專文導讀
只是按個連結會害死人嗎?
吳其勳/CYBERSEC台灣資安大會主席、iThome總編輯
當你瀏覽網站、收發電子郵件,抑或使用通訊媒體時,按下網頁的連結,就有可能會害死人。聽起來是不是非常危言聳聽?但是,國際知名資安權威布魯斯.施奈爾的著作《Click here to kill everybody: Security and Survival in a Hyper-connected World》,中譯《物聯網生存指南》,就是以上述情境為議題的最新力作。
施奈爾不僅是知名密碼學專家,同時也是著作等身的著名作家,其中《應用密碼學》(Applied Cryptography)更是許多資安專家的啟蒙教科書。雖然施奈爾自嘲首次以聳動書名奪眼球,但老實說,二○一八年本書英文版上市時,我恰巧在美國機場駐足,趁轉機空檔瀏覽書店一整排的新書,率先攫取我眼球的正是這個聳動的書名。這或許是因為我長期關注資訊安全相關議題,多次報導網路攻擊事件的關係,因此倒不覺得這個書名有過度聳動之嫌,反而認同其貼切描述目前的資訊安全現況。
從中文的語意來看,「按個連結會害死人」其實非常契合全球資安現況與網路攻擊趨勢。「害死人」有兩個解釋:把人害慘;或真的把人害死。當前我們所處的資安局勢,毫無疑問的,只要一不小心按了惡意的連結,就可能會把人害慘;而隨著萬物電腦化、萬物網路化的加劇發展,未來面臨如同施奈爾在本書提出的警訊:按錯連結害死人的機率將變得非常高。
(圖片來源:https://pixabay.com/)
圖說:只是按個連結會害死人嗎?物聯網生存指南:關於5G世界的安全守則。
二○一六年美國總統大選期間,與俄國情報單位有高度關聯的「魔幻熊」(Fancy Bear,亦稱APT 28)駭客組織,鎖定民主黨希拉蕊陣營,企圖竊取選戰相關資訊。二○一六年三月十日,他們將好幾封偽裝成Google要求用戶重新設定安全密碼的釣魚郵件逐一寄給希拉蕊競選陣營的重要人士。然而沒有人開啟這些郵件。
雖然首波攻擊行動石沉大海,但是魔幻熊駭客鍥而不捨,改將釣魚郵件寄至希拉蕊陣營工作同仁的個人信箱,接續發動新一波攻擊。三月十九日,時任希拉蕊總統競選團隊主席的約翰.波德斯塔,收到了相同的Google通知用戶重設密碼的釣魚信,他把信件轉寄給競選團隊的資訊部門判讀,但資訊部門誤判為Google正常通知信,於是波德斯塔就放心按下釣魚信中的重設密碼連結,接著連結到一個幾可亂真的Google帳戶重設密碼網頁,但事實上卻是魔幻熊駭客偽造的假網站,待波德斯塔輸入帳號與密碼後,駭客就據此登入他的Gmail信箱,竊取其五萬多封電子郵件,並外洩公開。
在二○一六年美國總統大選期間,另一個與俄國情報單位有高度關聯的「舒適熊」(Cozy Bear,亦稱APT 29)駭客組織,也用相同的釣魚郵件攻擊手法,駭入民主黨全國委員會,對外洩露不利於希拉蕊的郵件,導致希拉蕊的支持度明顯下滑;不過是按了個連結,就害慘了民主黨的選情。
二○一七年十月、轟動台灣的遠東國際商業銀行被駭盜轉案,也是因為有人按了釣魚郵件而被植入木馬程式,讓北韓駭客組織得以駭入銀行的SWIFT系統,神不知鬼不覺地匯出六千零一十萬美元(約新台幣十八億元)。所幸,警調單位最後追回大部分款項,但按一個連結就害銀行損失十六萬美元(約新台幣五百萬元),被處以台幣八百萬元罰鍰,代價不低。
發生在近期的Facebook粉專被盜案,則是因為粉專主人收到偽造的Facebook設定修改通知,一時誤信按下連結,就被導引到駭客偽造的Facebook設定頁面,待輸入用戶密碼後,粉專就被駭客登入挾持了。受害者包括導演吳念真、網路名人486先生等人。按錯連結,真的會害慘人。
