Let’s Encrypt 完整支援 IPv6

使用 Let’s Encrypt 網站安全憑證者有福了。。。Let’s Encrypt 宣佈完整支援 IPv6。

Let’s Encrypt is happy to announce full support for IPv6.

As IPv4 address space is exhausted, more and more people are deploying services that are only reachable via IPv6. Adding full support for IPv6 allows us to serve more people and organizations, which is important if we’re going to encrypt the entire Web.

https://letsencrypt.org/2016/07/26/full-ipv6-support.html

Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).

The No More Ransom Project (對抗勒索軟體計劃)

no-more-ransom

Ransomware is malware that locks your computer and mobile devices or encrypts your electronic files. When this happens, you can’t get to the data unless you pay a ransom. However this is not guaranteed and you should never pay!

https://www.nomoreransom.org/

To protect yourself from this ransomware Trojan, follow these preventive measures:

  • Do not open attachments in emails from senders you don’t know;
  • Back up your files on a regular basis and store the backup copies on removable storage media or in cloud storages – not on your computer;
  • Regularly run updates for your antivirus databases, operating system and other software installed on your computer;
  • Create a separate network folder for each user when managing access to shared network folders.

一銀ATM被植入後門程式的感染途徑(推論)

本人在一銀ATM被盜領的事件爆發後,第一時間即已撰文推斷原因,詳見:

「第一銀行ATM遭駭 34台吐出7000萬」,這家公司的 ATM 用什麼作業系統?

至於後門程式的感染途徑,在下要說:除非有內鬼,否則這應該是一種APT攻擊的結果。

什麼是 APT 攻擊?

APT 是指:進階持續性滲透攻擊(Advanced Persistent ThreatAPT),簡單來說,駭客會鎖定攻擊目標,然後蒐集情報,以各種工具進行滲透,接著感染目標組織的主機(包含USB碟,應用程式等)或伺服器,然後植入後門程式,後門程式會等待攻擊指令的發動,一旦時機成熟(例如感染的機器數量夠多了),駭客便發起攻擊,目標就得手了。

以這次一銀案為例,其入侵途徑可能為:

惡意程式網站或郵件附檔–>感染金融單位員工或資訊人員的電腦–>感染USB碟或作業更新程式–>員工用USB碟插入ATM主機或使用數據機或傳輸軟體,上傳更新作業程式或要在ATM上播放的廣告影音檔–>感染ATM。

可能有人會問:ATM 主機有 USB 埠嗎?答案是有的,請看下圖:

Screenshot_2016-07-12-23-44-30

昨天有警官聲稱如下入侵方法,根本是外行人亂講混話。。。

熟悉網路科技犯罪的官警說,歹徒在ATM輸入一組數字後,電腦切換至「控制模式」,再操作軟體更新,更新過程螢幕會秀出「帳號及密碼」,歹徒取得帳密後輸入獲得控制權,可自由操作ATM,就像打電玩遊戲的隱藏版「密技」,玩家輸入一組指令變身「無敵狀態」,享有升級功力或無限道具。

另一則新聞可證實本人的推斷:

(自由時報)第一銀行發生ATM遭駭自動吐鈔盜領八千萬案,檢調人員發現有卅八台ATM被植入「cngdisp.exe」及「cngdisp_new.exe」等兩款新種惡意程式,研判駭客集團利用ATM系統更新時植入,再由車手於特定時點,透過手機、平板等載具喚醒程式,ATM即會瘋狂吐鈔。

本案只有兩種可能:

  1. 內鬼利用維護更新程式時,植入後門。
  2. APT 攻擊,如上所述。

至於破案難度,如果是內鬼所為,那麼破案不難;但若是遭受APT攻擊,一銀恐怕只能自認倒楣了(主謀追查不易)。

那麼被盜領的七千萬元呢?

本案分工精細,二名已出境的蘇聯男子只是車手,錢應該還在國內,由專人進行洗錢,如果能沿路調出監視器的錄影畫面,追查錢的大致流向方位,以錢追人,或許可以揪出內鬼或幫兇,但主謀從頭至尾應該都在國外,其身份一定隱藏得很好,以目前台灣和各國並沒有司法互助的情況下,要追捕主犯難度很高。

最後一點,對「cngdisp.exe」及「cngdisp_new.exe」做逆向工程分析,或許可找出一些蛛絲馬跡,理由是:寫程式的人多少都有固定的習慣(叫用相同的asm副程式),分析調用程式碼的手法、技術模式,也可判斷寫程式的駭客集團。

