終結網路犯罪(2/2)

撰文／Keren Elazari｜譯者／鍾樹人
轉載自《科學人》2015年6月第160期

政府的角色

說到保護網路空間的安全，各國政府就面臨深層的衝突。很多政府機構（包括美國的國土安全部）都想保護國內企業和民眾不受網路攻擊的威脅，但全球網路充滿弱點，可能為政府某些單位帶來好處。美國國家安全局（NSA）等機構秘密投資了數百萬美元，尋找與利用技術瑕疵，讓網路攻擊人士可以控制系統。

一個人害怕的網路安全弱點會是另一個人的秘密武器，「心淌血」漏洞就是一例。如果你在過去五年用過網路，你的資料可能經由執行OpenSSL軟體的電腦加密和解密。現在我們越來越常在網站上看到的鎖頭圖案，背後的基礎技術就是SSL。「心跳」（Heartbeat）是OpenSSL受歡迎的擴充元件，因為在軟體開發過程犯了基本錯誤而產生漏洞，因此才有「心淌血」之名。想竊取資料的人可以利用這個漏洞，輕易取得加密鑰匙、帳號和密碼，讓SSL加密所保證的安全失效。OpenSSL的這個弱點存在了兩年，才由兩組網路安全研究人員發現，一組是由Google的網路安全專家梅塔（Neel Mehta）領軍，另一組人員則任職於總部設在芬蘭的科諾康公司。幾天之後，《彭博商業週刊》引述匿名來源指出，NSA已利用這漏洞進行網路窺探多年。

許多大國已經投入傑出科技人才和數百萬美元的經費，想要尋找和利用「心淌血」這樣的弱點。各國政府也會在公開市場購買安全漏洞，讓此類交易方興未艾。越來越多公司專門找出並包裝這些重要的程式錯誤，例如法國Vupen Security以及美國Exodus Interlligence。事實上，有些政府雖然會研發網路防衛能力，但投資在網路攻擊能力的經費更高。美國五角大廈雇用一群人研究網路弱點，而據說NSA投資在網路攻擊的研發經費，是防衛能力的2.5倍。

這不代表政府一定是窮凶極惡，或是網路安全的敵人。像NSA這類機構的存在其來有自，他們的任務是蒐集情報、避免恐怖行動；為了達到目的，他們會使用任何工具。不過要確保網路空間的安全，很重要的一步就是誠實衡量政府機構培養網路弱點的成本與利益；另一個關鍵是充份利用政府的特權，舉例來說，政府能促成或強迫企業與組織分享網路攻擊的資訊。

分享網路攻擊的資訊對銀行特別有幫助，因為金融機構的網路攻擊通常有跡可尋：網路罪犯一旦在某家銀行發現某樣事物有用，就會到其他銀行嘗試。但傳統上，銀行會避免揭露網路攻擊的資訊，因為這樣會讓人懷疑這家銀行的安全，也不會通知同業；在某些情形下，美國反托拉斯法甚至禁止他們這樣做。然而，政府可以促進銀行間的資訊交換，美國已經透過金融服務資訊分享與分析中心做到這點，服務對象包括全球的金融機構。今年2月，美國總統歐巴馬簽署行政命令，要求其他企業不但要把類似資訊提供給政府，也要彼此分享。

駭客幫得上忙

只要是人類撰寫的程式，就存有弱點。在市場壓力越來越緊迫的情況下，科技公司推出新產品的速度更勝以往。這些公司若有智慧，就該好好利用某項龐大的人力資源，那就是全球的駭客社群。去年，受史諾登（Edward Snowden）揭密NSA這類事件的影響，科技產業和駭客社群逐漸願意攜手合作。

數百家公司現在看到了駭客相助的價值，透過「漏洞懸賞」和「弱點回報」計畫，提供誘因吸引個別的研究人員回報弱點和網路安全問題。1995年，網景（Netscape）公司設立第一個漏洞懸賞計畫，藉此找出網景領航員（Navigator）網頁瀏覽器的缺陷。20年後，研究顯示網景與後繼者謀智（Mozilla）公司在強化網路安全的眾多措施中，這個策略深具成本效益。如今，網路安全專家組成各種秘密和公開的社群，分享關於惡意軟體、威脅、弱點的資訊，形成某種分散式免疫系統。

隨著網路空間的擴張，汽車製造商、醫療器材公司、家庭娛樂系統業者和其他產業，必須開始像網路安全公司一樣思考。換句話說，研發過程就要考慮網路安全問題，在設計階段要對產品和服務的網路安全進行投資，而不是事後補強或應付政府的命令。同樣地，駭客社群也幫得上忙。舉例來說，在2013年，網路安全專家科曼（Joshua Corman）和珀可可（Nicholas Percoco）發起一項稱為「我是騎兵」的運動，鼓勵駭客進行網路安全研究以改變世界，並且把重點放在關鍵領域，例如公共基礎建設、車輛、醫療設備與連網家庭技術。另外，由知名的網路安全研究人員斯塔尼斯洛夫（Mark Stanislav）和藍尼爾（Zach Lanier）發起的一項名為BuildItSecure.ly的計畫，要為無安全疑慮的物聯網應用程式來建立一個平台。

好消息是，這個分散式免疫系統越來越強。今年1月，Google發起新的計畫，提供獎金鼓勵網路安全研究人員仔細檢查該公司的產品，讓他們的漏洞懸賞計畫更加完備。這項計畫等於承認，公司即使擁有全球頂尖的科技人才，還是能利用友善駭客的外部觀點。一些政府機關也不落人後，例如，荷蘭國家網路安全中心制訂了一項免責的揭露計畫，讓駭客在舉報弱點時不必擔心法律責任。

壞消息是，歐巴馬政府在網路安全方面所採取的做法，有些在實務上可能會把研究網路弱點的常見行為與工具視為犯罪，進而弱化這個發展中的免疫系統。網路安全社群裡有很多人擔心，現行的「資訊詐騙與濫用法案」及修正版本對駭客的定義太廣泛。若某個網站含有外洩或遭竊的資訊，你即使只是點擊網站上的連結，按照該法案，你可能已經涉及贓物的非法交易。把個別的網路安全研究人員視為罪犯，會傷害我們全體，卻幾乎不會影響到受利益或意識型態驅使的網路罪犯。

個人才是關鍵

接下來幾年會很混亂。我們會看到更多資料外洩，對於該交出多少數位領域的控制權給政府以換取安全，也必定會有更多激辯。事實上，要確保網路空間的安全，各個領域（科技、法律、經濟、政治）都要有解決方案才行。我們一般大眾也有責任。身為消費者，我們應該要求企業提高產品的安全性。做為公民，當政府刻意弱化網路安全時，我們應該要求政府負起責任。在可能發生的資料外洩中，我們或許是其中的環節，因此有責任各自做好網路安全工作。

保護自己很簡單，例如隨時更新軟體、使用安全的網頁瀏覽器、啟用電子郵件和社交媒體帳號的雙重認證。另外，我們也要意識到，每個裝置都是龐大系統裡的一根螺絲，任何選擇都可能會有深遠的影響。容我重申，網路安全就像公共衛生。勤洗手、接種疫苗，就能避免疾病進一步擴散。(完)

(本文由教育部補助「AI報報─AI科普推廣計畫」取得網路轉載授權)