,已历经10年光景。
不禁让人纳闷,既然勒索软件是本小利大的恶意活动,且10年前已现身,黑客早该靠它大肆为恶才是,为何这10年来鲜少听闻相关信息?先回顾2006年发生什麽事,当年一支名为TROJ_CRYPZIP.A的变种恶意程序,会查找受害电脑硬盘当中某些副档名的档案,接着把档案压缩成带有口令保护的压缩档,同时也将原始档案删除,此时使用者如果没有其他备份,又急于救回该档案的话,即需遵照黑客指示,付出300美元,才能取得解开压缩档的口令;但这个勒赎方式有其问题,只要是转帐,都意谓黑客行踪有迹可循,易造成事迹败露,所以很难蔚为风潮。
那麽,为什麽勒索软件可以在2013年开始重领风骚,而且益发让人猝不及防?究其主要症结,其实不在于透过加密程序绑架档案、要求支付赎金的整套模式,出现了什麽了不起的突破,而在于黑客取得勒索赎金的管道,产生莫大进化,亦即出现了极具匿踪效果的比特币,对黑客而言,既然拥有比特币如此安全又便利的金流管道,发动勒索软件攻击几乎等同万无一失,自然乐得靠它充实荷包。
勒索软件的下一步极可能是IoT装置
难道大家都对勒索软件无计可施?其实不然,许多CIO异口同声提出「备份」,彷佛备份就是对抗勒索软件的唯一防御措施。惟Palo Alto Networks技术顾问王信强说得好,面对网络威胁,应该用网络手法来解决,勒索软件是网络威胁,但备份却非网络手法,因此只想到用备份来减缓危害,是一种消极作为。
况且这般消极作为,或许在今天勉强可发挥一些作用,但随着时间演进,成效将逐渐递减;为什麽呢?因为展望下一步,勒索软件的肆虐范围,理当并不仅止于现今大家已经意识到的电脑、服务器等终端设备,而是无所不在的IoT装置,届时如果用户想靠备份力挽狂澜,恐怕没那麽容易。
换言之,任何一家新创公司,意欲透过其创意巧思搭配物联网技术,孕育出大受市场欢迎的创新应用服务,也可能随着勒索软件的干扰,而让整个大好江山变了调。试想,由于大量前端使用者的IoT装置遭勒索软件感染,被黑客要求支付赎金,否则便解不开某些关键功能;或是电池寿命随时被消耗殆尽、坠入不堪用的深渊;想当然尔,对于该项创新应用服务的品牌信誉,必然是重大伤害。
那麽何以断言勒索软件的黑客,一定会朝向物联网前进?理由也很简单,首先,经过几年下来在电脑或服务器领域的试炼,发现这个攻击模式不仅可行,而且颇具赚头,若能朝向部位更为庞大的IoT装置扩张基本盘,绝对称得上是美事一桩;其次,黑客若想染指物联网商机,则布放勒索软件的可行性,会比其他攻击程序要来得大,此乃由于,虽说IoT设备的安全设计普遍弱于一般个人电脑,看似黑客极易攻城掠地,但个中仍涉及一大盲点,意即IoT装置的运算能力与储存空间都相对狭小,而多数恶意软件又不具迷你身躯,所以很难登堂入室,但勒索软件不同,它仅含有一组加密演算法、几条简单命令,体态至为轻盈,欲潜进IoT装置并非难事。
可喜的是,黑客不管发动DDoS攻击、施放APT病毒,或植入勒索软件,都绝非一蹴可几,都必须历经威胁杀伤链,依循侦查、诱饵、重新导向、利用弱点、植入档案、回传数据等六道步骤,最终才能得手;所以企业只要藉助威胁智能云与安全闸道设备联防,再搭配端点防护方案,随时探查有无不合乎缺省正常行为基线的活动症候,就很有机会在黑客得手前,成功阻断其攻击。