【笑談資安事，長老話你知】- 能醫不自醫の謎思

疫情放緩，政府的運動中心也相繼開放，與校友在打高爾夫打球時吹水，在疫情期間健康問題自然成為閒談的熱門話題——年紀大、機器壞是不能避免的。閒談間也講到職業與壽命的關係，校友說他的大學同學剛剛蒙主寵召，死者是一名著名的心臟病醫生，但能醫不自醫，死於心臟病。其實在資訊保安界也是一樣，愈是著名的資訊保安公司，愈是受到黑客的攻擊，應驗一句老話：「不經人黑是庸才！」。

疫情中眾多的資訊保安事件中，FireEyes 的 Solar Strom事件最為人關注，因為黑客利用 SolarWinds 產品的漏洞，對 FireEyes 公司作針對性 APT 攻擊。在 SolarWinds 供應鏈攻擊期間，Microsoft 和 Malwarebytes 兩家公司均遭到黑客的攻擊。網絡保安公司 CrowdStrike 表示，黑客以 SolarWinds 的用戶為目標，但攻擊 Microsoft 和  Malwarebytes 的事件並未成功。

但在 2021 年 1 月 22 日，SonicWall 網絡安全設備製造商的產品收到黑客攻擊，SonicWall 的產品通常用於保護對公司網絡的訪問，現在已成為繼 FireEye、Microsoft 和 Malwarebytes 之後，在過去兩個月內，第四次有安全設備供應商披露安全漏洞或受到黑客攻擊。黑客利用複雜而高超的入侵技術，成功發現了 SonicWall 的 NetExtender VPN 客戶端，和面向 SMB 的 Secure Mobile Access 100 系列產品的漏洞，這些 SonicWall 產品主要用於為員工和用戶提供從外部對內部資源的遠程訪問。黑客通過 SonicWall 遠程訪問產品的漏洞，輕易進入受害者的內部網絡而進行破壞或盜竊資料。

有江湖傳聞指，黑客 SailorMorgan32 在一個俄羅斯的論壇中，公開表示他從 SonicWall 公司中盜取了 4TB 的數據，其中包括多份保密協議，會計賬目和工資單文件，以及 3TB 的產品源代碼 (Source Code)。但在公開後僅兩個小時或更短的時間，該貼文便消失了。SailorMorgan32 帖子中的圖像仍在論壇的緩存中，圖像據稱包含了SonicWall 與一家電訊公司的 NDA 的部分內容，和 SonicWall 公司內部使用的 Jira 項目管理軟件的有關軟件產品除蟲的內容和跟進。囂張的 SailorMorgan32 還說，如果 SonicWall 不同意付費取回 4TB數據，他將以為每個 $ 500,000 的價格，出售給不超過五個買家。

一位不願透露姓名的業內消息人士稱，不久後，SailorMorgan32 在一次私人聊天中，聲稱有人向他支付了約 500 萬美元的贖金；如 SailorMorgan32 這樣的網絡犯罪分子在獲得高額贖金之後，便會從大氣中消失休假去了，這是一般的慣例。

其實，資訊保安公司被入侵並不是新聞，能醫不自醫是永遠的新常態，以下是我知道的資訊保安公司的資安事件：

2008年：根據一家位於俄羅斯的電腦安全公司 Zone-h.org 的說法，一個綽號為「m0sted」的土耳其黑客在一次 SQL Injection 的幫助下破壞了 Kaspersky Lab 在馬來西亞的網站，網站被黑客 Deface。黑客還滲透了 Kaspersky S.E.S 官方線上商店及其他子域。據這名黑客說，愛國主義激發他發動攻擊，並使用 SQL Injection 作為執行入侵的技術。

2012年：Symantec 提供給路透社新聞服務的一份聲明中，這家資訊安全軟件巨頭承認，黑客闖入了該公司的網絡系統，並竊取 Symantec 公司某些軟件的源代碼。

2012年：黑客組織 UGNazi 利用 Google 身份驗證系統中的漏洞對 Cloudflare 進行了部分攻擊，獲得了對 Cloudflare 的管理訪問權， 並從語音信箱中竊取管理員的密碼。

2013年：韓國網絡安全公司 AhnLab 的研究人員對黑客入侵攻擊進行了分析，發現被盜用的身份驗證權限用於受影響網絡上的修補程式管理系統。然後，黑客使用修補程式管理系統和分發軟件更新相同的方式，分發惡意軟件到其他的客戶的端點軟件。在韓國，AhnLab 公司的端點軟件超過 50% 的市場佔有率，事故影響龐大。

2020年：Sophos 發布必須修補企業防火牆產品 XG 中的一個零日漏洞，該漏洞已被黑客發現並發動入侵攻擊。儘管 Sophos 並未確認她的公司是否有任何數據被盜，但他們表示黑客所獲取的信息，可能包括防火牆設備管理員，防火牆門戶網站管理員以及用於遠程訪問的用戶帳戶的用戶名和密碼。

2021年：Malwarebytes 確認一些用俄羅斯語的人，通過 Office 365 和 Azure 的訪問漏洞入侵，黑客可以自由進入 Malwarebytes 公司一部分的內部電子郵件。

以上的歷史只是冰山一角，本人估計日後還有很多關於資訊安全公司被入侵的事故，並不是資訊安全公司的技術落後於黑客，只不過是破壞比建設容易，「明槍易躲暗箭難防」是硬道理。唯有與時並進，天天向上，提升內部資安意識，知識和資源才是皇道。為何我不提 Microsoft、Adobe、Apple 及 Google？這四大天王的產品為黑客提供良好的攻擊平台，為資訊安全界提供多方面的題材，使資訊安全的的產品增值，也為 IT 業界提供更多的就業機會，貢獻良多，我們應該向他們致敬。剛剛發生的 Microsoft Exchange Server 的漏洞，又不知道有多少公司受到黑客的攻擊？下回分解！