林穎佑(聖約翰科技大學兼任助理教授)
2015.12.11
近期美中之間除了南海問題之外,資安問題也成為兩國爭議的焦點。事實上,比起可見的中國周邊海域爭議問題,看不見的網路戰爭卻是無時不刻的出現在虛擬的網路空間之中。從2005年起,便有許多針對不同目標產業的攻擊行動,Google的極光行動(Aurora Operation)、能源公司的夜龍行動(Night Dragon)、針對美國國防相關產業、智庫進行的驟雨行動(Titan Rain)、而更有包含全部產業的暗鼠行動(Operation Shady RAT)這些黑帽駭客或是接收特定政府命令的網軍,利用APT攻擊(Advanced Persistent Theat, APT),對美國許多重要單位進行網路入侵,除了國防相關機構與產業之外,其他煉油公司、與國防科技有關的企業智庫等重要關鍵基礎設施,都遭到網路攻擊。
APT攻擊首見於美國空軍在2006年所提出的報告,而從英文字面上,我們可以注意到APT攻擊的三大要點:針對性、潛伏性、高威脅性是其主要特點。也因為此,除了具有特殊資訊背景的人有可能在短時間內發現異狀之外,一般人員根本不會注意到大量數位資料已經外洩。此外,網路攻擊其造成的威脅,也隨著資訊技術的進步以及人們對於科技的依賴日益嚴重,特別是現今的網路攻擊已經不是單純的竊取機密資料,或是單純的利用網路癱瘓系統服務商,隨著關鍵基礎設施資訊化的進程,無論是國家網軍或是駭客團體,都可以透過網路造成關鍵基礎設施的混亂甚至破壞,這些若再搭配謠言的攻擊,相當容易造成民眾的恐慌,甚至是對政府的信任度下降。而未來的物聯網以及無人載具的使用,都會讓網路戰的影響力更加擴大。這也是為何各國紛紛加強對資安投資的主要原因。
一、當前網路攻防的主要型態
現今網路攻擊的形式可以主要分為以下幾種類型:
1. 竊取資訊
透過竊取資訊並不是新鮮事,但值得注意的是,在網路空間中的竊取行動,是相當隱密的,除了學有專精的IT人士之外,一般人要發現自身的電腦已遭入侵是相當困難的。而過去需要用到膠捲或是冒險潛入機密場所的風險都已不復出現,透過滑鼠與鍵盤以及可上網的設備便可以成功完成目標。但現在無論是政府或是民間企業,都會有基本的網路防護系統,這也衍伸出了APT攻擊。APT攻擊最早出現在美國的報告中,其中又有包含社交工程(social engineering)的手法,將APT攻擊發揮到最大。APT攻擊主要利用收信人的交友關係,以及其有可能感興趣的檔案,誘使被害人打開檔案;並配合檔案中的漏洞進行入侵。這邊有可能只是單純的假檔案傳換,或是含有高技術成分的零時攻擊,一般惡意程式多半偽裝成Word、PDF、Excel、RTF,來卸下被害人的心防,讓被害人誤以為是重要文件或是對其主題感興趣主動下載,在檔案開啟的同時,被害人的電腦也受到了入侵,並且透過電子郵件記錄或是電腦中的資料,繼續規劃下一步的攻擊。而所謂零時漏洞是指被駭客發現,但官方還未提供修補程式的安全漏洞,而在資訊大廠根本無法得知的情形之下,自然無法推出修正程式,造成選用該產品的廠商根本無法採取任何防禦措施。
如2011年,美國航太公司Lockheed Martin所研製的F-35戰機數據資料遭網軍竊取。其攻擊的流程,便是先以洛馬所採用的動態密碼供應商RSA為目標,將惡意程式偽裝成Excel檔並以人員應徵的名義寄送至RSA員工信箱,取得帳號密碼竊取動態密碼的演算法相關資料,攻破最後目標(洛馬)的資安防線,竊取資料。類似的攻擊手法也出現在許多國安相關產業中,如能源產業、航太公司、甚至國防安全的相關學術機構也都是網路間諜覬覦的目標。
2. 分散式阻斷服務攻擊
近期國家網軍也從單純的竊取情資,升級成主動對政府或是媒體、企業進行大規模網路攻擊,期望藉此癱瘓該單位的網路系統。一般多利用所謂的分散式阻斷服務攻擊 (Distributed Denial of Service attack, DDoS 以下簡稱DDoS )攻擊癱瘓目標的網路伺服器,使其失去作用。類似的攻擊手法經常出現在於針對某國家政府單位的攻擊,以及一些立場相異的媒體。如2014年,對中國態度一向較不友善的媒體,就遭到了有系統的攻擊,並且利用DNS反射與散布在各地的殭屍網路,同時發起大量的訊號,嘗試癱瘓網路。值得注意的是,許多民眾的電腦都因為缺乏資安意識(如使用弱密碼或是並無更新電腦系統),導致這些電腦都成為有心人士發動網路攻擊的幫兇。類似的情形會在未來物聯網世界中更為普遍,因為能上網的電器越多,也代表各種裝置都有可能成為有心人士利用的攻擊跳板,這可能也會讓資安問題更加嚴重。
