終結網路犯罪(2/2)

終結網路犯罪(2/2)

撰文/Keren Elazari|譯者/鍾樹人
轉載自《科學人》2015年6月第160期

政府的角色

說到保護網路空間的安全,各國政府就面臨深層的衝突。很多政府機構(包括美國的國土安全部)都想保護國內企業和民眾不受網路攻擊的威脅,但全球網路充滿弱點,可能為政府某些單位帶來好處。美國國家安全局(NSA)等機構秘密投資了數百萬美元,尋找與利用技術瑕疵,讓網路攻擊人士可以控制系統。

一個人害怕的網路安全弱點會是另一個人的秘密武器,「心淌血」漏洞就是一例。如果你在過去五年用過網路,你的資料可能經由執行OpenSSL軟體的電腦加密和解密。現在我們越來越常在網站上看到的鎖頭圖案,背後的基礎技術就是SSL。「心跳」(Heartbeat)是OpenSSL受歡迎的擴充元件,因為在軟體開發過程犯了基本錯誤而產生漏洞,因此才有「心淌血」之名。想竊取資料的人可以利用這個漏洞,輕易取得加密鑰匙、帳號和密碼,讓SSL加密所保證的安全失效。OpenSSL的這個弱點存在了兩年,才由兩組網路安全研究人員發現,一組是由Google的網路安全專家梅塔(Neel Mehta)領軍,另一組人員則任職於總部設在芬蘭的科諾康公司。幾天之後,《彭博商業週刊》引述匿名來源指出,NSA已利用這漏洞進行網路窺探多年。

許多大國已經投入傑出科技人才和數百萬美元的經費,想要尋找和利用「心淌血」這樣的弱點。各國政府也會在公開市場購買安全漏洞,讓此類交易方興未艾。越來越多公司專門找出並包裝這些重要的程式錯誤,例如法國Vupen Security以及美國Exodus Interlligence。事實上,有些政府雖然會研發網路防衛能力,但投資在網路攻擊能力的經費更高。美國五角大廈雇用一群人研究網路弱點,而據說NSA投資在網路攻擊的研發經費,是防衛能力的2.5倍。

這不代表政府一定是窮凶極惡,或是網路安全的敵人。像NSA這類機構的存在其來有自,他們的任務是蒐集情報、避免恐怖行動;為了達到目的,他們會使用任何工具。不過要確保網路空間的安全,很重要的一步就是誠實衡量政府機構培養網路弱點的成本與利益;另一個關鍵是充份利用政府的特權,舉例來說,政府能促成或強迫企業與組織分享網路攻擊的資訊。

分享網路攻擊的資訊對銀行特別有幫助,因為金融機構的網路攻擊通常有跡可尋:網路罪犯一旦在某家銀行發現某樣事物有用,就會到其他銀行嘗試。但傳統上,銀行會避免揭露網路攻擊的資訊,因為這樣會讓人懷疑這家銀行的安全,也不會通知同業;在某些情形下,美國反托拉斯法甚至禁止他們這樣做。然而,政府可以促進銀行間的資訊交換,美國已經透過金融服務資訊分享與分析中心做到這點,服務對象包括全球的金融機構。今年2月,美國總統歐巴馬簽署行政命令,要求其他企業不但要把類似資訊提供給政府,也要彼此分享。

駭客幫得上忙

只要是人類撰寫的程式,就存有弱點。在市場壓力越來越緊迫的情況下,科技公司推出新產品的速度更勝以往。這些公司若有智慧,就該好好利用某項龐大的人力資源,那就是全球的駭客社群。去年,受史諾登(Edward Snowden)揭密NSA這類事件的影響,科技產業和駭客社群逐漸願意攜手合作。

數百家公司現在看到了駭客相助的價值,透過「漏洞懸賞」和「弱點回報」計畫,提供誘因吸引個別的研究人員回報弱點和網路安全問題。1995年,網景(Netscape)公司設立第一個漏洞懸賞計畫,藉此找出網景領航員(Navigator)網頁瀏覽器的缺陷。20年後,研究顯示網景與後繼者謀智(Mozilla)公司在強化網路安全的眾多措施中,這個策略深具成本效益。如今,網路安全專家組成各種秘密和公開的社群,分享關於惡意軟體、威脅、弱點的資訊,形成某種分散式免疫系統。

隨著網路空間的擴張,汽車製造商、醫療器材公司、家庭娛樂系統業者和其他產業,必須開始像網路安全公司一樣思考。換句話說,研發過程就要考慮網路安全問題,在設計階段要對產品和服務的網路安全進行投資,而不是事後補強或應付政府的命令。同樣地,駭客社群也幫得上忙。舉例來說,在2013年,網路安全專家科曼(Joshua Corman)和珀可可(Nicholas Percoco)發起一項稱為「我是騎兵」的運動,鼓勵駭客進行網路安全研究以改變世界,並且把重點放在關鍵領域,例如公共基礎建設、車輛、醫療設備與連網家庭技術。另外,由知名的網路安全研究人員斯塔尼斯洛夫(Mark Stanislav)和藍尼爾(Zach Lanier)發起的一項名為BuildItSecure.ly的計畫,要為無安全疑慮的物聯網應用程式來建立一個平台。

好消息是,這個分散式免疫系統越來越強。今年1月,Google發起新的計畫,提供獎金鼓勵網路安全研究人員仔細檢查該公司的產品,讓他們的漏洞懸賞計畫更加完備。這項計畫等於承認,公司即使擁有全球頂尖的科技人才,還是能利用友善駭客的外部觀點。一些政府機關也不落人後,例如,荷蘭國家網路安全中心制訂了一項免責的揭露計畫,讓駭客在舉報弱點時不必擔心法律責任。

壞消息是,歐巴馬政府在網路安全方面所採取的做法,有些在實務上可能會把研究網路弱點的常見行為與工具視為犯罪,進而弱化這個發展中的免疫系統。網路安全社群裡有很多人擔心,現行的「資訊詐騙與濫用法案」及修正版本對駭客的定義太廣泛。若某個網站含有外洩或遭竊的資訊,你即使只是點擊網站上的連結,按照該法案,你可能已經涉及贓物的非法交易。把個別的網路安全研究人員視為罪犯,會傷害我們全體,卻幾乎不會影響到受利益或意識型態驅使的網路罪犯。

個人才是關鍵

接下來幾年會很混亂。我們會看到更多資料外洩,對於該交出多少數位領域的控制權給政府以換取安全,也必定會有更多激辯。事實上,要確保網路空間的安全,各個領域(科技、法律、經濟、政治)都要有解決方案才行。我們一般大眾也有責任。身為消費者,我們應該要求企業提高產品的安全性。做為公民,當政府刻意弱化網路安全時,我們應該要求政府負起責任。在可能發生的資料外洩中,我們或許是其中的環節,因此有責任各自做好網路安全工作。

保護自己很簡單,例如隨時更新軟體、使用安全的網頁瀏覽器、啟用電子郵件和社交媒體帳號的雙重認證。另外,我們也要意識到,每個裝置都是龐大系統裡的一根螺絲,任何選擇都可能會有深遠的影響。容我重申,網路安全就像公共衛生。勤洗手、接種疫苗,就能避免疾病進一步擴散。(完)

(本文由教育部補助「AI報報─AI科普推廣計畫」取得網路轉載授權)

views