題外話:有些人對逆向工程嗤之以鼻,以為這只是玩破解者的小技倆(哈!我小時候就玩過了,不就是改幾個 nop 90 90 一下嗎?),其實,對資安而言這是非常重要的技術,逆向工程分析能力越強,越能提升資安防護強度,也能對攻擊者進行反擊,最重要的是可建立各種攻擊程式的技術模式資料庫,分析並提取其技術精華為我等所用(比如:培養 BOB、分析駭客集團…)。

XP ATM 究竟實情有多嚴重?Linux ATM 有機會嗎?

linuxatm161

2014 年之前,XP ATM 佔全世界ATM 比重是 95%,自從微軟宣佈中止 XP 的安全支援之後,這些使用 XP ATM 的金融機構「頭殼真正是抱著燒」,須知,一部 ATM 價格動軋台幣上百萬(約在$15000~$60000美元之間),其使用周期若沒有10至15年,難以回收成本。在商言商,金融單位不可能在賠本的情況下逃汰這些舊機器,結果是,各家銀行只能燒香保佑自己的 XP ATM 不要出問題,但是,太平的日子真能長久嗎?網路上金融駭客虎視耽耽,稍有縫隙,入侵盜款,也是舉手之勞而已。。。一銀 ATM 被入侵一案,想必也只是冰山一角,若不及時明快處置,後續未爆彈,恐怕一顆又一顆。。。

Linux ATM 可能是不錯的選項。。。

Linux 平台升級及安全修補比起 XP/Windows 等平台而言,相對容易,也不會受到特定廠商的拘束(因為開源嘛),國內金融機構實在可以好好列入考慮,若是自主開發,未必不可行喲!

 

台灣金融資安真的要加油了!

如果沒記錯,現在郵局用的 ATM 好像也是 Wincor 的主機,上次特別瞄了一下機器外殼,就有個 Wincor 公司的 mark。

至於是不是和一銀被入侵出事的這批ATM同一型號,那就待查了。。。

以下是中華郵政公司的採購項目。。。事實上,這些資訊都是駭客觀察收集的重點,如果證實:這二位蘇聯車手能夠得手並順利出境,那簡直是在台灣資安臉上吐了大大一口口水。。。

大學指考英文作文題目:Waste collectors with a master’s degree.

“今年大學指考英文作文題目請考生就一則新聞報導表達其看法。報導標題為「碩士 清潔隊員(waste collectors with a master’s degree)滿街跑」,報導內容提及某縣市招考清潔隊員,出現 50 位碩士畢業生報考,引起各界關注。”

這裡面有一個關鍵字:waste collectors,我們先來看一下 wiki  對這個字詞的定義:

A waste collector is a person employed by a public or private enterprise to collect and remove refuse (waste) and recyclables from residential, commercial, industrial or other collection site for further processing and disposal.

其義為:收集和去除各式回收垃圾者,稱之。如此看來,這需要用到碩士學位的專業知識嗎?由新聞報導可知,人們對此事的反應,其看法都是否定,隱藏的感覺是:浪費高等教育資源。

過去出現碩士報考各縣市清潔隊員的新聞至少有:

2016/01/18

桃園清潔隊招考 69名碩士爭搶

(中央社記者邱俊欽桃園8日電)桃園市政府環保局舉辦升格後首次清潔隊員對外招考,預計錄取180名儲備清潔隊員,來了69位碩士報名,求職市場競爭激烈。

2016/02/21

台大碩士扛沙包 搶當清潔隊員

(Yahoo奇摩新聞)

桃園市政府升格後首次對外招考清潔隊員,歷經「筆試錯1題就出局」的激烈競爭,1031位考生20日齊聚開南大學比賽「扛沙包」,角逐180名儲備清潔隊員缺額,其中有多達53位碩士生。環工背景的許先生坦言,責任制讓他覺得生活沒品質,寧願少領1萬元尋求穩定工作。

2016/02/23

北市招考清潔隊員 28名碩士報考

(ETtoday)

台北市環保局今年招考290位儲備清潔隊員,起薪高達37000元,2月12日報名截止共吸引6388人報考;報考者中,有28人碩士畢業。。。

這個題目,要是由您來寫,您會如何發揮呢?

大考中心公佈的評分原則如下:

考生須根據這個主題寫一篇英文作文。文分兩段,第一段依據考生的觀察說明這個
現象的成因;第二段則就考生為因應上述現象,具體(舉例)說明該考生對大學生涯的學習規劃。
多數考生在第一段都提到目前台灣的大學、研究所因數量過多而造成大學或碩士文憑價值不能與過去相提並論,也有一些考生提到高等教育中學用落差的問題。

考生在第二段較能表達自己對大學生涯的學習規劃,顯示有不少考生在高中期間,對自己未來在大學要如何充分學習已經有通盤的規劃。
英文作文評分重點在於內容是否切題、是否就自己提出之觀點,提供充分、具體之事例支持、兩段文字之間是否有關聯性、全文組織是否連貫合理、句構語法及用字是否適切、以及拼字與標點符號是否使用得當。

由試閱樣卷可看出,考生對於今年的作文題目大致都能有所發揮。

作文寫得好不好或許脩關國家大事或許不是,但自己對人生的規劃卻十分重要,都有心念到碩士了,平時也要有「以碩士的能力在社會上生存的認知」,若不然,那早知如此,又何必當初呢?!

