從駭客經濟學看SQL Injection攻防 你相信嗎?只要花100元人民幣就可以買到SQL Injection自動化攻擊工具,而且這片光碟還附有教學影片,教導如何攻擊與竄改資料庫。
SQL Injection是一個有10年歷史的老問題了,這個攻擊手法是利用網路程式存取資料庫的漏洞,將惡意指令嵌入資料庫SQL查詢語言,藉此欺騙資料庫的邏輯判斷,進而取得能夠執行資料庫指令的權限。
追查網路犯罪十多年的內政部警政署資訊室主任李相臣說:「有8成以上的企業資料庫資料外洩案件,都是被駭客以SQL Injection攻擊手法得逞的。」然而,現在只要花400元,不論是否懂駭客攻防原理、原則,幾乎人人可搖身一變為SQL Injection駭客,這個問題就不再只是個老問題,而是嚴重的新問題了。
SQL Injection十年野火燒不盡
從2005年開始,就有人在中國販售SQL Injection自動化攻擊工具,數聯資安研發處副總經理張裕敏指出,黑帽駭客只要花點錢,就可以買到整套的SQL Injection攻擊工具。而且,這些販售攻擊工具的中國黑客網站,甚至還提供攻擊手法教學影片,以及後續的升級與客製化等售後服務,儼然是企業化經 營。
張裕敏說:「網路上找得到的P牌自動攻擊工具,已經針對Oracle、DB2、Informix、MySQL、SQL Server等企業常用的資料庫設計,只要按個滑鼠鍵,就可以啟動自動化的SQL Injection攻擊。」有了這種自動攻擊工具,即使攻擊者不懂得SQL Injection攻擊的原理、原則,也能像是操作玩具一般發動攻擊。張裕敏指出,在這種情況下,企業網站的監控、維護或設定,只要稍不注意,黑帽駭客就 有機會趁虛而入。
在自動化攻擊工具出現後,SQL Injection的攻擊手法也就跟以往不同。今年上半年,臺灣與歐洲等地陸續發生大規模的SQL Injection攻擊事件(Mass SQL Injection),這一波攻擊的相同特點是攻擊數量龐大,據資安廠商估計,在這波攻擊中,臺灣起碼有超過10萬個網站被攻擊過。
阿碼科技資安顧問丁性佃追查這次攻擊手法發現,黑帽駭客事先掌控了大量的傀儡電腦,利用這些電腦執行自動化程式,以Google搜尋引擎找出有 SQL Injection漏洞的網站,一旦找到了有漏洞的網站,就會將惡意網站的連結直接寫入網站資料庫中,讓這些網站的網頁都有惡意連結,一旦使用者連上受害 的網站,就會連到惡意連結。
駭客一開始是藉由SQL Injection攻擊手法來大量散播惡意網站的連結。第二步就是等到Adobe Flash公布新的漏洞,駭客馬上寫出一個可利用這個漏洞來掌控電腦的木馬程式,並將木馬程式放到先前散播的惡意網站連結,藉此對大量的電腦發動零時差攻 擊。這樣的複合式自動化攻擊手法,可以讓駭客在更短的時間內攻陷更多的電腦。
駭客的投資報酬率
這是截至目前為止最新的SQL Injection攻擊手法,而且,這個老掉牙的問題還會再衍生出更多新的攻擊手法,資安專家都認為,這將會是一場沒有終點的網路攻防戰,要持續打贏這場戰役,就一定要從「駭客經濟學」的角度來思考戰略。
阿碼科技艾克索夫資安實驗室首席資安顧問邱銘彰說:「這是一場成本戰爭。」現在的駭客不像以前一樣專挑難攻的網站下手,只為了證實自己的能力。現 在的駭客像是在經營生意,要創造出規模經濟,唯有掌控更大量的電腦,才能隨心所欲地發動大規模的分散式攻擊,或是竊取更大量的個人資料。因此駭客所思考的 策略是如何以最少的金錢、最少的心力,在最短的時間內攻陷最多的電腦。所以,多數的駭客都會尋求投資報酬率最好的攻擊手法,一旦投資報酬率不佳,就會選擇 放棄。
依駭客經濟學的態勢來看,企業必須要從風險管控的角度來規畫防禦策略。如果企業可以增加駭客入侵的難度,駭客衡量投資報酬率之後可能就會尋找其他 目標了。網駭科技總經理徐千洋表示,企業在思考與駭客攻防的戰略時,不能追求完美的防禦,要從追求絕對安全轉為相對安全,思考如何在公司可承擔的成本下, 增加駭客入侵網站的困難度。他指出,從Web程式開發、改變網路資料庫架構,這些做法都可以增加駭客入侵的困難度。
電子商務網站PayEasy(康迅數位)去年在面對中國駭客與詐騙集團攻擊時,就採取相同的思維,PayEasy總經理林坤正表 示,PayEasy主動告知網站被詐騙集團鎖定,讓會員提高警覺,目的就是要讓詐騙集團的難度增加。他說:「駭客和詐騙集團都是企業化經營,也要講求投資 報酬率,如果可以花更短的時間,輕易入侵A網站取得資料,就不需要花更長的時間,去入侵B網站了。」
駭客思維已經轉變,企業不能不變。面對不斷翻新手法的SQL Injection攻擊,企業其實很難找到一勞永逸的防禦工具,必須先認清現今駭客的生態,掌握駭客經濟學的特性,從相對安全的角度思考,才能找到有效的縱深防禦策略。文⊙黃彥棻
