近期幾起資安事件之風險防患討論
夜晚的沁涼總算在這幾日逐漸出現,跟隊友相約邊走路健身,當然也免不了找些話題來聊聊。
於是忽然冒出了這一個話題的討論:
主要還有近期另一個也很嚴重的話題:
全球知名的導航與健身追蹤設備製造品牌 Garmin 遭到勒索病毒攻擊導致其雲端服務停擺,甚至影響到工廠生產線生產。
以下是英文官網的聲明:
以下是中文的聲明:
其實發佈的非常「含蓄」,基本上就試公關稿似的,讓人看了也不知道到底是怎樣?
那麼,來看看科技媒體的「深入報導」:
https://www.theverge.com/2020/8/4/21353842/garmin-ransomware-attack-wearables-wastedlocker-evil-corp
(備註:不是不想轉載中文信息,實在是遍覽中文的相關報導,其實都蠻不深入的感覺,感覺就按照基本報導「標準格式」套用發佈,實在看不出個究竟...)
目前大致可以整理出的信息:
- Garmin 已經付了約莫美元一千萬元的贖金,換取讓其系統恢復正常。
- 付款的方式是透過中介公司:Arete IR。(居然還有靠這個維生的公司?)
- 攻擊自 7/23 開始,讓 Garmin 的穿戴設備、APPs、網站及呼叫中心都終止服務。
- 受到影響的服務陸續自 7/27 逐步恢復。恢復初期使用者均抱怨其數據無法順利與雲端做同步。(估計因為同時間所有之前中斷的數據都開始與雲端進行同步,導致服務中心處理擁塞產生不順暢現象~)
- 據報導,攻擊的勒索病毒為 WastedLocker。(下面可以見到 Garmin 內部流出的受影響電腦檔案之附檔名都被加上的 GarminWasted 的字眼)這個病毒據了解是由俄羅斯駭客團體 Evil Corp 所釋放出來。
先看看上述第5點提到的內部流出圖片:
另外,中介公司 Arete IR 也透過 twitter(疑?)發佈了一則相關勒索病毒說明:
事實上,與隊友溝通過程中,我就想到了類似大公司肯定都有強大的法律顧問做了完全的「免則聲明」。果不其然,看看 Garmin 的聲明中有這一段:
所以呢,這次事件對所有用戶的影響,公司本身都是免責的。
我們就此事件溝通中,就在討論這個有意思的「現象」。由於過去工作使然,自己也擔任過或負責過企業的 MIS 任務。而資訊安全在不同產業、不同規模、不同階段的企業中會有不同的作法,關鍵點除了 MIS 主管外,還有的是整個公司 CEO 甚至董事長的意識。這就類似開設了工廠,大家都會想到要做實物的財產保險,保護有形資產的意外損失。但是對於資訊系統這偏向「看不到」的服務來說,很多企業會選擇能省就省。而 MIS 部門向來也有點被當成沒事的時候就被遺忘,編預算時優先做節約而砍預算的對象。於是當諸如此類事件發生後,才被外界發現怎麼如此規模的公司居然連基本的備份與防禦都如此脆弱呢?(背後的學問很多,但其實只要肯花預算,一定都有支付贖金之外的解決方式的~)
延伸討論
除了上面的討論外,我又提到了一個觀察,在此也分享出來。
前幾天在寫關於 SpaceX 與 NASA 的文章,連結:
這文章的資料就涉及 SpaceX 在 YouTube 上的直播連結,當時就發現居然旁邊有 YouTube 做的相關影片推薦,推薦第一名,居然是個詐騙直播。
我原本是以為這麼巧,我在想文章居然還遇到 Elon Musk(SpaceX 創始人)的直播,興沖沖點進去看,才發現是個詐騙串流。很能想像一定有一些用戶被此騙到。
更誇張的是,相關的詐騙手法,現在在 YouTube 上還是看得到,我截了兩個圖:
因為是詐騙信息,我就不把連結放上來,也希望儘快被抓到後取消。
這很簡單的騙術,利用名人效應,告訴你可以轉帳 0.1 到 10 個比特幣(BTC)到該假冒的名人帳戶後,就可以收到該名人回送給你 0.5 到 50 個比特幣(BTC)。是不是很無腦的騙法?但是套上了名人與相關光環加持後,彷彿真的有這麼一回事。
隊友跟我討論說,那如果被騙了,是不是就去找 twitter 或是 YouTube 求償呢?事情當然沒有那麼簡單,平台當然會有相關的「免責聲明」,加上這是屬於詐騙集團的行為,平台怎麼可能代為支付?如果去找被利用的名人呢?我想名人更不可能淌這個渾水呀......
網路帶來的便利自1990年代開始逐漸影響我們的生活,但當大家在五花八門的繽紛網路世界中遨遊時,記得千萬要明哲保身且千萬提高警覺,別以為會有天上掉下來的餡餅,貪念往往就是詐騙者利用的支點,讓受騙者自己說服了自己,深信騙術。