駭客會利用社交軟體散播許多客製化的釣魚攻擊。圖/pixabay

【我們為什麼挑選這篇文章】現代關係時常需要靠社群軟體來維持,然而卻也面臨手法進化的資安威脅,就連 Web3 也隱藏資安危機。

下文專訪中山大學資訊管理系陳嘉玫教授,除了告訴我們網路資安面臨何種威脅,也提醒我們,在越方便的時代,就要更提升相關的防護意識。(責任編輯:莊彙翌)

作者:曾繁安|科技大觀園特約編輯

方便與安全,兩者不可兼得也

註冊或登入會員、設定和輸入密碼、提供各種個資如網頁瀏覽記錄,來換取和生活大小事離不了關係的線上服務,已經是數位原住民的日常。而在高度依賴網路、講求高效率的今日,我們都希望電腦軟體和手機 APP 的使用能越方便越好,但一味追求便捷,卻可能讓自己露出資安破綻,叫不法分子有機可乘。

陳嘉玫教授。圖/中山大學管理學系

「越安全的東西,越不方便使用。」陳嘉玫教授指出,安全與方便自古兩難全,如何找到兩者之間的平衡就是關鍵。

資工系出身、喜歡寫程式的陳教授,曾在美國花旗銀行全球資訊網路研究總部擔任要職。該企業内部一切開發需求重視安全遠勝於方便的嚴謹文化,成為她日後投身資安領域的契機。

 TO 推薦閱讀:【鐵飯碗比不過 5 倍年薪】金控狂缺資安人才!祭年薪 500 萬高薪從「警界」挖角

客製化誘餌與駭客聯盟,讓威脅更升級

科技的進步,也見證駭客攻擊手法的進化錄。研究網路安全多年的陳教授指出,每個時期的使用者都有不同的使用習慣,從早期的電子郵件,到現在的臉書和 Line 群組,都是心懷不軌者潛伏之處。

他們長期觀察和收集目標攻擊對象相關資訊、和刺探目標網路,利用人性的弱點,客製化各種引人上鈎的「誘餌」,來獲得他們想要的機密資訊。這就是網路犯罪最常見的社交工程(Social engineering)攻擊和釣魚式攻擊

駭客會利用社交軟體散播許多客製化的釣魚攻擊。圖/pixabay

過去駭客都單打獨鬥,但現在也出現分工明確、系統化的「駭客聯盟」。目前的攻擊趨勢,也演變成更危險的進階持續性威脅攻擊(Advanced Persistent Threats,簡稱 APT)。

APT 是針對一個特定組織,長期滲透、客製化且多階段的網路攻擊。為了全方面瞭解目標攻擊對象、擬定有效戰略,駭客除了進行技術面的研究,會對目標組織做身家調查,包括員工名單、財務狀況、社交活動、社群網路留言。APT 棘手之處在於,如果一個戰術行不通,駭客會持之以恆,不斷嘗試直到找出破口。

 TO 推薦閱讀:Web3 新創資安「才剛起步」!區塊鏈中隱含了哪些資安危機?

「韓國黑暗日」(Dark Korea),就是著名的 APT 攻擊事件之一。這場韓國史上最大駭客攻擊,推論是由北韓主導,至少歷經八個月的精心策劃。駭客偷渡惡意程式到多家電視媒體與金融服務的電腦與伺服器,進行破壞性攻擊,造成各項服務停擺多日,韓國將這次攻擊視為國家級的戰爭行為。

如今「資訊即權力」當道,國家勢力著手培養駭客已不是新聞,不少國家也紛紛成立不需要一槍一彈的「第四軍種」——資通電軍(俗稱網軍)。比起傳統軍武,發起資訊戰,無需花費一槍一彈,卻對社會經濟產業造成極大的衝擊

許多國家成立資通電軍來發起或是抵禦資訊戰。圖/pixabay

零時差漏洞,得之可得天下?

提到駭客攻擊,就不得不談談號稱可一秒癱瘓世界的零時差漏洞(zero-day vulnerability)。零時差漏洞是可謂資安界最害怕的威脅,是指當漏洞被發現,而軟體開發商尚未發布修補程式(patch)之前,在這段時間,任何使用該軟體的主機,都有此安全漏洞,都有可能遭受駭客攻擊。

不過,要取得零時差漏洞也非易事。陳教授以武俠小説作比喻,零時差漏洞就像壓箱底的最後法寶,除非遇到最難纏的對手,否則駭客也不會輕易使出這一殺手鐧。這些高利用價值的漏洞,在黑市可是千金難換。

一個小小的零時差漏可能掌握著一國民生基礎架構的命脈,是要挾國安的重要籌碼,可得也可毀滅天下。

為了避免讓自身弱點落入他人手中,很多公司重金懸賞發現該公司產品的安全漏洞的駭客。而就像江湖上同時存在邪道與正派,除了進行不法勾當、謀取利益的黑帽(Black Hat)駭客,也有著用意良善的白帽(White Hat)駭客。這個典故源自美國西部電影中,正派戴著白帽,而反派往往著黑帽的形象。

白帽駭客維護精益求精的駭客文化,以「提升安全性」為目的,挖掘程式漏洞,提供開發商漏洞資訊,以改善該系統的安全性,稱得上是駭客武林中的俠義心腸的一群。

駭客也可以區分為以不法途徑牟取利益的黑帽駭客,與幫助開發商提升安全性的白帽駭客。

守護資安,不只是 IT 部門的事

雖然武俠故事的鎂光燈往往都聚焦在少數幾個武林高手身上,但江湖其實更大部分是由你我這樣平凡老百姓組成。陳教授坦言,很多人誤以為資安都是 IT(Information Technology)或 MI(Manager Information System)部門的責任,但守護資安,應是所有使用者的責任

「資安其實就是攻與防。知己知彼,才能百戰百勝。」

陳教授一再強調,要打造良好的資安環境,從小教育年輕一代正確使用手機、電腦等電子設備的資安知識,才是最有效的方式。根據調查,管理層級的主管越重視資安,透過資安教育訓練和宣導提高員工資安意識,才能在組織中形塑健全的資安文化。

除了管理好個人資訊和帳號密碼外,在上網時多存一份疑問,才能在第一時間發現不對勁、主動通報,越資訊化的時代,我們也越沒有隱私,駭客攻擊防不勝防。因此在江湖上行走時,常常更新資安資訊,隨時保持警惕,是避免遭受攻擊的不二法門。

 TO 推薦閱讀:農業機械遭駭會甩態停擺?食品商雙手奉上鉅額贖金,糧食危機再添一擊!

資料來源

(本文經合作夥伴 科技大觀園 以 CC 3.0 規範授權轉載,並同意 TechOrange 編寫導讀與修訂標題,作者為科技大觀園特約編輯 曾繁安,原文標題為〈大資安時代,走跳江湖有些事你不能不知道〉。)