終結網路犯罪(1/2)

終結網路犯罪(1/2)

撰文/Keren Elazari|譯者/鍾樹人
轉載自《科學人》2015年6月第160期


重點提要

  • 網路攻擊在未來幾年會更加普遍,這不只是大企業和政府的問題,使用現代科技的每個人都會是目標。
  • 風險不只存在於資料或秘密,如今,網路安全意謂著保護物件、基礎建設和電腦處理程序這些撐起現代生活的技術。
  • 要確保網路空間的安全,光靠政府和科技公司是不夠的,還需要一個(納入駭客的)分散式免疫系統。
  • 每個人都要扮演好自己的角色,任何人連上網路,都必須做好網路上的個人衛生,以維護群體的免疫系統。

網路安全專家喜歡說,遭受網路攻擊的人有兩種:一種是已經遭受攻擊,另一種是已經遭受攻擊卻還不自知。最近的頭條新聞應該能證明,這番嘲諷的話可信度很高。網路罪犯從美國好幾家公司竊取數百萬人的信用卡資訊和個人資料,受害公司包括達吉特、家得寶、摩根大通。網路安全研究人員發現網路構件有基本瑕疵,舉例來說,廣泛使用的OpenSSL加密軟體程式庫出現所謂的「心淌血」(Heartbleed)漏洞;大規模的資料銷毀攻擊,逼得索尼影業公司僅能以紙和筆執行工作;健保巨擘Anthem超過8000萬名客戶的資料遭竊。這些事件只是我們所知的冰山一角。

我們幾乎可以確定,網路攻擊在未來幾年將變本加厲,這會是所有人的麻煩事。如今,透過智慧型手機、筆記型電腦、公司的網路等各種方式,每個人都會連上「網路空間」(cyberspace),因此所有人都暴露在風險之中。對網路罪犯或政府間諜來說,網路、伺服器、個人電腦和網路帳號都是可利用的基本資源;企業的網路或電競個人電腦,容易成為罪犯(或稅金資助的網路間諜)軍火庫裡的工具;遭入侵的電腦可做為下一波攻擊的跳板,或成為僵屍網路(botnet)的一部份。僵屍網路是指由受控制的僵屍裝置所組成的惡意網路,會按時對外發動阻斷服務攻擊,或散發垃圾郵件。

因應這類的威脅,各國政府的反應是把網路空間軍事化,利用集權行政部門和秘密機構來維持數位世界的秩序。但這種方法永遠無效,事實上,我們接下來提到的因素,反而會讓情況惡化。網路安全就像公共衛生,類似美國疾病防制中心(CDC)這類政府機構扮演的重要角色,但光靠他們並無法阻止疾病擴散;若一般民眾也協力配合,他們才能完成任務。

網路空間無遠弗屆

保護網路空間有其困難,挑戰之一在於沒有單一的網路空間。這是眾多系統互連的龐大系統,隨時都在變化並擴增。為了理解這項事實,我們必須回顧半世紀前、美國麻省理工學院(MIT)的數學教授維納(Norbert Wiener)的研究成果。在1948年,維納描述了一門他正在發展的科學新領域,借用古希臘文發明新詞:模控學(cybernetics),定義為「動物與機器之間的控制與溝通」的學問。在希臘文中,kybernētēs是指在地中海指揮和控制船艦的舵手或引水人。按此寓意,我們應該把網路空間視為一堆互連的電子與數位技術,可控制和溝通所有支撐現代生活的系統。網路空間是由各種不同的遠端控制與通訊技術組成,從具無線傳輸功能的植入式胰島素幫浦到全球定位系統(GPS)衛星,無所不包。

網路空間不是公共場所,也不像公海或月球,更不是政府或軍隊可以有效控制的領域。構成網路空間的大多數技術與網路,都是跨國營利企業擁有並維護。

在網路空間裡,技術的數量和多樣性正急速成長。網路科技公司思科系統預測,到了2020年會有500億個裝置連上網路,其中大部份是跟工業、軍事、航太有關的裝置及系統。每個連上網路空間的新事物,都可能是網路攻擊的目標,網路攻擊人士擅長在任一網路中找出最弱的環節。

例如,之前駭客侵入達吉特的銷售點系統,偷走數百萬張支付卡的資訊。駭客能進入這家零售商的網路,是因為先駭入更容易的目標:法齊歐機械服務(達吉特空調與冷藏系統的承包商)。2011年,據說中國間諜侵入了軍火製造商洛克希德馬丁的網路,他們也是先駭進了資訊安全公司RSA,而RSA負責洛克希德馬丁的安全令牌(security token);這一切起因於RSA母公司EMC的員工打開了附加在電子郵件中、看似無害的Excel檔案。

物聯網當中的「物」,不只是網路罪犯能悄悄潛入的窗戶,也可能是蓄意破壞的目標。早在2008年,網路安全研究人員就示範了如何從遠端駭進植在人體內的心律調節器。之後,駭客利用了無線電訊號綁架植入式胰島素幫浦,指使裝置把大量胰島素注入病人的血液,此舉可能讓病人喪命。

實體基礎建設也有遭受網路攻擊的風險,例如在2010年,伊朗納坦茲的秘密設施內,鈾濃縮離心機遭到大規模破壞,罪魁禍首就是聲名狼藉的電腦病毒「震網病毒」(Stuxnet)。據說震網病毒是美國和以色列密切合作的昂貴結晶,具有歷史意義:數位的電腦程式可以擾亂與破壞類比的實體系統。

在這之後的其他網路攻擊,也仿效了這樣的做法。去年11月,德國聯邦資訊安全局指出,駭客擾亂某座煉鋼廠的系統,使鼓風爐無法關閉,造成系統嚴重受損。在這之前三個月,中國駭客攻擊了美國國家海洋暨大氣總署(NOAA)的網站,該網站處理航空、災害應變與其他重要任務的衛星資料。

這意味網路安全不光是確保電腦、網路或網站伺服器的安全,或是保守「秘密」(雖然Google和臉書早就對我們瞭若指掌)。網路空間所面對的真正課題是保護物件、基礎建設和電腦處理程序的安全,而我們日常所依賴的技術會遭受顛覆和破壞,那才是危險所在。為了我們的車輛、自動提款機和醫療設備、電力網、通訊衛星和電話網路的安全,保護網路安全,其實就是保護我們的生活方式。(待續)

(本文由教育部補助「AI報報─AI科普推廣計畫」取得網路轉載授權)

views