終結「網路犯罪」第一步:不要想靠別人來保護你

終結「網路犯罪」第一步:不要想靠別人來保護你
Photo Credit: Shutterstock/達志影像
我們想讓你知道的是

要確保網路空間的安全,光靠政府和科技公司是不夠的,還需要一個(納入駭客的)分散式免疫系統。每個人都要扮演好自己的角色,任何人連上網路,都必須做好網路上的個人衛生,以維護群體的免疫系統。

撰文:艾拉扎利(Keren Elazari)
翻譯:鍾樹人

重點提要
  • 網路攻擊在未來幾年會更加普遍,這不只是大企業和政府的問題,使用現代科技的每個人都會是目標。
  • 風險不只存在於資料或秘密,如今,網路安全意謂著保護物件、基礎建設和電腦處理程序這些撐起現代生活的技術。
  • 要確保網路空間的安全,光靠政府和科技公司是不夠的,還需要一個(納入駭客的)分散式免疫系統。
  • 每個人都要扮演好自己的角色,任何人連上網路,都必須做好網路上的個人衛生,以維護群體的免疫系統。

網路安全專家喜歡說,遭受網路攻擊的人有兩種:一種是已經遭受攻擊,另一種是已經遭受攻擊卻還不自知。最近的頭條新聞應該能證明,這番嘲諷的話可信度很高。網路罪犯從美國好幾家公司竊取數百萬人的信用卡資訊和個人資料,受害公司包括達吉特、家得寶、摩根大通。

網路安全研究人員發現網路構件有基本瑕疵,舉例來說,廣泛使用的OpenSSL加密軟體程式庫出現所謂的「心淌血」(Heartbleed)漏洞;大規模的資料銷毀攻擊,逼得索尼影業公司僅能以紙和筆執行工作;健保巨擘Anthem超過8000萬名客戶的資料遭竊,這些事件只是我們所知的冰山一角。

我們幾乎可以確定,網路攻擊在未來幾年將變本加厲,這會是所有人的麻煩事。如今,透過智慧型手機、筆記型電腦、公司的網路等各種方式,每個人都會連上「網路空間」(cyberspace),因此所有人都暴露在風險之中。

對網路罪犯或政府間諜來說,網路、伺服器、個人電腦和網路帳號都是可利用的基本資源;企業的網路或電競個人電腦,容易成為罪犯(或稅金資助的網路間諜)軍火庫裡的工具;遭入侵的電腦可做為下一波攻擊的跳板,或成為僵屍網路(botnet)的一部份。僵屍網路是指由受控制的僵屍裝置所組成的惡意網路,會按時對外發動阻斷服務攻擊,或散發垃圾郵件。

因應這類的威脅,各國政府的反應是把網路空間軍事化,利用集權行政部門和秘密機構來維持數位世界的秩序。但這種方法永遠無效,事實上,我們接下來提到的因素,反而會讓情況惡化。網路安全就像公共衛生,類似美國疾病防制中心(CDC)這類政府機構扮演的重要角色,但光靠他們並無法阻止疾病擴散;若一般民眾也協力配合,他們才能完成任務。

sm160-66
Photo Credit:科學人雜誌
網路空間無遠弗屆

保護網路空間有其困難,挑戰之一在於沒有單一的網路空間。這是眾多系統互連的龐大系統,隨時都在變化並擴增。為了理解這項事實,我們必須回顧半世紀前、美國麻省理工學院(MIT)的數學教授維納(Norbert Wiener)的研究成果。

在1948年,維納描述了一門他正在發展的科學新領域,借用古希臘文發明新詞:模控學(cybernetics),定義為「動物與機器之間的控制與溝通」的學問。在希臘文中,kybernētēs是指在地中海指揮和控制船艦的舵手或引水人。按此寓意,我們應該把網路空間視為一堆互連的電子與數位技術,可控制和溝通所有支撐現代生活的系統。網路空間是由各種不同的遠端控制與通訊技術組成,從具無線傳輸功能的植入式胰島素幫浦到全球定位系統(GPS)衛星,無所不包。

網路空間不是公共場所,也不像公海或月球,更不是政府或軍隊可以有效控制的領域。構成網路空間的大多數技術與網路,都是跨國營利企業擁有並維護。

在網路空間裡,技術的數量和多樣性正急速成長。網路科技公司思科系統預測,到了2020年會有500億個裝置連上網路,其中大部份是跟工業、軍事、航太有關的裝置及系統。每個連上網路空間的新事物,都可能是網路攻擊的目標,網路攻擊人士擅長在任一網路中找出最弱的環節。

