資安E點關鍵 :一個致命的資訊安全威脅

發佈日期:2015/10/02


伴隨著網際網路的盛行,從政府對人民、企業對客戶、輿情分析到大數據都可能隱藏了一個致命的資訊安全威脅。

資拓宏宇資訊安全服務事業部副總吳黎權指出目前常見到如政府機關、民間企業或社福單位等機構,為了強化對人民與客戶的服務,皆會主動提供透過網際網路即可申訴的管道(例如首長信箱),或者提供以網際網路即可申辦相關業務的服務。在這類應用中,有些應用會讓使用者將相關資料以電子方式傳遞給政府機關、民間企業或社福單位等機構。這類的資料或檔案可能隱藏了致命的資訊安全威脅。

可能引發致命資訊安全威脅的服務信箱格式如下:

 

首先來檢視這些資料(多以檔案形式呈現)可能帶來的資訊安全危機。

  1. 關於圖片檔案:一般在實務使用上,使用者對圖片檔案的戒心相當低,使用者認為圖片檔案是一個”死”的物件。事實上不然。列舉如下的例子,當我們將三張 JPEG 的檔案放在同一個資料夾中,並打開這些JPEG 檔案,我們幾乎是不可能看出這三張 JPEG 的異同。若以 7-Zip File Manager 打開這個檔案,就可以看出其中的不同了。

這是原始 JPEG 被打開的情況。7-Zip File Manager 無法打開這個檔案。

若打開另一個被有心人士”加工”過的檔案,結果就不同了。

由上圖圖例可以清楚發現,這個看似簡單的 JPEG 被有心人士加了一個可被執行的 vbs 程式。

2. 再看一個大家常用的 PDF 檔案:同樣的,許多人亦認為 PDF 也是一種”死”的檔案。但是,PDF 具有更多夾帶惡意物件的管道。一個看似簡單的 PDF 檔案,您一點開它,它內含的 JavaScript 馬上會被執行,後果不堪設想。

 

檔案內可以含有各式各樣提供給有心人士夾帶惡意程式的管道,例如微軟 Office 系列中的 Macro、Images、Embedded files、Flashs等,都是很容易夾帶惡意程式進入各機構的管道。PDF 可以包含 Action & Script、Flashes、Forms、Notes、Embedded、Unused objects等,也都是讓各機構暴露在風險中的可能管道。

因此,凡是透過網際網路的對外應用系統,或是對外部收集檔案的系統,都應該隔離於一個獨立的網路,以避免彼此感染。同時,若是要將相關檔案移至內部使用時(無論是供內部使用者直接使用,或是由內部應用系統繼續使用),這些檔案均須經過檔案掃毒及清理過程,這樣才可以確保政府機關、民間企業、與社福單位等機構的資訊安全。

有鑑於此,資拓宏宇特別引進了由以色列廠商(YazamTech)所開發的檔案多重掃毒及過濾工具,可以將上述的致命威脅完全排除,該系統還可經由 API 及 Command Line 與各應用系統整合,並確保各單位收受的檔案皆經過審慎的檢查後,才提供給內部系統及人員使用。