台積電為何遲遲不修補機臺Windows漏洞?不是不願意,其實是無能為力
文/王宏仁 | 2018-08-10發表
台積電爆發了臺灣史上最大的資安事件,一支WannyCry變種病毒癱瘓了全臺各地廠區多條
生產線,預估營收損失高達52億元。台積電在事件發生後,一連多次公告來說明事件原因
和影響,甚至台積電總裁魏哲家接同多位主管,親自對外召開說明會。
台積電啟動緊急應變作業,不到三天全臺所有產線就完全恢復生產,獲得不少好評,但從
這次中毒事件,也暴露了台積電內部資安防護上的幾項風險。
之所以發生這起資安大事件,第一個出問題是供應商。為何來自供應商的新機臺,竟然一
出廠就內藏了病毒?台積電在記者會上沒有回答這個問題,只說明他們還在追查中,也沒
有說明問題機臺來自哪一家廠商,甚至是哪一種用途的機臺都不願透露。
台積電產線大規模中毒關鍵6因素
擔任第一道資安防線的供應商把關不巖,導致病毒夾帶在新機臺中,潛入了連一支USB都
不能帶進場的台積電晶圓廠,供應商得負起一定的責任,這是供應商管理的議題,這是造
成中毒的第一個關鍵因素。
但對企業來說,也不能全然將自家安全放在別人的手上。因此,無論如何,新機臺進廠,
企業也需自有一套檢查措施,來確保進場的設備沒有問題。台積電也是如此,甚至,魏哲
家自己都承認,機臺內有病毒不是正常現象,「每個行業都應該自己先對機臺設備做防毒
處理,這是基本機制。」他在記者會上坦言。
台積電的確有一套嚴密的新機臺檢查作業程序,擔任第二道防護關卡,而且是已經用於台
積電各地廠房,安裝了數萬次新機臺。但在一萬次中,就出現了一次SOP操作疏忽,安裝
人員在掃毒之前,就將新機臺先連上網路,這是中毒釀災的第二個關鍵因素。
機臺離線掃毒並不困難,就算新機臺中沒有安裝防毒軟體,防毒軟體公司也有USB形式的
掃毒棒,只要安裝到機臺上,就可以自動掃毒,不用在機臺上安裝程式。
對許多病毒而言,先掃毒再開機,或是先開機再掃毒的防護或偵測效果是一樣的,端看防
毒軟體能否偵測出病毒,但是對於WannyCry勒索軟體這支病毒,這兩者卻有天壤之別。
因為WannyCry勒索軟體是一支具有主動感染功能的電腦蠕蟲,甚至會像系統預載程式一樣
,只要已感染的電腦一開機,短短幾分鐘內,就會開始掃描同一網路上的其他電腦,一發
現有SMB漏洞的電腦,就以EternalBlue攻擊程式主動入侵感染那一臺電腦。台積電維修人
員這一個違反SOP的小動作「先連網再掃毒」,就讓這支蠕蟲病毒,有了可趁之機,開始
發動攻擊,入侵其他電腦。這是第三個中毒關鍵因素,遇上一支自動感染的自動感染能力
的WannyCry蠕蟲。
第四個釀災關鍵因素是,台積電為了效率,將北、中、南各地廠房都串連到一個大型網路
中,稱為生產內網。雖然有別於企業OA內網,生產內網不只和外部網路隔離,也和OA內網
隔離,但是在生產內網內,對於WannyCry蠕蟲所利用的445埠通訊,缺乏有效阻擋的機制
,因此WannyCry蠕蟲如入無人之境,可以一臺臺感染、擴散到各地。
第五個中毒關鍵因素是,台積電許多機臺設備採用的作業系統是Windows,尤其這次受害
的機臺主機是Windows 7。儘管這個Windows不一定是標準版本,而往往可能是廠商自行修
改客製後的版本或是嵌入式版本等,但對於SMB這類基本的445埠服務,也大多有支援。因
此而成為WannyCry蠕蟲可以攻擊的對象。
