2014 年 11 月 24 日,一個自稱捍衛和平的駭客團體,攻入美國索尼影片公司,揭發了許多商業機密、影片合約、私人信件,索尼最後停止發行有關北韓領導人的喜劇影片「面試」,引發全球大型企業的網路安全關注。除了企業,就在 2015 年,美國的人事管理局遭駭,暴露了 2150 萬人的背景資料,以及 560 萬組指紋。稍後,加拿大社交網站 Ashley Madison 遭駭,3700 萬訪客的真實郵址與個人資料暴露。最教人心驚的是華爾街摩根大通 (J.P. Morgan) 的 8300 萬客戶資料遭竊,傳說三名駭客想要控制股市。網路駭客的破壞能力,不亞於恐怖攻擊。
(圖片取自網路)
索尼事件是個分水嶺,以前的規模較小,從此範圍加大,每次的代價都相對提高,已經提升到影響經濟發展的層級。網路是幾十年設計的,安全考量當時並未列入重點,大家開始使用也不頻繁,並未覺得有什麼不妥。即至使用愈為頻繁,儲存的資料越來越多也越寶貴,對網路的依賴過高,才逐漸考慮到安全,一旦遭受攻擊,突然發現網路安全如此脆弱。當然近年的龐大投資,已經使網路安全提升不少,但基本問題並未解決。
網路系統是由人設計的,運轉的軟體是由人寫的,而人會犯錯。系統設計與軟體,雖然可以由工具自動轉換擴大,但工具的軟體還是人寫的,當初一個錯誤,經過擴大,就成為很多錯誤。電腦科學家早年就說,最好的軟體是簡單的軟體,因為人僅能處理簡單的問題,現在一件工作都可能用到數以百萬計的指令,不再簡單。電腦軟體的平均錯誤率,是每 1000 行編碼,就有一個俗稱「臭蟲」(Bug) 的錯處,少數錯處或許不會影響整體系統,但累積過多就可能產生系統裂縫,成為脆弱的地方。
Wired 雜誌資深記者 Andy Greenberg,在美國聖路易高速公路以時速 100 公里行駛,通風口突然張開,大量冷空氣吹進來,然後收音機自動響起來,以最大音量播放當地搖滾樂電台,窗外的雨刷也動起來,一邊噴水一邊來回擺動,嚴重擋住視線,儀表盤數字亂跳,全部按鈕失控。這時候手機響了,對方說不必驚慌,不會讓你有生命危險。
這不是靈異、也不是電影,是這位記者與兩位網路安全研究員設計的「駭汽車」,這兩位假駭客在十里之外用筆記型電腦遙控,就把這位記者嚇得驚慌失措,因為事先只告訴把車開上高速公路,沒有說怎麼駭。事後告訴記者他們同樣可以控制機電系統,引擎、煞車、方向盤,當然這些都足以致命。研究員把結果與對哪一部份軟體下手告訴了汽車廠,現在已經彌補了缺口。(有興趣的讀者可觀看文後一段 5 分鐘的影視)
「物聯網」(Internet of Things) ,凡是能連網的東西,都有機會連在一起,單就家裡的電器、門鎖、穿戴電子、汽車,就足以成為攻擊的對象,這些連網的物件,軟體是否夠嚴謹,直接威脅人身的安全,使得原本僅傳送資料的互聯網 (Internet),倍增複雜。
現在有一些偵測系統,監控資料元數據 (Metadata),獲知資料的來源與流向,或者偵測附近的不明電磁波,都可以提高警覺。史坦福大學物聯網計畫主持人 Philip Levis 教授說,偵測系統絕對不夠,這些物件的製造先把安全設計在軟體裡面,才能徹底解決問題。現在連網的物件約 50 億件,但到了 2020 年,就會增加到 210 億件。
什麼樣的軟體才是從安全基礎考量的軟體?Carnegie Mellon 大學軟體工程學院教授 Greg Shannon,現受聘白宮科技政策網路安全助理主任,說美國太空總署 (NASA) 的系統設計最安全,這些系統與軟體可能要運轉很長一段時間,且可在幾百萬里之外,安全務必放在第一。
NASA 對系統的生命週期,從分析、系統設計、軟體設計、軟體撰寫、測試、維護、到更新升級,都嚴格的依照安全標準,同時他們使用正規方法 (Formal Methods) 與控制工具,以及特殊的工程技術,使軟體絕對可靠,沒有「臭蟲」。
Shannon 教授指出
說目前遭受頻繁的攻擊與破壞,已經影響到政府、企業、乃至個人,已經與我們的經濟糾纏,使經濟的健康受潛在的危機。他說我們需要從基礎翻修所有的軟體,才能運轉安全無虞,這可能需要十到二十年的時間。
去年夏天,倫敦的 TalkTalk 通訊公司 15 萬客戶個資暴露,包括姓名、生日、住址、電話,損失 5000 萬美元。而所謂駭客,只是一名北愛爾蘭的十幾歲男孩。網路安全還不夠脆弱?
(駭客控制汽車的實驗、取自 YouTube)
|