政府的角色

說到保護網路空間的安全,各國政府就面臨深層的衝突。很多政府機構(包括美國的國土安全部)都想保護國內企業和民眾不受網路攻擊的威脅,但全球網路充滿弱點,可能為政府某些單位帶來好處。美國國家安全局(NSA)等機構秘密投資了數百萬美元,尋找與利用技術瑕疵,讓網路攻擊人士可以控制系統。

一個人害怕的網路安全弱點會是另一個人的秘密武器,「心淌血」漏洞就是一例。如果你在過去5年用過網路,你的資料可能經由執行OpenSSL軟體的電腦加密和解密。現在我們越來越常在網站上看到的鎖頭圖案,背後的基礎技術就是SSL。「心跳」(Heartbeat)是OpenSSL受歡迎的擴充元件,因為在軟體開發過程犯了基本錯誤而產生漏洞,因此才有「心淌血」之名。想竊取資料的人可以利用這個漏洞,輕易取得加密鑰匙、帳號和密碼,讓SSL加密所保證的安全失效。

OpenSSL的這個弱點存在了兩年,才由兩組網路安全研究人員發現,一組是由Google的網路安全專家梅塔(Neel Mehta)領軍,另一組人員則任職於總部設在芬蘭的科諾康公司。幾天之後,《彭博商業週刊》引述匿名來源指出,NSA已利用這漏洞進行網路窺探多年。

許多大國已經投入傑出科技人才和數百萬美元的經費,想要尋找和利用「心淌血」這樣的弱點。各國政府也會在公開市場購買安全漏洞,讓此類交易方興未艾。越來越多公司專門找出並包裝這些重要的程式錯誤,例如法國Vupen Security以及美國Exodus Interlligence。事實上,有些政府雖然會研發網路防衛能力,但投資在網路攻擊能力的經費更高。美國五角大廈雇用一群人研究網路弱點,而據說NSA投資在網路攻擊的研發經費,是防衛能力的2.5倍。

駭客幫得上忙

只要是人類撰寫的程式,就存有弱點。在市場壓力越來越緊迫的情況下,科技公司推出新產品的速度更勝以往。這些公司若有智慧,就該好好利用某項龐大的人力資源,那就是全球的駭客社群。去年,受史諾登(Edward Snowden)揭密NSA這類事件的影響,科技產業和駭客社群逐漸願意攜手合作。

數百家公司現在看到了駭客相助的價值,透過「漏洞懸賞」和「弱點回報」計畫,提供誘因吸引個別的研究人員回報弱點和網路安全問題。1995年,網景(Netscape)公司設立第一個漏洞懸賞計畫,藉此找出網景領航員(Navigator)網頁瀏覽器的缺陷。20年後,研究顯示網景與後繼者謀智(Mozilla)公司在強化網路安全的眾多措施中,這個策略深具成本效益。如今,網路安全專家組成各種秘密和公開的社群,分享關於惡意軟體、威脅、弱點的資訊,形成某種分散式免疫系統。

個人才是關鍵

接下來幾年會很混亂。我們會看到更多資料外洩,對於該交出多少數位領域的控制權給政府以換取安全,也必定會有更多激辯。事實上,要確保網路空間的安全,各個領域(科技、法律、經濟、政治)都要有解決方案才行。我們一般大眾也有責任。身為消費者,我們應該要求企業提高產品的安全性。做為公民,當政府刻意弱化網路安全時,我們應該要求政府負起責任。在可能發生的資料外洩中,我們或許是其中的環節,因此有責任各自做好網路安全工作。

保護自己很簡單,例如隨時更新軟體、使用安全的網頁瀏覽器、啟用電子郵件和社交媒體帳號的雙重認證。另外,我們也要意識到,每個裝置都是龐大系統裡的一根螺絲,任何選擇都可能會有深遠的影響。容我重申,網路安全就像公共衛生。勤洗手、接種疫苗,就能避免疾病進一步擴散。

本文獲《科學人雜誌》、《科學人粉絲團》授權刊登,原文刊載於此

相關文章︰

責任編輯:朱家儀
核稿編輯:翁世航