安全隱患起于蕭墻
俗話說“家賊難防”,員工在企業(yè)系統(tǒng)內(nèi)部植入的一小段惡意代碼使得瑞士銀行在2002年陷入了混亂��。時至今日���,接受審判的除了具有嫌疑的前系統(tǒng)管理員�����,還有企業(yè)不甚嚴密的安全措施���。
信任同事是人之常情——因為他們曾經(jīng)和你共飲咖啡���,為你公司的壘球隊效力,或是在大廳和你打過招呼����。內(nèi)部員工之間的相互信任使得IT管理者將網(wǎng)絡安全的工作重心放在了抵御來自外部的威脅�����。
然而�����,2002年3月4日發(fā)生在瑞士銀行潘恩韋伯公司(UBS Paine Webber)的事件證明:這種單方面的內(nèi)部信任是多么危險��。僅僅50~70行惡意代碼�����,造成了大約2,000臺服務器癱瘓�����,全美國有8,000名經(jīng)紀人無法工作。原告聲稱這個“邏輯炸彈”是由一名心懷不滿的內(nèi)部員工植入的���。IT小組同國際商業(yè)機器公司(IBM)徹夜召開電話會議并匆忙重啟服務器�����,嘗試恢復已經(jīng)被破壞的數(shù)據(jù)���。然而,四年過去了����,造成的破壞仍然難以修復。
最近����,美國新澤西州一家地區(qū)法院開始審理的一場訴訟案,正把事故發(fā)生的原委和細節(jié)和盤托出�����。羅杰·杜羅尼奧(Roger Duronio)以前是該公司一名系統(tǒng)管理員���,他被以從事計算機破壞活動和證券欺詐的罪名起訴���。這個案件給IT從業(yè)者描繪了一個噩夢般的場景:系統(tǒng)故障迫使至少400名雇員停止手中的工作去尋找問題所在�����。損失評估和故障修復工作的花費高達310萬美元�。視不同情況���,經(jīng)紀人在幾天甚至數(shù)周之內(nèi)都無法工作�����。損失的具體后果取決于計算機遭到破壞的程度、辦公地點的遠近�、以及分支機構(gòu)是否保留了備份磁帶。由于后果還在延續(xù)�,這個現(xiàn)在改名為瑞士銀行美國財富管理公司(UBS Wealth Management USA)的企業(yè)目前還無法估算商業(yè)損失的具體數(shù)額。
“破壞性太大了����。我們究竟要怎樣做才能恢復所有的數(shù)據(jù)?這對我們公司的影響有多大����?” 瑞士銀行美國財富管理公司IT部門經(jīng)理�,訴訟第一證人埃爾韋拉·M·羅德里格斯(Elvira Maria Rodriguez)在作證時說道�,“如果用1到10來打分的話,那么它的破壞性就是10+(意指超過10分)�����?!?
受到攻擊之后的幾天,交易仍然在繼續(xù)�����。但是受到惡意代碼侵害的一些服務器卻永遠無法完全恢復了����,主要原因是大約20%的數(shù)據(jù)沒有備份磁帶。羅德里格斯表示�����,受到攻擊之后“這些大型的服務器總是有問題”����。據(jù)她估計,讓所有的服務器都恢復正常大約耗費了一年時間����?��!拔覀兩踔烈獙W會如何同這些問題共存?���!彼f。
金錢與報復
原告聲稱��,現(xiàn)年63歲����,來自新澤西州波哥大市的杜羅尼奧�,通過編寫、植入并散布邏輯炸彈�,試圖刪除中央數(shù)據(jù)中心主機和美國其他分支機構(gòu)服務器上的所有文件,報復其雇主�。初步斷定他的動機為貪圖錢財和惡意報復。起訴人·G·奧梅利(V. Grady O’Malley)在他的公開聲明中表示�����,杜羅尼奧希望年薪從12.5萬美元提高至17.5萬美元����,并得到一筆最高5萬美元的年度獎勵�����。在2002年2月����,他得到的獎勵額度比期望值少了1.5萬美元��。
以下是起訴人毛羅·沃爾夫(Mauro Wolfe)宣稱的杜羅尼奧犯罪過程:杜羅尼奧在家中利用虛擬專用網(wǎng)絡(VPN)連接登錄到中央主機服務器�����,而在此之前的數(shù)月杜羅尼奧就已經(jīng)植入了惡意代碼���。當發(fā)現(xiàn)他所得到的獎勵并沒有達到自己的期望值時��,他便要求公司同他簽訂一份17.5萬美元薪水的合同�,否則當天就走人�。瑞士銀行潘恩韋伯公司沒有同他簽訂合同,杜羅尼奧也被請出了公司�����。然而此時邏輯炸彈已經(jīng)被植入,啟動時間則設定在2002年3月4日早上9點30分——就在股票市場開盤��、交易剛開始的時候����。原告在法庭上說,搜查杜羅尼奧住所的調(diào)查人員在其家中的個人電腦和梳妝臺上的打印件中找到了一些惡意代碼片斷����。
