台积电为何迟迟不修补机台Windows漏洞?不是不愿意,其实是无能为力
文/王宏仁 | 2018-08-10发表
台积电爆发了台湾史上最大的资安事件,一支WannyCry变种病毒瘫痪了全台各地厂区多条
生产线,预估营收损失高达52亿元。台积电在事件发生后,一连多次公告来说明事件原因
和影响,甚至台积电总裁魏哲家接同多位主管,亲自对外召开说明会。
台积电启动紧急应变作业,不到三天全台所有产线就完全恢复生产,获得不少好评,但从
这次中毒事件,也暴露了台积电内部资安防护上的几项风险。
之所以发生这起资安大事件,第一个出问题是供应商。为何来自供应商的新机台,竟然一
出厂就内藏了病毒?台积电在记者会上没有回答这个问题,只说明他们还在追查中,也没
有说明问题机台来自哪一家厂商,甚至是哪一种用途的机台都不愿透露。
台积电产线大规模中毒关键6因素
担任第一道资安防线的供应商把关不岩,导致病毒夹带在新机台中,潜入了连一支USB都
不能带进场的台积电晶圆厂,供应商得负起一定的责任,这是供应商管理的议题,这是造
成中毒的第一个关键因素。
但对企业来说,也不能全然将自家安全放在别人的手上。因此,无论如何,新机台进厂,
企业也需自有一套检查措施,来确保进场的设备没有问题。台积电也是如此,甚至,魏哲
家自己都承认,机台内有病毒不是正常现象,“每个行业都应该自己先对机台设备做防毒
处理,这是基本机制。”他在记者会上坦言。
台积电的确有一套严密的新机台检查作业程序,担任第二道防护关卡,而且是已经用于台
积电各地厂房,安装了数万次新机台。但在一万次中,就出现了一次SOP操作疏忽,安装
人员在扫毒之前,就将新机台先连上网络,这是中毒酿灾的第二个关键因素。
机台离线扫毒并不困难,就算新机台中没有安装防毒软件,防毒软件公司也有USB形式的
扫毒棒,只要安装到机台上,就可以自动扫毒,不用在机台上安装程式。
对许多病毒而言,先扫毒再开机,或是先开机再扫毒的防护或侦测效果是一样的,端看防
毒软件能否侦测出病毒,但是对于WannyCry勒索软件这支病毒,这两者却有天壤之别。
因为WannyCry勒索软件是一支具有主动感染功能的电脑蠕虫,甚至会像系统预载程式一样
,只要已感染的电脑一开机,短短几分钟内,就会开始扫描同一网络上的其他电脑,一发
现有SMB漏洞的电脑,就以EternalBlue攻击程式主动入侵感染那一台电脑。台积电维修人
员这一个违反SOP的小动作“先连网再扫毒”,就让这支蠕虫病毒,有了可趁之机,开始
发动攻击,入侵其他电脑。这是第三个中毒关键因素,遇上一支自动感染的自动感染能力
的WannyCry蠕虫。
第四个酿灾关键因素是,台积电为了效率,将北、中、南各地厂房都串连到一个大型网络
中,称为生产内网。虽然有别于企业OA内网,生产内网不只和外部网络隔离,也和OA内网
隔离,但是在生产内网内,对于WannyCry蠕虫所利用的445埠通讯,缺乏有效阻挡的机制
,因此WannyCry蠕虫如入无人之境,可以一台台感染、扩散到各地。
第五个中毒关键因素是,台积电许多机台设备采用的作业系统是Windows,尤其这次受害
的机台主机是Windows 7。尽管这个Windows不一定是标准版本,而往往可能是厂商自行修
改客制后的版本或是嵌入式版本等,但对于SMB这类基本的445埠服务,也大多有支援。因
此而成为WannyCry蠕虫可以攻击的对象。
最后一个中毒关键是,这些采用Windows 7系统的机台主机,没有更新到SMB漏洞的修补程
式,而让WannyCry可以成功入侵来感染。
这六个中毒关键因素,只要有一个失效,就可以成功阻止感染,也就不会发生如此大规模
的灾情。
其中,众人最不解的是,WannyCry勒索软件早在去年5月就引起全球大感染,微软也早就
释出了Windows作业系统的SMBv1/SMBv2(Server Message Block)漏洞修补程式。换句话
说,就算是WannyCry变种,若都是锁定同样的445埠来发动攻击和感染,只要更新作业系
统,就能避免感染。尽管台积店产线满载,想要挪出空档时间停机来升级OS,的确是一件
挑战。但病毒现身至今,足足超过了1年,外界对台积电迟迟还未更新Windows 7的SMB漏
洞而十分不解。
一般企业OS环境中的电脑,只要排定更新时间,不影响日常作业下,就能更新,若是像是
执行关键系统的底层OS要更新程式,则得费一番功夫,先做更新模拟,例如银行圈会先在
安装同样软件和系统的测试机上升级,执行一段时间来观察,更新程式是否稳定,才会著
手升级线上系统,也就是说,这不是无法执行的难题。
机台OS更新3大难题
不过,台湾趋势科技技术顾问简胜财表示,对高科技制造业而言,想要更新机台OS,不是
一件容易的事。常见有三大难题,第一是,许多老旧机台设备往往使用多年,供应商早已
不再提供支援,IT人员想要升级,会担心发生问题无人可协助而不敢进行。第二是,企业
采购机台设备时,往往是软硬件整套购买,包括内部软件、周边硬件和OS。为了避免影响
设备的效能或功能,供应商甚至不会开放OS权限或禁止企业IT人员安装任何软件或工具,
除非供应商自行释出更新,否则,科技业IT部门很难对这类机台的OS自行升级。第三种则
是许多机台采用的不是标准OS,而是客制后的嵌入式Windows版本,但微软释出的更新往
往以标准版为主,这类机台也需要供应商才能处理,IT人员也不敢担保升级后会不会造成
机台问题。
甚至一位在南科担任过半导体厂长的业界主管坦言,许多机台厂商在OS上还安装了各自独
特的硬件驱动程式,微软更新程式的相容性测试,根本无法涵盖到这类产业专用的特殊硬
体驱动程式。贸然升级微软的驱动程式,是否会造成系统冲突而当机,IT往往没人敢担下
这个责任。
所以,魏哲家在记者会上才会坦言,台积电机台更新进度的确比较慢,一来得挪出可以关
闭机台的时机,二来还得找到机台原厂,才能想办法进行更新,这是台积电Windows 7更
新无法完全到位的原因。不过,他还是承诺会想办法找出时机来解决此问题。但在这之前
,台积电生产网络环境中的Windows 7机台,仍旧处于不设防的高风险状态。这也更加凸
显了,企业得搭配其他防护机制或多重资安措施的重要性,例如防火墙隔离、网络攻击流
量侦测、或是更严格的应用程式白名单管制、也能搭配虚拟补丁的措施等,在OS更新空窗
期间加强防护。
高科技业者机台设备的更新任务,比起一般企业IT主机或者是OA环境的OS更加困难,不是
高科技业者自己不愿意更新,而是无法只靠他们自己的IT团队就能解决。
https://ithome.com.tw/news/125105
看八卦版一堆没待过工厂操作过机台的人讲那种怎么不更新的干话也只能呵呵
讲的一副机台更新就跟你家电脑Windows Update一样简单
机台那边等你更新就算了,更新后出问题然后每班目标产量出不来就准备飞高高了