最後一個中毒關鍵是,這些採用Windows 7系統的機臺主機,沒有更新到SMB漏洞的修補程
式,而讓WannyCry可以成功入侵來感染。
這六個中毒關鍵因素,只要有一個失效,就可以成功阻止感染,也就不會發生如此大規模
的災情。
其中,眾人最不解的是,WannyCry勒索軟體早在去年5月就引起全球大感染,微軟也早就
釋出了Windows作業系統的SMBv1/SMBv2(Server Message Block)漏洞修補程式。換句話
說,就算是WannyCry變種,若都是鎖定同樣的445埠來發動攻擊和感染,只要更新作業系
統,就能避免感染。儘管台積店產線滿載,想要挪出空檔時間停機來升級OS,的確是一件
挑戰。但病毒現身至今,足足超過了1年,外界對台積電遲遲還未更新Windows 7的SMB漏
洞而十分不解。
一般企業OS環境中的電腦,只要排定更新時間,不影響日常作業下,就能更新,若是像是
執行關鍵系統的底層OS要更新程式,則得費一番功夫,先做更新模擬,例如銀行圈會先在
安裝同樣軟體和系統的測試機上升級,執行一段時間來觀察,更新程式是否穩定,才會著
手升級線上系統,也就是說,這不是無法執行的難題。
機臺OS更新3大難題
不過,臺灣趨勢科技技術顧問簡勝財表示,對高科技製造業而言,想要更新機臺OS,不是
一件容易的事。常見有三大難題,第一是,許多老舊機臺設備往往使用多年,供應商早已
不再提供支援,IT人員想要升級,會擔心發生問題無人可協助而不敢進行。第二是,企業
採購機臺設備時,往往是軟硬體整套購買,包括內部軟體、周邊硬體和OS。為了避免影響
設備的效能或功能,供應商甚至不會開放OS權限或禁止企業IT人員安裝任何軟體或工具,
除非供應商自行釋出更新,否則,科技業IT部門很難對這類機臺的OS自行升級。第三種則
是許多機臺採用的不是標準OS,而是客製後的嵌入式Windows版本,但微軟釋出的更新往
往以標準版為主,這類機臺也需要供應商才能處理,IT人員也不敢擔保升級後會不會造成
機臺問題。
甚至一位在南科擔任過半導體廠長的業界主管坦言,許多機臺廠商在OS上還安裝了各自獨
特的硬體驅動程式,微軟更新程式的相容性測試,根本無法涵蓋到這類產業專用的特殊硬
體驅動程式。貿然升級微軟的驅動程式,是否會造成系統衝突而當機,IT往往沒人敢擔下
這個責任。
所以,魏哲家在記者會上才會坦言,台積電機臺更新進度的確比較慢,一來得挪出可以關
閉機臺的時機,二來還得找到機臺原廠,才能想辦法進行更新,這是台積電Windows 7更
新無法完全到位的原因。不過,他還是承諾會想辦法找出時機來解決此問題。但在這之前
,台積電生產網路環境中的Windows 7機臺,仍舊處於不設防的高風險狀態。這也更加凸
顯了,企業得搭配其他防護機制或多重資安措施的重要性,例如防火牆隔離、網路攻擊流
量偵測、或是更嚴格的應用程式白名單管制、也能搭配虛擬補丁的措施等,在OS更新空窗
期間加強防護。
高科技業者機臺設備的更新任務,比起一般企業IT主機或者是OA環境的OS更加困難,不是
高科技業者自己不願意更新,而是無法只靠他們自己的IT團隊就能解決。
https://ithome.com.tw/news/125105
看八卦版一堆沒待過工廠操作過機台的人講那種怎麼不更新的幹話也只能呵呵
講的一副機台更新就跟你家電腦Windows Update一樣簡單
機台那邊等你更新就算了,更新後出問題然後每班目標產量出不來就準備飛高高了