HKCERT:IT系統保安勿放鬆

  •  
  •  
  •  

資訊及通訊科技發展迅速,加上新冠疫情,大眾在網上購物和投資已成為生活的一部分,中小企亦會建立網絡系統或使用雲端來處理業務,導致網絡罪行及黑客入侵事件變得頻繁。網絡攻擊有形形色色的手法:釣魚攻擊、惡意軟件等,但攻擊前,黑客會事前準備及觀察。此次香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)便想從Malicious Scan方向剖析這一行為。

什麼是Malicious Scan

香港電腦保安事故協調中心(HKCERT)從Malicious Scan方向剖析網絡攻擊手法。

顧名思義,Malicious Scan是指惡意網絡掃瞄。首先,黑客會使用端口掃描工具,一次過掃描大量目標公司的域名,從而知道該公司的伺服器有否公開可被用作入侵的端口。每一個端口可被視作為網絡接入口,會預設一個數字及用途,以下是一些常用例子。

  • 端口20:檔案傳輸協定(傳輸資料)(FTP)
  • 端口21:檔案傳輸協定(傳輸命令)(FTP)
  • 端口22:安全遠端登入協定(SSH)及用於安全檔案傳輸(SCP/SFTP)
  • 端口23:終端仿真協定(Telnet)
  • 端口25:簡單郵件傳輸協定(SMTP)
  • 端口80:超文字傳輸協定(HTTP)
  • 端口443:超文字傳輸安全協定(HTTPS)

當黑客成功取得有關資訊後,便會嘗試遙距連結該端口來進行攻擊,例如使用密碼暴力攻擊(Brute Force Attack)取得存取權限,或繼續搜集及攻擊系統的漏洞來入侵伺服器。以下例子就是端口掃描工具的畫面(圖1),可以看見21, 22, 25及80端口已開放,意味著黑客可以利用這些「入口」進行網絡入侵。

圖1 – 端口掃描工具

假如目標是網站伺服器(開放了80或443端口),黑客可以透過目錄掃描工具暴力破解網站伺服器上的目錄和文件名(圖2)。原理是把常用的目錄和文件(例如: /index.php, /login.php 或 /images/) 附加到網址後方,從而得知網站收藏了哪些資料。

圖2 -文件/目錄滲透測試工具

了解暴力攻擊方法

暴力攻擊乃一種常用的密碼破解方法。黑客會透過反覆嘗試猜測用戶的登入名稱和密碼,以獲得對系統的未經授權的存取,原理非常簡單,但成功率卻很高。部份進階的黑客則會使用自動化的應用程式或指令碼作為暴力破解工具,這類型工具會快速嘗試多種密碼組合。另外,有些會試圖透過搜索正在使用中的session ID 來存取網站應用程式。黑客會藉這方法竊取信息,使用惡意軟件感染網站或中斷服務等。2021年,密碼管理公司NordPass公佈了200個電腦用戶常用的密碼,發現首10位的密碼平均使用次數竟多達9,000,000次以上,縱使有部份密碼由10個字組成,但黑客要破解這些過於簡單的密碼組合只需少於1秒。

其他與密碼有關的黑客入侵

  • 字典攻擊 – 字典攻擊是一種蠻力攻擊。此手法通過許多常見詞語及密碼來猜出系統密碼的方法。黑客會使用最常用的密碼、流行的寵物名字、虛構人物或字典中的字詞的大量列表來進行嘗試。
  • 資料外洩 – 資料外洩也是一種可以導致密碼流出的原因之一,黑客會藉此取得系統密碼用作登入,根據香港資訊安全網資料顯示,資料外洩原因可以歸立為仿冒詐騙、軟件或系統漏洞、錯誤設定、內部威脅和用戶疏忽。
  • 憑證填充 – 黑客會利用殭屍網絡以自動化方式不停使用偷來的帳號密碼嘗試登入網絡服務。此方法利用大量外洩的電郵地址和密碼,再搭配自動化程式,不斷試圖登入網絡服務,直至某一組帳號密碼成功登入為止。

由於很多人會貪方便及易記,於不同的網絡服務中重用相同的帳號名稱及密碼組合,所以黑客一旦偷得其中一組,便能很容易入侵用戶的其他帳戶。

掃描系統漏洞

攻擊機構系統的漏洞是另一種黑客常用的技倆,當中會以漏洞掃描器掃描目標機構的系統,了解其系統版本與官方的最新系統版本漏洞上的差異進行攻擊。黑客亦會使用Nmap檢查目標系統是否在線、端口是否開放、查閱系統版本資訊。另外,能透過社交媒體了解該公司正在使用哪些電腦產品,例如在求職網站上獲悉該公司會使用某牌子的防火牆或儲存裝置,循產品供應商知道那一個版本易於攻擊,便可從這方向發動攻擊。

保安建議

  • 要時常更新系統及裝置的保安程式
  • 更換支援已逾期的系統或裝置
  • 關閉或封阻不使用的端口及IP 位址
  • 定期審視業務需求,儘量減少端口公開的數目
  • 減少公開非必要的資訊到互聯網上
  • 限制登入失敗次數以減低密碼暴力攻擊的影響
  • 經常審視日誌,查看有否異常的網絡流量來自不明的IP 地址
  • 使用多重身分驗證及複雜性高的密碼(例如混合使用符號、數字、大階及細階英文字母,及建議長度不少於8個字元)

  •  
  •  
  •