如此看來,高教浪費,始作俑者真是沒有遠見,其罪過,鞭數十、驅之別院也不能完全究責。

「第一銀行ATM遭駭 34台吐出7000萬」,這家公司的 ATM 用什麼作業系統?

先來看這則新聞:

中央社記者田裕斌台北12日電)自動櫃員機(ATM)驚爆安全漏洞,第一金控旗下第一銀行部分自動櫃員機遭到有心人士植入惡意程式,盜領超過新台幣7000萬元。

一銀表示,還在清查問題所在,客戶權益不受影響。

一銀副總經理葉仲惠表示,目前所知包括台北市、台中市有34台ATM遭到破解,遭盜領金額超過7000萬元,目前已向警方報案,將由檢調調查相關案情。

葉仲惠指出,目前所知ATM是遭到有心人士各個擊破,經由在個別ATM植入惡意程式後,使ATM自動吐鈔,由於並非從客戶的帳戶中盜領存款,因此客戶權益不受影響。

由於能夠不經由銀行主機控制個別ATM的人只有銀行行員、負責補鈔的保全人員及系統維護人員,未來一銀將從這3方面清查遭到植入惡意程式的原因。1050712

再來看這一則:

社會中心/綜合報導(ETtoday 新聞雲)

國內金融史上首見的金融犯罪!第一銀行自動櫃員機(ATM)驚爆遭無卡盜走7000萬!第一銀行台北、台中34台ATM疑遭植入惡意程式異常盜領,2名歹徒在沒有操作ATM,竟然讓34台ATM吐出7000萬元,一銀已緊急報警處理,並向調查局備案,部分ATM 暫停服務,但強調客戶權益不受影響。

第一銀行經全面清查銀行ATM,初步瞭解可能遭有心人士各個擊破,經由個別ATM植入惡意程式驅動吐鈔模組執行吐鈔,因皆屬德利多富(Wincor)公司的同一款機型,目前該款機型已全面暫停服務。

第一銀行指出,由於遭盜領ATM皆非透過一銀帳務系統取款,因此並不影響客戶存款,客戶權益完全受到保障,且本案因與帳務及帳戶無涉,故與「無卡提款」完全無關。

由此可見,出禍原因是:作業系統有漏洞,被人植入了後門程式。

那麼,德利多富(Wincor)公司的 ATM 用哪一種作業系統?根據該公司2013年公佈的資料:http://www.wincor-nixdorf.com/internet/EN/WincorNixdorf/Press/pressreleases/2013/eolxpen.html

02.12.13

Secure operation of self-service terminals after end of support for Windows XP

Currently, a majority of all the ATMs and account statement printers installed around the world runs on Windows XP. However, Microsoft is discontinuing support for this operating system as of April 8, 2014. From this point on, Microsoft will no longer provide security-related patches for Windows XP – and as a result, various security requirements, including the PCI-DSS standard, can no longer be fulfilled, since this standard requires that device software always be kept up to date.

。。。。。。

“With this software, Wincor Nixdorf bridges the gap between the widely used Windows XP operating system and the PCI DSS security requirements,” explains Stefan Wahle, Vice President of Software Solutions at Wincor Nixdorf. “Our new PC/E Terminal Security software gives our customers time to plan and implement their transitions to Windows 7 carefully. And the use of PC/E Terminal Security pays off down the road, too, since its comprehensive security protection for ATMs remains in force even after migration to Windows 7.”

所以,事實很清楚啦,不是 XP 就是 Win 7。升級 ATM 是很費錢的,或許銀行為了節省成本,讓老一批的 XP ATM 繼續運作也未可知。

以前,颱風天去郵局 ATM 領錢,也曾遇過 ATM 當掉的情形,睜大眼睛一看,乖乖隆地咚,發現 XP 的桌面竟然跑出來了。。。那時心想,終究有一天,這肯定會出大問題。。。如今,果不其然。

藉此入侵事件,國內各金融機構應好好清查一下自身的ATM,該升級該修補就趕快處理一下吧!未來採購ATM時,作業系統也應列入重要考慮的指標,也就是說:如果 Linux ATM 成熟了,是否給它一個機會?