| 吳宜庭/東海大學資訊管理學系 |
駭客常攻擊之管道
在當今網路普遍存在的時代下,你所瀏覽的網站一定安全嗎?而你認為只要瀏覽在有安全憑證上的網站就一定不會遭受到資料竊取的危險嗎?事實上,現在駭客常用的攻擊手法有許多種,例如:從公共場所的免費Wi-Fi進行偽造,模仿這些場所的熱點名稱,當人們從中連線時,即可監控他們的網路活動與竊取資料,甚至安裝惡意軟體。
又或者現在社群軟體的普遍使用,使得大量的廣告商將廣告投放於社群軟體中,而駭客也可透過此方式,藉由虛假的廣告吸引人們進行點擊,即可透過該連結對你的裝置下載惡意程式或是點擊劫持(clickjacking),進一步危害你的裝置。
現今眾多平台的帳號驗證會使用雙重驗證,目前最常見的為6位數驗證碼,而駭客也發現該管道是個可以嘗試破解帳號的地方。
有一案例為2019年,有名白帽駭客將自己發現的漏洞提交給企業換取相應報酬,在自己的部落格上揭露了自己是如何入侵Instagram的任何帳號[1],透過Instagram的忘記密碼嘗試破解帳號,在重設密碼時發現可透過從手機號碼恢復帳號的方式,發送6位數的驗證碼進行破解,透過無數的請求進行嘗試,並想方設法繞過各種限制。
2021年,同一駭客也發現了與破解Instagram帳號類似方法,透過Apple ID 的忘記密碼選項允許我們使用分別發送到我們的手機號碼和電子郵件地址的 6 位 OTP 數字來更改密碼,該名駭客透過各種測試成功的破解iCloud帳號,並在後續將其漏洞告知Apple團隊使他們將漏洞修復。
而在網站出現大量的圖片是一件常見的事,社群網站的圖文分享或是廣告新聞的圖片,在眾多圖片中你是否想過看似簡單的一張圖片,若有惡意用戶在圖片內藉由嵌入惡意程式碼的方式,然而又當你無意的點擊,就可能讓駭客就此駭入你的電腦中,進而擷取有利資訊,達成一些惡意行為。
在眾多漏洞下,我們可以如何去進行保護或是查詢到這些相關的漏洞資料呢?
通用漏洞揭露
通用漏洞揭露(Common Vulnerabilities and Exposures,CVE)資料庫是一個由MITRE組織進行維護的公開漏洞資料庫。它會針對已知的資安漏洞進行審核並且給予編號,編號格式為CVE-YYYY-NNNN,其中YYYY為西元年份。透過編號的查詢可以得知該漏洞的詳細資訊,並且每個CVE的漏洞資料會關聯到美國國家弱點資料庫(National Vulnerability Database,NVD),同時也是安全內容自動化協定(Security Content Automation Protocol,SCAP)的資料庫,裡面會針對該漏洞的影響嚴重性進行評分,及紀錄該漏洞影響的產品通用平台列舉(Common Platform Enumeration,CPE)資訊。
舉一範例,如:公共漏洞編號CVE-2017-8291[2]即為透過Ghostscript軟體可繞過電腦權限來執行遠端控制。此漏洞曾在2017年被北韓的一名駭客用來攻擊南韓虛擬貨幣交易所並盜取數百萬美金的虛擬貨幣。[3]Ghostscript是Adobe PostScript和PDF的解釋語言,應用在各類應用程式中,例如:ImageMagick、Evince、GIMP、PDF閱讀器等,Ghostscript存在多個漏洞,並在後續被逐一揭露。
漏洞的防範
許多已得知的漏洞皆可從CVE網站的列表中查詢,台灣的台灣電腦網路危機處理暨協調中心(TWCERT/CC)也於2018年參與美國的MITRE通用漏洞揭露計劃,申請成為CVE編號管理者(CVE Numbering Authorities,CAN),並建置台灣漏洞紀錄(Taiwan Vulnerability Note,TVN)平台。
系統的漏洞並不會自行告知使用者,因此定期更新設備與系統可以使裝置保持在最新的狀態,安裝已修復好的系統版本,以防被有心人藉由漏洞危害自身資訊安全。不是所有驗證方式皆可防範帳號不被入侵,但是在已得知的漏洞下,可藉由CVE網站查詢相關資訊,並了解該漏洞是如何被突破的,並且了解該如何防護。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
[1] LAXMAN MUTHIYAH(2018). 6 Ways To Hack Someone’s Instagram Account and Its Prevention Measures. 檢自:https://thezerohack.com/hack-instagram (Feb. 12, 2023)
[2] CVE(2017). CVE-2017-8291. CVE. 檢自:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8291 (Feb. 12, 2023)
[3] JUAN ANDRES GUERRERO-SAADE AND PRISCILLA MORIUCHI(2018). North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign. Recorded future. 檢自:https://www.recordedfuture.com/north-korea-cryptocurrency-campaign (Feb. 12, 2023)
