脆弱的網路安全

（2016-02-17）網路安全有多脆弱？

（Brain 2016-02-17）2014年11月24日，一個自稱捍衛和平的駭客團體，攻入美國索尼影片公司，揭發了許多商業機密、影片合約、私人信件，索尼最後停止發行有關北韓領導人的喜劇影片「面試」，引發全球大型企業的網路安全關注。
 
除了企業，就在2015年，美國的人事管理局遭駭，暴露了2150萬人的背景資料，以及560萬組指紋。
 
稍後，加拿大社交網站Ashley Madison遭駭，3700萬訪客的真實郵址與個人資料暴露。最教人心驚的是華爾街摩根大通 (J.P. Morgan) 的8300萬客戶資料遭竊，傳說三名駭客想要控制股市。網路駭客的破壞能力，不亞於恐怖攻擊。
 

^{（圖片取自網路）}
 
索尼事件是個分水嶺，以前的規模較小，從此範圍加大，每次的代價都相對提高，已經提升到影響經濟發展的層級。網路是幾十年設計的，安全考量當時並未列入重點，大家開始使用也不頻繁，並未覺得有什麼不妥。
 
即至使用愈為頻繁，儲存的資料越來越多也越寶貴，對網路的依賴過高，才逐漸考慮到安全，一旦遭受攻擊，突然發現網路安全如此脆弱。當然近年的龐大投資，已經使網路安全提升不少，但基本問題並未解決。
 
網路系統是由人設計的，運轉的軟體是由人寫的，而人會犯錯。系統設計與軟體，雖然可以由工具自動轉換擴大，但工具的軟體還是人寫的，當初一個錯誤，經過擴大，就成為很多錯誤。
 
電腦科學家早年就說，最好的軟體是簡單的軟體，因為人僅能處理簡單的問題，現在一件工作都可能用到數以百萬計的指令，不再簡單。電腦軟體的平均錯誤率，是每1000 行編碼，就有一個俗稱「臭蟲」(Bug) 的錯處，少數錯處或許不會影響整體系統，但累積過多就可能產生系統裂縫，成為脆弱的地方。
 
Wired雜誌資深記者Andy Greenberg，在美國聖路易高速公路以時速100公里行駛，通風口突然張開，大量冷空氣吹進來，然後收音機自動響起來，以最大音量播放當地搖滾樂電台，窗外的雨刷也動起來，一邊噴水一邊來回擺動，嚴重擋住視線，儀表盤數字亂跳，全部按鈕失控。這時候手機響了，對方說不必驚慌，不會讓你有生命危險。
 
這不是靈異、也不是電影，是這位記者與兩位網路安全研究員設計的「駭汽車」，這兩位假駭客在十里之外用筆記型電腦遙控，就把這位記者嚇得驚慌失措，因為事先只告訴把車開上高速公路，沒有說怎麼駭。事後告訴記者他們同樣可以控制機電系統，引擎、煞車、方向盤，當然這些都足以致命。研究員把結果與對哪一部份軟體下手告訴了汽車廠，現在已經彌補了缺口。（有興趣的讀者可觀看文後一段 5分鐘的影視）
 
「物聯網」(Internet of Things) ，凡是能連網的東西，都有機會連在一起，單就家裡的電器、門鎖、穿戴電子、汽車，就足以成為攻擊的對象，這些連網的物件，軟體是否夠嚴謹，直接威脅人身的安全，使得原本僅傳送資料的互聯網 (Internet)，倍增複雜。
 
現在有一些偵測系統，監控資料元數據 (Metadata)，獲知資料的來源與流向，或者偵測附近的不明電磁波，都可以提高警覺。史坦福大學物聯網計畫主持人Philip Levis教授說，偵測系統絕對不夠，這些物件的製造先把安全設計在軟體裡面，才能徹底解決問題。現在連網的物件約50億件，但到了2020年，就會增加到210億件。
 
什麼樣的軟體才是從安全基礎考量的軟體？Carnegie Mellon大學軟體工程學院教授Greg Shannon，現受聘白宮科技政策網路安全助理主任，說美國太空總署 (NASA) 的系統設計最安全，這些系統與軟體可能要運轉很長一段時間，且可在幾百萬里之外，安全務必放在第一。
 
NASA對系統的生命週期，從分析、系統設計、軟體設計、軟體撰寫、測試、維護、到更新升級，都嚴格的依照安全標準，同時他們使用正規方法 (Formal Methods) 與控制工具，以及特殊的工程技術，使軟體絕對可靠，沒有「臭蟲」。
 
Shannon教授指出說目前遭受頻繁的攻擊與破壞，已經影響到政府、企業、乃至個人，已經與我們的經濟糾纏，使經濟的健康受潛在的危機。他說我們需要從基礎翻修所有的軟體，才能運轉安全無虞，這可能需要十到二十年的時間。
 
去年夏天，倫敦的TalkTalk通訊公司15萬客戶個資暴露，包括姓名、生日、住址、電話，損失5000萬美元。而所謂駭客，只是一名北愛爾蘭的十幾歲男孩。網路安全還不夠脆弱？
 
^{（駭客控制汽車的實驗、取自 YouTube）}
 
*本文取材自2016年2月15日「 那福忠週一論壇：脆弱的網路安全」。
對本文有任何看法，歡迎 eMail：frank.na@gmail.com 給作者，分享您對本文的看法。