去年十二月十三日爆發的太陽風(SolarWinds)駭客攻擊事件對美國政府機構造成有史以來範圍最廣程度最深的傷害,受害單位包括財政部、能源部、國土安全部、司法部、國家安全局等。假如此次攻擊真是俄國國外情報局所為,則不幸中的大幸是從目前存在的證據來看,它似乎沒有對十一月三日的美國總統大選產生足以動搖結果的影響。太陽風攻擊事件充分曝顯了供應鏈攻擊(Supply Chain Attack)的嚴重性:駭客先分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,入侵他們的軟體更新遞送設施,將惡意程式植入其最新軟體版本,再藉由軟體更新機制送入攻擊目標單位。
其實臺灣也不乏供應鏈攻擊的本土案例。二○一八年六月到十一月間,華碩的軟體更新伺服器遭駭客利用將藏有惡意程式且有華碩數位簽章的新版軟體散佈到至少數以萬計的華碩筆電上。今年一月七日,刑事局表示,約9.4萬支台灣大哥大自有品牌Amazing A32手機在出廠前被駭客於韌體記憶區植入惡意程式,所以即使重啟或重置手機也無法移除此惡意程式。經此事件後台灣大哥大清查所有Amazing牌手機機種,發現只有Amazing A32是委託中國廠商代工,其他非中廠代工的機種都沒有類似的資安問題。
仔細分析過往軟體供應鏈攻擊的案例,可以歸納以下四類攻擊模式。第一類,軟體供應商本身就是攻擊者。舉例而言,花一億美元買下一家擁有成千上萬企業客戶的軟體公司,以利用它的軟體產品作為運送惡意程式的特洛伊木馬,這與辛辛苦苦開發網絡攻擊然後試圖逐一侵入個別企業相比,似乎是相對便宜可行的攻擊方式。第二類,軟體供應商被攻擊者所駭,其軟體產品因而遭埋入惡意程式,太陽風攻擊屬於此類。第三類,軟體供應商的產品使用含惡意程式的第三方軟體如開源軟體。第四類,軟體供應商的產品使用含易遭駭的程式漏洞的第三方軟體如開源軟體。因為當代軟體產品使用大量開源軟體套件而開源軟體的版本管理機制相對鬆散,所以駭客有較多機會將惡意程式或程式漏洞植入常用的開源軟體套件。
美國國務院於二○二○年四月所倡議的「乾淨網路計畫」(Clean Network Program)要求參加的電信營運商不要使用含中國軟體的電信設備(如華為),這種堅壁清野、先發制人的措施意在預防第一類供應鏈攻擊。
台積電除了加強自身的資安防護,也開始要求其供應商建立起碼的資安規範並將其列入例行稽核項目之中,這種確保每個產業生態圈成員都建置適當的資安自衛力量,應能有效對付第二類供應鏈攻擊。
要抵禦第三及第四類供應鏈攻擊,需每個生產內含軟體的設備的開發廠商為其設備上的軟體建立軟體元件清單(SBOM or Software Bill of Materials),此清單應明列所有使用的開源軟體套件,和每個套件的已知漏洞、主力開發者及其所屬公司組織。因為臺灣許多電子機械網通設備公司在未來都將需為其產品建立SBOM,由公部門建立一個能符合溯源要求、持續追蹤更新的開源軟體資料庫讓廠商共享,可以大幅降低國內產業製作SBOM的成本。
除此之外,要更有效處理這兩類供應鏈攻擊,另需可以掃描開源軟體原始碼,進而指認出其中可能惡意軟體或漏洞所在的程式分析工具,可惜這樣的工具還不完全成熟需要進一步研發。
(本文由資訊與通訊研究所所長闕志克授權轉載)
