最近的Sony影視娛樂公司（Sony Pictures Entertainment）遭駭客入侵事件，可能是這個月來IT界最熱鬧的議題了，由於這次被駭的內容牽涉到影劇內幕八卦等等腥羶事件，因此隨即引來嗜好此類話題的八卦媒體們紛紛報導，我們當然也不能錯過這件牽扯到話題電影、知名影星、好萊塢、北韓駭客等精彩事件的資安新聞，一起來看看。

事件縁由

11/24日星期一，全美Sony Pictures的員工上班時，發現他們的網路遭到入侵，數以Tera-Bytes計的個人檔案被拷貝後遭到刪除，駭客也在他們的電腦上秀出一張警告圖片：面目猙獰的紅色骷髏加上一大段署名#GOP駭客的警告文字，說他們已擁有該公司所有內部資料、包括最高機密，而這張圖只是開始而已，如果Sony未能遵照其指示行動，那麼在最後考慮期限24日晚間11點就會將特定資料公佈於圖中的數個連結網址。

在公司被駭之後，Sony資訊部門立即將相關電腦主機下線、要求所有員工關閉PC並中斷所有行動裝置的Wi-Fi功能，再由高層要求所有員工立即離開辦公室改為在家上班，而且在短期內將無法連回公司網路，資訊部門接著公告需要一天至三周時間來解決這個問題（據說資訊部門大約花了一星期時間才將公司的資訊系統和網路運作回復正常）。

駭客隨後透過P2P釋出了五部電影讓全球網友分享，其中有四部是尚未發行的新片，此外也釋出了數個文件檔，包含了大量的員工個人資料，包含姓名、生日、社會安全碼、健康儲蓄帳戶、地址、員工識別碼、網路帳號、生日與薪資…等等。

由於這些未發行的電影劇本和母帶被放到P2P網路上被公開下載，內容包括了即將上映的耶誕大片「Annie」、還有「Mr.Turner」、「Still Alice」和「To Write Love on Her Arms」，讓Sony的損失難以估計，而影響最大的莫過於10/17首映、目前仍在美國院線上映的戰爭電影「怒火特攻隊」（Fury），該部影片從11/27被分享到網路迄今已被下載超過88.8萬次，Sony因此次事件而暫緩了部分電影的拍攝工作，內部的員工更人心惶惶擔憂個人資料外洩，而影劇圈與政界也是人人自危（因為據傳有一些電子郵件內容是關於攻擊美國總統歐巴馬和好萊塢影星如安潔莉納裘莉等人）。

　　然而Sony面臨的危機至今還未解除，GOP駭客組織在12/18威脅宣稱，將為Sony送上聖誕大禮，在12/25公開更多竊取的機密資訊，

是不是北韓所為？

　　對於這次的攻擊事件，有相當多的原因讓人懷疑是北韓所為，首先最主要的起因是Sony製作了一部喜劇電影「The Interview」（國內譯為名嘴出任務，有些人則乾脆譯為刺殺金正恩），內容描寫了刺殺北韓領袖金正恩的情節，甚至於還有金正恩死亡的畫面，因而遭到了北韓義憤填膺的抗議，也因此外界普遍認為Sony這次很可能是因為這部電影得罪了金正恩。（如果您有興趣的話，可以點選左方的url看看其中文預告片。）

　　第二個原因是攻擊的程式碼當中有部份是以韓文撰寫，第三則是南韓電視台在去年亦曾經遭受過類似的攻擊，因此外界大多懷疑北韓是這次攻擊行動的主謀者，但也有部份專家認為北韓為首謀的論點仍有可疑之處，他們的理由是：

北韓在兩天後立即否認了他們是這次事件的主謀者（但也讚揚了駭客行為是替天行道大公大義之舉）。
Sony在事件發生後立即求助聯邦調查局（FBI）展開調查，但FBI至今仍無法找到北韓有參與的直接證據。
很少會有國家層級的駭客行動會使用烈焰、骷髏等代表性圖案、或朗朗上口的組織代號如「和平衛士（Guardians of Peace）」來代表自己，甚至將攻擊內容與代號大剌剌公佈在受害者電腦上，這樣明目張膽行為多為個人或民間駭客組織的特色。
早在這次Sony Pictures遭受攻擊前，Sony所屬的PlayStation遊戲主機網路服務PlayStation Network，就已經連續好幾年持續受到非北韓的駭客組織攻擊並中斷服務，這次行為並不排除與之前的攻擊是同一批駭客所為。
這次的攻擊行動顯示出駭客對於Sony內部網路知之甚詳，事實上可能得益於內部員工的幫助，或者來自於去年Sony大舉裁員時心有不干的離職員工。

12/18補充：
　　不過根據最新消息，美國FBI已於12/18認定這起Sony被駭事件是由國家資助的，朝鮮政府“集中參與了”對Sony影業發起的攻擊行為，且其破壞性遠超過美國本土以往所遭遇的任何駭客攻擊，但有關於朝鮮政府是否獲得了熟悉Sony電腦系統的內部員工協助這一問題，目前仍然無法確認。