據(jù)原告稱,杜羅尼奧從個人退休賬戶中支出兩萬美元��,意圖通過購買瑞士銀行(UBS)認沽期權(Put Option)的辦法牟利����,這種方法只有在公司股票11天內(nèi)大幅下跌的情況下才可能得到回報。奧梅利告訴陪審員:“如果他(杜羅尼奧)沒有得到那些獎勵����,他將給UBS帶來一場足以撼動其穩(wěn)定性的巨大災難��,而這一天同時也將成為他一生中得到回報最多的工資日(Payday)���?��!北M管遇到攻擊�����,瑞士銀行的股票并沒有下跌�,杜羅尼奧的投資也沒有得到回報����。
杜羅尼奧的辯護律師克里斯·亞當斯(Chris Adams)則把矛頭指向瑞士銀行脆弱的安全防護措施。亞當斯是Walder,Hayden & Brogan律師事務所的合伙人��。他表示�,杜羅尼奧不應該成為這些“既不復雜又相當初級的”代碼的替罪羊,這些代碼看起來更像是惡作劇��。真正的問題在于�,他在一份公開聲明中寫道,瑞士銀行的網(wǎng)絡充滿了安全漏洞���,這使得公司容易受到攻擊����。
亞當斯并不承認這些代碼是內(nèi)部行為,但是他同時也試圖說服陪審團相信其他員工也負有責任����。瑞士銀行IT系統(tǒng)的弱點造成其他人利用杜羅尼奧的用戶名和密碼在網(wǎng)絡中暢行而沒有被檢測到,亞當斯表示�。
亞當斯提到,2002年1月�����,瑞士銀行潘恩韋伯公司通過IT部門的一次內(nèi)部審查發(fā)現(xiàn)���,公司的Unix系統(tǒng)以及Sybase數(shù)據(jù)庫軟件安全存在問題���,特別是涉及密碼的環(huán)節(jié)。亞當斯表示�,當時,40名管理員可以使用同一個密碼獲得Root 權限(注:Root是用戶賬號之一�����,擁有服務器的最高權限)�����,這使得系統(tǒng)無法辨明是哪一個Root用戶發(fā)出了指令�。
羅德里格斯作證時曾經(jīng)提到,在攻擊開始后不久����,她離開了辦公室,在另外一名系統(tǒng)管理員的電腦上使用一個開放的Root賬號去監(jiān)視網(wǎng)絡上發(fā)生的一切�����。在被問及公司是否允許管理員走開��,并在無人使用的計算機上留下Root權限時�,羅德里格斯表示公司沒有這方面的規(guī)定,但是如果出現(xiàn)這樣的情形她也不感到意外��。
亞當斯表示����,該金融企業(yè)在2000年3月對VPN網(wǎng)絡進行的一次評估顯示,一個已經(jīng)在使用中的用戶名和密碼可以同時開啟另外一個進程�。羅德里格斯則表示,她不能確定攻擊發(fā)生時是否存在類似問題��,但是現(xiàn)在并不存在這種情況�����。
不眠之夜
攻擊引發(fā)的災難性后果是毫無爭議的。而且審訊也通過前所未有的視角來審視了一個處于危機中的IT團隊�����。
羅德里格斯負責維護分支機構(gòu)服務器的穩(wěn)定運行�����。當晚�����,200名IBM技術人員中的一部分被迅速派往公司的各個分支機構(gòu)��,羅德里格斯通過電話會議和這些人員協(xié)調(diào)�����。她當晚沒有睡覺��,整夜都在進行電話會議���。像羅德里格斯這樣通宵忙碌的員工還有很多���。
羅杰夫·哈納(Rajeev Khanna)在攻擊發(fā)生時正擔任UBS的Unix系統(tǒng)小組經(jīng)理���。在2002年3月4日那天晚上�,他同樣沒有回家。哈納負責監(jiān)督系統(tǒng)恢復進程�,他連續(xù)工作了三天。哈納的團隊對400~500名UBS的工作人員重新進行部署——其中包括應用程序開發(fā)員�、項目經(jīng)理、系統(tǒng)管理員�、以及數(shù)據(jù)庫管理員——讓他們放下正常工作,投入到修復工作中去���?����!白钪匾氖亲層脩裟軌虻卿浰麄冏约旱碾娔X����?!惫{在作證時表示,“他們無法登錄��,就無法提取客戶數(shù)據(jù),無法進行交易����,無法核實市場數(shù)據(jù),當然最終也無法進行日常工作����。”
問題不僅僅在于那些癱瘓的服務器��。系統(tǒng)管理員以及其他IT工作人員蜂擁而入�,提出各種問題和建議,使原本就亂作一團的數(shù)據(jù)中心和升級中心(Escalation Center)更加混亂不堪���。一個平常容納六七個人的房間一上午就聚集了二三十人���。到中午,有50個人在已經(jīng)癱瘓的網(wǎng)絡上工作�,而僅僅一個小時之后,全國又有數(shù)百人受到了影響��。