DDoS在概念上其實並非新的手法,其主要是用在癱瘓目標的通訊能力。因此在過去為了癱瘓某機關的電話線路,經常會出現利用大量的電話同時撥打同一電話號碼的方式,來讓該機關的通話線路失去效用,此種在短時間內湧入大量通信的方式,可以算是DDoS攻擊的始祖。而現在DDoS是利用早已被入侵受到駭客控制的大量電腦(這種受到他人控制的電腦一般稱為肉雞),形成所謂的殭屍網絡,在短時間內對網站進行大量的瀏覽,迫使伺服器無法負荷而呈現癱瘓的狀況。若在此時再配合輿論戰的方式,以網路散布謠言(如LINE、臉書、簡訊),甚至直接設立假官方網站,都有可能達到誤導民眾,動搖民心的目的。這些攻擊也有可能在中國政府開放臉書後,配合其過去的在網路平台上參與留言灌水的「五毛黨」、「網路水軍」在特定人物(如總統參選人)的臉書或是相關訊息留言版,發表大量留言,甚至可能利用網軍散佈不實訊息,讓民眾對特定候選人產生反感,或是利用這些垃圾訊息將正確資訊淹沒。這些都是網路輿論戰的應用。
3. 網路戰
隨著關鍵基礎設施防護觀念的興起,人們對於許多重要設施的依賴程度日益上升,而這些系統也多半利用資訊化管理,因此若是有心人士透過資訊滲透的方式,進入關鍵基礎設施資訊系統中,適當的時機發出錯誤的訊息,臥室藉機破壞資訊系統,使其失去效能,其所衍生出來的國安問題不亞於戰爭。如美國與以色列聯手開發的震網病毒(Stuxnet),便是針對伊朗核電廠的電腦系統所特別量身打造的惡意程式。
值得注意的是,震網病毒的程式中便利用了微軟與西門子公司的7個漏洞(其中MS10-046、MS10-061、MS10-073、MS10-092為零時漏洞),由於零時漏洞的珍貴,一般駭客不會浪費過多的零時漏洞在一支蠕蟲上,且此利用數種程式語言以及偽造的數位簽章來避開資安檢測,除非有國家和政府的支援和協助,否則很難發動如此規模的攻擊。先入侵工程師的家用電腦,再透過可攜帶式電腦裝置,進入機密的電腦系統,藉由干擾控制器的方式,讓核子離心機的轉速過超出現故障,成功的拖延伊朗在核子武器上的研發速度。2013年南韓政府遭到北韓發動的網路攻擊,北韓成功癱瘓南韓金融系統,也是網路戰的最佳例子。
經由上述的討論可以得知,如何找尋零時漏洞會是未來各國爭取置網權的關鍵,而找尋漏洞又必須仰賴高技術的資訊安全研究人才,因此如何發掘這些人才,以及如何讓民間的資安高手願意為國家安全盡心盡力,甚至進一步合作,而非使其成為有心人士或是犯罪集團利用的工具,便是政府應當思考的方向。
二、中國的網路政策
中國過去無論是宣傳系統所掌握的「防火長城」;或是中國公安部門監管的「金盾系統」;以及由工信部主導的「綠壩」都是管控網路資訊的手法,當然許多中國網民可以透過「翻牆」的方式來窺看世界,但基本上仍然在中國政府的掌握中。這些遭到屏蔽的網站,大多都是具有能群聚民眾以及標榜可自由搜尋資訊的網站,而其無法配合中國的網管規則自然無法進入中國。
1. 內部管理
防火長城(GFW:Great Firewall of China)其主要效用如同海關系統一樣,顧名思義當年長城就是為了抵抗外族的入侵而設立的,而今天網路長城也是為了抵擋國外龐大的網民,特別是駐國外的華僑以及熟悉中國語言的海外人士,都可以善用其語言優勢在網路上散佈不利共產黨的言論或相關新聞。而防火長城就是用來防堵這些資訊流入中國。而早期建立防火牆時,中國公安部也開始耗費大量資金著手建立所謂的「金盾工程」(Gold Shield Project)一個龐大的網路監視與封鎖系統,以維繫專制統治與控制。其主要功能仍是以封鎖中國對外網路訊息,控制人民可以觀看的網頁流量;其次則是針對重點目標來監控收集其在網路上所散發的資訊。再來才是監控其他國家流入中國的網路資訊。而這些監控單位不只是解放軍內部保衛部門,也與公安部有業務情報上的合作。
2. 市場誘因
但在2015年起,又有新的變化。首先是搜尋引擎大廠Google,在2010年時宣布無法接受中國控制網路言論的作法,因此退出中國。但在這五年間,中國網民數量遽增,成為全球最大網路應用市場。Google無法進入中國,也同時喪失了網路市場。且中國同時利用其龐大網民市場推出中國版的類似網站(如土豆網、優酷、微博、百度、雲端360)都讓Google錯失龐大商機。導致Google在2015年歐習會時,宣布已經與中國廠商合作,重返中國市場並推出中國版的「Google Play」軟體商店,以搶佔中國十億網民的市場。再配合中國政府有計畫的限制Apple公司所推出的IOS系統,令Google的Android系統有著更大的優勢,都讓Google對重返中國市場更加期待。
