陳宛綺
三月初,國內網路界熱熱鬧鬧地上演「CSI 犯罪現場:神秘轉址內幕大追蹤」,一時間國內頂尖的資訊安全專家與好手們,紛紛投入追查這宗神秘的網頁轉址事件。
關於這宗不尋常的網頁轉址事件,本刊的官網在第一時間即進行報導並持續追蹤。
當時發現包括 MSN 等臺灣網站被轉址會不特定、隨機地被轉到中國大陸的「dachengkeji」網頁。一開始,有人猜測是該網站的主機遭駭,也有人猜測是位在 ISP 的 DNS 伺服器遭到入侵綁架。但隨著越來越多來自各方的回報及調查,攻擊者的攻擊手法也開始出現變化,不僅在轉址的網頁當中加入了惡意連結,且一邊不斷測試各種攻擊手法,另一邊又快速地消除紀錄與證據。
一山還有一山高,當專家們依照所採集到證據,直指此種攻擊手法可能是利用 IP spoofing 或 ARP Spoofing,以修改網路封包內容達到惡意轉址的目地。看似真相即將大白,兇手是誰即將呼之慾出時,駭客卻突然收手了,讓這齣過程高潮迭起的「CSI 犯罪現場:神秘轉址內幕追蹤」突然中斷,在一片猜測與否認聲中,草草收場。
在此事件中,有不少是具「鑑識能力」的國內資安頂尖高手投入調查,但最後仍舊找不出解答,僅能停留在「猜測」階段。
是駭客的攻擊手法高超嗎?倒也不盡然,趨勢科技臺灣區總經理洪偉淦曾經說過,所有病毒或攻擊手法若會被發現,都是「失敗的作品」。但主導此事件的人,相信已從中各篇討論文章中學到不少攻擊經驗與技巧了吧。
是一種新型態的攻擊手法嗎?也不算是,專家們目前所提出的可能攻擊手法,皆為舊手法。那為何沒有辦法找出問題點呢?在第一時間缺乏垂直連繫,以及無官方單位扮演統整角色,是主要的問題。
問題發生的第一時間,所有與此事件相關的單位,通通忙著撇清與本案有關,否認問題出在自己身上:「我們的網頁主機沒有遭駭,問題不是出在我們這裡。」「XX 電信沒有觀察到任何異常的路由指向,…內部沒發現任何異狀。」大家只忙著否認,卻沒有積極協助調查該事件可能發生原因或是保全證據,「各家自掃門前雪」的心態,錯失了充分利用資源解決問題的最佳時機。
當然,缺乏官方、統一的通報系統,也是讓相關單位與熱情的調查者感到無能為力之處。從這次事件可以發現,資安專家們利用網路平臺無私地奉獻自我的調查結果,但是缺乏一個中立的第三方單位提供的通報系統,無法第一時間進行資料統整,彙整來自不同廠商的專家們所掌握到的證據,分散了力量,卻幫了主導者一個大忙(從失敗中吸取經驗),實在是很可惜。
若公權力能介入,相信此事件會很快有答案。這宗轉址事件發展到最後,大家皆認定問題是出在骨幹網路當中的某一個節點。若透過公權力調查(先撇除官官相護的可能性),事件應該很快可以找出解答而完美落幕。不過,類似這種資安事件的國內主管機關或中立單位為何,臺灣電腦網路危機處理暨協調中心 (TW-CERT)?還是警政署刑事警察局偵九隊?恐怕在尚未有人因此造成生命財產損失前,此問題還不會受到重視吧。
經驗必須被記取,這次的神祕轉址事件是否真的落幕,還是未完待續,有待觀察;但若能從此事件中學習到些什麼,才是眾人之福。