這個問題讓IT團隊的年度慶祝頗不光彩���。為了避免類似事故再次發(fā)生�,羅德里格斯在接下來的兩三年里,每逢3月4日都要提前準備好攔截潛在攻擊——采取措施讓重要的服務器保持脫機���,這樣一來���,即便潛伏在網(wǎng)絡某處伺機攻擊的殘留代碼突然爆發(fā),至少可以保證這些脫機的服務器幸存下來�����?�!拔覀儽仨毑扇〈胧┍WC不會再有業(yè)務上的損失����?�!彼@樣說道��。
謹防家賊
內(nèi)部人員甚至是IT專業(yè)人員制造的計算機攻擊事件并不罕見���。盡管每年變化不大����,來自企業(yè)內(nèi)部的攻擊和外部攻擊幾乎同樣頻繁。然而����,內(nèi)部人員犯案卻更具危險性,因為他們擁有相對外部更高的權限��,而且事先不會受到懷疑���?!捌髽I(yè)的系統(tǒng)管理員權利很大����,因為這些權利本質(zhì)上也是他工作的一部分?���!辈D集團(Burton Group)分析師埃里克·麥沃爾德(Eric Maiwald)表示,“就常理而言�����,你認為他們不會對你造成傷害����。如果對他們的管束太多��,他們就無法正常工作����?�!?
然而����,如果對他們監(jiān)控不夠,不眠之夜將會再次降臨����。
邊欄:
軟件炸彈:僅僅是個玩笑�?
巨額損失讓瑞士銀行“買”回了血的教訓:一旦讓心懷不軌的內(nèi)部人員逃過監(jiān)控,植入了代碼�����,那么由這些代碼組成的軟件炸彈就能要了企業(yè)的命���。
“軟件炸彈”由看似簡單的代碼組成���,在進行網(wǎng)絡犯罪時可能具有異?�?膳碌钠茐牧?����。一個典型的案例就是2002年瑞士銀行潘恩韋伯公司(UBS Paine Webber)服務器上被植入的惡意代碼最終給企業(yè)帶來了永久性的傷害���。
軟件炸彈由觸發(fā)器和破壞功能所構(gòu)成,他們幾乎無一例外都是由公司內(nèi)部人員所部署��。觸發(fā)器可以和某個特定時間相關聯(lián)����,或者由某個特定事件的發(fā)生與否來開啟—例如,炸彈制造者某一天早上沒有進行登錄�,炸彈隨即被觸發(fā)。
與病毒或特洛伊木馬那種源自外部的攻擊方式不同���,軟件炸彈往往由具備一定權限的內(nèi)部人員植入��。典型的炸彈破壞功能是刪除文件��。這些惡意破壞行為唯一缺陷在于代碼自身占用了存儲空間����。如果公司有軟件檢測流程,那么“體積”越大的軟件炸彈就越容易被發(fā)現(xiàn)���。
軟件炸彈困擾IT人員已有數(shù)十年時間了��。首次發(fā)生的案例是在1988年����,發(fā)生于德克薩斯州沃斯堡(Fort Worth)一家名為USPA&IRA的股票交易公司��。炸彈制造者離開公司六個月之后����,16.8萬條工資記錄從數(shù)據(jù)庫中被刪除。一名內(nèi)部員工被定罪����,他曾經(jīng)因為私自使用了一臺公司的計算機而遭受了斥責����。1992年,英國Chilworth 通信公司的一名員工被指控在1990年9月辭職之前植入了一枚邏輯炸彈��。軟件炸彈在1990年10月被觸發(fā),破壞了重要的文件����,造成公司超過5萬美元的損失。這名被處罰的員工�,僅僅從事了140小時的社區(qū)服務,同時支付了6,000美元作為賠償���。
公司可以采取很多措施來排除這些軟件炸彈��;多數(shù)措施是針對工作流程而不是技術手段�。賽門鐵克安全響應中心(Symantec Security Response)高級主管文森特·偉佛(Vincent Weafer)表示:“軟件炸彈通常隱藏于人們的視野之內(nèi)���?���!惫颈仨毐WC���,開發(fā)軟件和運行測試這個軟件的員工不是同一個人�。除了對IT員工的犯罪背景進行徹底調(diào)查之外�,公司應該建立同級評審機制,這樣多名程序員就可以了解分析同一段代碼的用途�����。“如果你的產(chǎn)品開發(fā)生命周期非常完整�����,”偉佛表示����,“你應該知道都有誰接觸過軟件代碼,他們做了些什么���,以及該行為何時發(fā)生����?�!碑斎?���,同時還會發(fā)現(xiàn)他們試圖“植入”的代碼����。