　　此外，Sony也取消了預定在聖誕節播放The Interview刺殺金正恩的計劃。

這個事件對於資訊部門的啟示

資安的預算與資源不能省：這是老調重提了，很多公司仍視資訊安全為不必要的花費，因為在沒有發生問題且風平浪靜的環境下經常讓人忘記它的價值，往往要等到發生資安事件後才想要亡羊補牢，但實際的損失往往比起需投入的資安成本更為鉅大，因此持續的更新病毒碼防毒引擎等以及投資軟硬體增加偵測效率都是必要的，要記住「資安人員沒事作」的情況可能就是最佳的投入成果，千萬不可因為沒有發生問題而刪減資安的費用。
僅有防火牆和防毒軟體是不夠的：很多中小企業總認為有了防火牆和防毒軟體之後便可高枕無憂了，但事實上，這兩種設備所能處理的是駭客之手已伸入公司內部的事後阻擋動作，我們還需要依賴IPS設備來偵測網路上是否有不正常的登入或可疑存取動作，在駭客準備要竊取資料之前就進行阻擋並通知系統管理人員。
企業內部的資訊安全：其實根據研究報告指出，資訊安全的最大威脅並非來自駭客或病毒，而是惡意或粗心、無意或有意的企業內部員工，像這次Sony遭駭事件中惡意程式是如何進入Sony Pictures內部的？若員工是無意的，那麼有可能是經由Email附檔、各種形態的網路下載、BYOD設備等在員工不知情的情況下進入企業內部網路。

事後多家的資安業者反解譯這次攻擊程式的Destover惡意程式，發現內含有一個純文字檔，裡面有超過10,000內部主機名稱及IP位址的對應資料，還含有許多可進入共享網路的使用者名稱與密碼，甚至還將憑證程式碼直接寫在樣本裡面，顯示出攻擊者早就已經做好網路偵察及滲透工作。

網路硬碟的防範：目前市面上的網路硬碟服務相當多元，知名的如Dropbox、Box、Google Drive、Microsoft OneDrive等等，它們幾乎都開放API讓程式人員可以開發各式不同的AP透過不同的裝置以不同的形態方式進行更方便的存取動作，良好的資安設備應能針對這些以不同形態提供各式服務的網路存取加以管理及偵測。
注意水滴式資料竊取(drip data exfiltration)：WebSense北亞區技術總監莊添發曾在「企業投資APT解決方案前該思考的6個問題」一文中提到，駭客們最後能成功帶走資料，是因為採取低調方式，使用自訂的格式，一點一滴將資料傳送出去，這種方式稱為水滴式資料竊取(drip data exfiltration)，它幾乎能成功繞過資料安全機制的監控，讓管理者毫無所覺。
多個網站或服務都使用同一組密碼的危險：這次駭客能夠突破不同的主機、平台及網段而取得各種資料，相信一般人的習慣「使用一組帳號密碼來存取所有的服務」建立了不小的功勞，但若要求不同服務有不同的密碼，這又與近來流行的SSO（Single SignOn）強調的方便性背道而馳，因此，企業在導入SSO之前必須作好規劃工作，能夠在已確定登入者身份之後，才能允許使用SSO功能，否則就不要肓目的導入SSO，雖然方便了使用者，但是風險卻是倍增。
企業內部個人資料的加密作業：在這次事件中有高達七千多筆的個人資料被竊取後慘遭刪除，包含了姓名、出生日期、薪資、社會安全號碼、email內容以及各項工作專案的資訊等等，這些個人資料以及工作檔案理論上是分佈在不同的平台及系統當中，為何可以同時且一併被竊取及刪除？這些穩私和重要資料在存入資料庫前是否有經過再次加密？都是資安上必須考量的課題。
如何補救？當企業的重要資料被放到網路上公開下載：如果是你像Sony一樣碰到這樣的問題，該怎麼補救？Sony現在想到的是採取以毒攻毒的方法：

第一種方法是以假亂真

既然駭客把重要的資料放到P2P網路上公開讓大家下載，那麼我們就大量的製造假冒可下載這些資料的假連結資訊到網路上，就可以降低可下載的網址被搜尋到的機會，而大部份的人在嘗試了多次仍找不到正確可下載的網址，那麼便有可能放棄不再搜尋下載。

第二種方法是DDoS(denial-of-service)攻擊

DDoS是一種古老激進但卻很有效可以癱瘓主機服務的方法，因此針對那些那些可正常下載的網址，Sony打算透過租用亞馬遜AWS位於新加坡和東京的伺服器發動攻擊，但這個新聞馬上被亞馬遜方面否認了，否則一開先例還得了，往後亞馬遜AWS將成為駭客攻防的主戰場，永不得寧日，看來Sony得自行找尋電腦資源來發動這種攻擊了。

這個資安事件中駭客是如何進行的？

最後，我們來看看趨勢科技在此次事件後針對駭客的手法所進行的分析；下面的資料引用自趨勢科技網站，文章簡要說明了這次駭客的作法，如果您有注意的話，在針對PC端的部份，文中提到了Sony內部所使用的防毒軟體是McAfee，不曉得駭客在侵入之前是否已經知道了Sony內部使用的防毒軟體類型，所以有能力停止McAfee掃描程式的運作。