施奈爾在本書一開始提出三個令人省思的真實案例:資安專家從遠處駭入汽車,任意控制空調、雨刷、音響,甚至關掉引擎;烏克蘭變電所則多次被俄國駭客入侵,電力供應中斷,淪為俄國網路戰試煉場;以及某個駭客寫了一個入侵印表機的程式,結果成功入侵全球十五萬台不安全的印表機,重複列印駭客設定好的嘲諷訊息。
雖然上述三起事件並未造成人員傷害,但其攻擊手法已對人類生命深具威脅。攻擊烏克蘭變電所的網路武器,其實只是在測試可行性,尚未開啟具有實質破壞力的功能,而一旦開啟則足以造成變電所設備失效,倘若攻擊發生在寒冬,將會攸關人民的生死。更讓施奈爾擔心的是,攻擊網路印表機的方法,亦可針對3D印表機,若駭客未來的攻擊目標是3D生物印表機,強制列印大量能入侵人體的殺手病毒,那就真的會害死人了。
3D生物印表機的攻擊情境或許令你無法想像,然而我們不能輕忽二○一七年底在沙烏地阿拉伯一家石化工廠被發現的殺手級惡意程式「Triton」,它入侵在工廠預防嚴重安全事件發生的最後一道防線:「安全儀表系統」(Safety Instrument System),一旦駭客控制這道安全防線,那麼就可任由工廠的鍋爐溫度升高、壓力閥負載加大、馬達風扇轉速加快,而不會被安全儀表系統強制停止。這樣會害死人的攻擊情境,已經有人在暗地密謀策畫,不再只是想像出來的電影情節。
上述這些駭客入侵之所以發生,肇因於我們生活周遭的物品逐漸電腦化與網路化。現代的汽車已變成是裝了輪子的電腦,而工廠、發電廠、水庫,甚至是核電廠,都透過電腦與網路來控制。而隨著物聯網的興起,如電燈泡、冰箱、咖啡機,甚至心律調整器,愈來愈多物品都會有晶片、軟體,並連結網路,跟電腦沒有兩樣。因此,原本各自獨立的網路、物品與人類,會隨著物聯網緊密結合在一起,形成更為複雜的超連結系統,而電腦安全性將會左右一切的安全性。
(圖片來源:https://pixabay.com/)
圖說:目前各行各業的運作都與資安息息相關。
目前各行各業的運作都與資安息息相關。然而由於資訊安全是從電腦、軟體、網路等資訊技術衍生的問題,多數資安書籍文章不免充斥技術詞彙,使得一般人難以親近及理解。然而,施奈爾以其資安專業與博學基礎,在龐雜的資安技術與事件中,旁徵博引,透過簡潔的文字說明,梳理出有條理的趨勢脈胳,讓不具備技術專業的讀者亦能閱讀無礙。
回顧歷史,不論是交通安全、食品安全、飛航安全、醫療安全或工業安全,無一不是政府意識到攸關人命與人民權益,積極採取治理與規範而逐步獲得改善,汽車安全帶與飛航安全就是最好的例子。現在上市的汽車沒有一輛不配備安全帶,而且在政府宣導與制定罰則之下,行車繫安全帶已成為多數人的習慣;而民航客機在近十年可能是最安全的交通工具之一,二○○八年至二○一七年,台灣國際民航渦輪噴射客機的事故死亡人數都保持在零紀錄。資訊安全相較於交通安全,可能是更為複雜的問題,不過政府的態度與政策方向,一定會對資訊安全的發展帶來關鍵的影響。
資訊安全與國家安全息息相關,已是不爭的事實。現今民意代表在國會議堂討論資安也逐漸成為常態,所以我推薦政策制定者與民意代表都應該研讀本書,了解資訊安全的本質與其複雜的影響,進而為國家制定合宜的政策與規範。
在企業界則有愈來愈多的人倡議,資安不能只是資訊或資安部門的日常工作,而應該向上提升至高階主管決策會議討論,甚至納入董事會的企業戰略議題。然而,執行長、董事會成員也時常反映資安技術性議題不易理解。對此,我也推薦此書給企業高階主管、董事會成員,甚至企業各部門的主管,因為資訊安全與全公司的事務息息相關,即便現在不是,未來一定會是。
在這個資安人人有責的時代,有這本淺顯易懂、深入淺出的專著問世,值得推薦給每個關注資安議題的讀者。
本文摘自貓頭鷹出版《物聯網生存指南: 5G世界的安全守則》
【更多圖鑑?科普書?人文歷史書?請上「貓頭鷹說書窩」https://medium.com/owls-nest;《貓頭鷹書房》官方粉絲團。未經授權, 請勿轉載!】