此外,中國也積極欲透過警政系統來與國外合作合作,來打擊構成網路犯罪的黑色產業鏈,這符合雙方的利益。特別是中國猖獗的盜版、網路詐騙、信用卡竊取都造成美國經濟的嚴重損失,若打擊數位智慧犯罪的同時,配合開放美國資訊廠商進入中國市場所獲得的經濟利益,更能讓資訊大廠在商業利潤的考量下,不得不配合中國的網路管理政策(如實名制、政府有權觀看境內人民的電子信件)。
三、對我國的影響與因應之道
既然看不見的網路戰場,會是各國極欲爭取的戰略制高點。但我國民眾資安意識的不足,都造成我國成為許多網軍或是黑帽駭客團體測試新攻擊手法與惡意程式的練兵場,或是成為發動攻擊的跳板,這都造成我國相當的損害。但危機亦是轉機,我國過去在資訊產業上所累積的發展是國際有目共睹,也擁有相當完善的網路環境,資訊化程度相當高。甚至在擁有眾多病毒樣本的環境之下,也在無形之間強化了我國對於惡意程式的分析能力。因此在網路戰發展的背景基礎上,我國並無落後他國太多。甚至在駭客人才的素質上,我國民間組成的駭客戰隊,屢次在國際駭客競賽中創下佳績,許多資安公司也受到國際企業的青睞願以高價併購或前來取經。
而從國防自主的角度來看,我國無論在航太或是造艦工業上,部分軍備關鍵技術與零組件,即便是技術轉移或外購仍然需要外國的協助,這也限制了我國在傳統國防工業上的產研能量。但若能以國防工業的角度思考資安產業,可發現無論在硬體、軟體甚至在資安人才的素質上我國皆具有相當的優勢,並配合我國獨特的資安環境,收集大量的惡意程式樣本,都讓我國資安相關產業能在國際闖出一片天地。
現今的資安問題,已脫離純技術的領域。如網軍攻擊其造成的影響與破壞早已超過黑帽駭客的威脅,這也表示資安問題的層級需提昇至國家戰略的高度。過去資訊安全的學術研究大多集中在密碼學與理論上,導致於實務脫節。而資安公司的研究又多偏重在實務的操作上,卻忽略了整體面上的思考。因此,未來在網路戰領域的研究,應需結合國家戰略的觀點,輔以情報學的思維,國防產業的角度以「科際整合」的整合角度來看待資安議題,以期達成保家衛國之目標。
相關研究與報告摘選
- 網路大戰中,我們怕的不是神一般的對手,壯闊台灣(網誌),2015.6.22
- Commercial Cyber Espionage and Barriers to Digital Trade in China, The 2015 Annual Report to Congress, Chapter 1, Section 4, USCC, 2015.11.17
- Joseph Marks, Our best frenemy, The Agenda: the Cyber issue, Politico, 2015.12.9
- 顏維婷,中國如何「河蟹」你的言論?,菜市場政治學,2015.11.4
- 歐陽斌,金加里:解讀中國網絡審查制度,紐時中文網,2013.10.16
歐習會以來美中在網安議題的交鋒
- 中美開展首次網絡武器控制談判,紐時中文網 9.20
- 560萬美國僱員指紋遭中國竊取,紐時中文網 9.24
- 網絡偵查發現駭客來自中國軍方,WSJ中文網 9.24
- 習奧會成果未達預期,分歧難消,紐時中文網 9.26
- 華府開名單 北京逮駭客,世界日報 10.11
- 中美網絡安全協議後,美企業再遭中國駭客攻擊,紐時中文網 10.20
- 美官員:若繼續網絡攻擊中國駭客或被控,BBC中文網 11.11
- FireEye: 東南亞企業和政府更有可能成為網路攻擊目標,科技新報 11.19
- 美參議員促對中國駭客採取制裁,VOA中文網 11.20
- 美網安專家研讀十三五規劃 試尋易遭駭客攻擊美企,南早中文網 11.26
- 中美網路安全對話:同意建立熱線機制,BBC中文網 12.2
- 中美將設網安熱線 確認美政府職員資料失竊非國家攻擊,南早中文網 12.2
- First U.S.-China High-Level Joint Dialogue on Cybercrime and Related Issues: Summary of Outcomes, The U.S. Justice Department, 12.2
- 首次中美打擊網絡犯罪及相關事項高級别聯合對話成果聲明,中國公安部,12.3
- 習訪美前 中國拘捕美政府職員資料失竊案駭客,南早中文網 12.3
- 應對網絡安全威脅 中美明年展“桌面演習” ,南早中文網 12.4
- 中國承認收緊網管,FT中文網 12.10
- 習近平將出席世界互聯網大會並發表演講,新京報 12.10
沒有留言:
張貼留言