民進黨中央黨部讓人搖頭的資安觀念

資安公司FireEye臺灣分公司日前發布一份新聞稿，揭露民進黨中央黨部的網站，在今年的4月份，連續遭到駭客入侵兩次，並且側錄瀏覽民進黨網站使用者的資料。不具名的資安專家也指出，民進黨短期內遭到兩次入侵，但都在最短時間內立即修復，但從駭客可以連續成功入侵民進黨中央黨部的網站來看，也證明駭客已經真正掌握民進黨部的網站漏洞，重複入侵只是一種宣示的行為。畢竟，民進黨成為臺灣真正的執政黨，可以入侵一個國家執政黨黨部的網站，對於以竊取機密資料的駭客而言，這當然是一個重要的入門磚、轉捩點。

不過，民進黨中央黨部發言人王閔生針對FireEye公佈的入侵資訊，對外一律表示，民進黨向來很重視資訊安全，近期沒有收到黨部網站被入侵的消息，而且，重要的是，因為民進黨不是FireEye的客戶，所以FireEye根本不可能知道民進黨中央黨部是否被入侵。

也有媒體報導指出，民進黨向來很重視資安，以前也曾經在進行重要會議時，會將參與者的手機和電子產品全部關機放在塑膠袋內，放在其他地方集中保管，以避免有心人士竊取重要訊息。

王閔生發言凸顯的無知關鍵就是，民進黨不是FireEye的客戶，所以FireEye不會知道民進黨是否遭駭、是否被入侵。他的說法，讓一干資安專家們笑到倒地不起，因為，除非攻擊是從使用者內部系統發生的，例如要找出攻擊者從哪裡入侵，要追蹤內部移動的過程，就一定要到使用者端做調查，否則，有許多網路攻擊的攻擊軌跡或資訊，其實在網路上就可以找到。

像是近年來，有許多資安公司的資安研究員會從網路上的各種管道，追查各種可能的攻擊跡象，進而彙整出一個攻擊趨勢或者是手法，對外發布，希望藉由提醒，讓更多使用者註意類似的攻擊手法、避免受駭。而這些管道包括駭客經常主動公佈攻擊資訊的論壇網站、暗網（Dark Web），或者是一些網路聊天室（IRC），甚至是網路黑市的資訊等等，都可以從中觀察到一些蛛絲馬跡，再由資安研究員抽絲剝繭，找出關鍵所在。

面對APT攻擊，「一定會被入侵」是最基本的防護前提

就資安的攻擊和防禦而言，攻擊只需要有一個點的突破，就可以達到攻擊的目的，但是防禦，往往都需要做到點、線、面全方面的縱深防禦，才可能真正達到「防禦」的目的。也因此，駭客的攻擊只需要找到一個點，就可以順利入侵使用者端的電腦，但是，使用者的防護卻需要做到全方位的保護，還不一定可以真正做到不被入侵的情況下，防護的難度是遠遠高於攻擊的難度。

也因此，面對這類APT的攻擊，現代的資安防禦概念和早期的概念已經有所轉變。現在所有的企業和使用者，都必須假設「一定會被入侵成功，只是時間早晚而已」作為防護的前提，再來評估如何從最弱的環節進行防禦來看，回頭看看，民進黨的資安防禦概念如果是認為該單位沒有被入侵，甚至因此感到沾沾自喜或自滿時的態度來看時，我們甚至可以大膽推論，民進黨系統被入侵且沒有被外界發現，早已是必然的結果。

APT攻擊之所以刁鑽難防，是因為這幾乎是所有資安攻擊中，最高級的綜合格鬥術，整合了社交網路攻擊手法，搭配魚叉式釣魚郵件，利用各種零時差漏洞或者是應用程式的弱點，順利入侵使用者電腦後，就可以在藉此植入木馬或是後門程式，讓駭客可以進行遠端遙控、定期下達竊取或回傳資料的指令，而當駭客已經可以掌控鎖定攻擊的目標中的某一臺電腦，就可以進一步藉由橫向移動（Lateral Movement）的方式，逐步從次要的系統，慢慢地往主要鎖定的目標前進。

而當駭客成功抵達鎖定攻擊的目的地時，第一個動作往往是發動隱身術，不被各種防毒程式、防禦系統和設備察覺木馬程式的存在，就像是駭客在電腦系統中，努力先設法躲過巡邏衛兵的盤查，通過第一關。

接下來，遠端透過木馬程式操控使用者電腦的駭客，就會開始透過各種方式下達指令，除了傳統的木馬程式Phone Home行為、主動跟駭客報到，或者是透過木馬程式連回命令與指令伺服器（C&C Server）接收通知，甚至是偷偷隱身在系統中，偽裝成一般的電腦程式而不動聲色，直到最後一刻、發動致命攻擊等，都是常見的手法之一。駭客下達指令的方式也有許多變形，像是之前就有資安研究員發現，駭客是透過木馬程式連線到一般的部落格方式下達指令，這種方式被察覺到的機率就很低。

木馬程式接收駭客的命令，最主要的目的就是要進行情搜，盡可能的蒐集所有的資料再回傳給駭客；而如果駭客所需要的資料，並不在木馬程式所在的電腦或系統時，就會開始進行系統內部的移動，直到找到鎖定的系統、拿到所需要的資料才會停止。

當木馬程式取得所需要的資料時，就需要將資料回傳給駭客。而在資料回傳的過程中，最美妙的方式就是木馬程式在回傳資料給駭客的過程中，可以隱藏在一般80埠或443埠的對外網路流量中將資料外傳，使用者通常不容易發現有任何異常狀態，木馬程式就可以順利完成任務。

野菜國當然是「凸顯的無知關鍵」「讓一干資安專家們笑到倒地不起」！