投書:Line雅虎公司個資外洩案──臥虎藏龍的網路世界生態系
從2023年5月發布的CIO年度目標來看,臺灣各大型企業在資安預算上的經費編列高達1,408萬元,相比去年的1,193萬元支出,成長了18%。數位發展部在2023年的施政方針上也重點強調,網路安全是臺灣目前最需要加強重視發展的地方。進入非線性數學應用的時代,無人機、資訊戰早已是無可避免的,能不費一兵一卒又取得其他國家機構單位的資料,且只要隱藏的夠好,就能不被發覺,是件何樂而不為之事。
綜觀現今網路世界與時不時出現的社交平台個資外洩、駭客組織潛伏於公司竊取技術機密到企圖散布假消息,以干擾它國內部總統大選結果的認知戰,網路世界似乎危機四伏;駭客組織也被神話成無所不能的潛行者。但事實真的如此嗎? 我更願意將這個網路世界比擬為一個有系統的生態系,裡面包含生產者、分解者與消費者。
生產者-製造網路危機的始作俑者?
2023年11月27日,由於LINE雅虎公司與其大股東-韓國網路公司Naver的員工共享內部系統,而Naver的子公司網路在近期遭感染惡意軟體,連帶著Naver系統遭非法存取,而LINE雅虎的伺服器連帶被攻擊,並且波及台灣的用戶。這一連串的完美連動都離不開共享內部系統的建立,回顧1961年時,電腦先驅費南多.柯比.柯巴托先生為了要讓電腦程式作業系統不必再經手作業員,而是直接在個人終端機前使用就能存取主機和執行程式,創立了公用分時系統,開啟了系統的分割空間,便於存放不同的程式碼與資料。這種方式反倒讓後門得以被開啟,也使電腦與主機機台得以在無法摸到的情形下進行攻擊。
由此可見,創作者的初衷是利於使用,實現社群價值,並提供一個空間,讓人們得以進行各種創新嘗試。而這種出於善意的初心,為何會被有心人利用,與其用法律規範跟不上或政府機關打擊不給力,不如說只要有商機有市場,就有人會鑽漏洞,不僅僅是駭客、駭客組織會入侵,科學家、資工背景的學生們等…,都有可能成為造成網路癱瘓、釋放電腦蠕蟲與病毒、進行網路釣魚和木馬植入的事件主角。且動機也不盡然相同,有些人為了欲、有些人為了利;自然也有些人為了研究、為了駭客精神的初心-實驗與冒險。
分解者-見招拆招的江湖俠客?
2023年11月26日,在荷蘭資料保護局(AP)針對Transavia航空公司遭駭客攻擊的調查過程中,發現裡面出現Chimera駭客組織的入侵手法特徵與使用工具。這才發現恩智浦的IP通訊連結遭駭,早從2017年底開始到2020年初的兩年多時間裡都一直處於訪問狀態,其中就竊取了含晶片設計在內的智慧財產權。除了政府組織會披露駭客組織外,在駭客的種類區分之下,就有其中一種,它們像極了分解者,能夠拆解網路病毒和改進病毒中的缺陷,並且利用其中的技術,將病毒轉化成為體積極小位元組的病毒,並利用網路的交流平台與其他同好共同交流,增進網路漏洞的修補。
而這群人名為白帽駭客,也被稱作道德駭客,組織透過僱用他們去試探和入侵其他的電腦系統以確認系統的安全性,並提出改善方法以提高系統的安全程度。他們的行動往往是經過客戶的授權或同意,具有合法性,也能助於整個資安社群,透過他們所收集的資料而獲益。像EC-Council公司就提供了涵蓋道德駭客各個領域的認證、課程和在線培訓。當然,除了白帽駭客,藍帽駭客也會在特定條件下受雇於民間或外部的計算機安全諮詢公司,負責系統(像是Windows)啟動之前的錯誤測試,尋找漏洞並將其關閉。
消費者-是主動接收訊息的旁觀者,亦是深受其害的當局者
小到使用手機或收到信件所按下的一個按鈕,大到國家機關資料被駭導致的個資外洩,我們看似是選擇使用哪些網路科技產品的消費者,並且選擇進入特定網站的所有權人。實際上,手機早已被植入晶片,可以對我們進行衛星定位,不論前往何處,它都無處不在。因此,我們享受科技帶來的便利,同時也被科技消費,但操縱著科技的又恰好是人類,形成一個閉鎖式循環。缺乏網路安全意識,可以說是造成一部分資訊安全漏洞的關鍵點,當我們還是選擇不假思索地點開陌生信件或選擇極為簡單的符號進行個人身分認證時,不需要後門進入,就已暗藏危機。
但有一種特殊情況就是傳遞假訊息,進行選情干擾,屬於有備而來的網路釣魚,攻擊者往往利用詐騙信引誘收信人交出個人資訊,在專業術語上稱作「擊殺鏈」。而使用者在不知不覺中,每日所得到的推薦新聞資訊或是特定數據調查報告,都是被選擇過的訊息,與混淆視聽不同的是,它是難以預防且規模成熟的新型網路武器。當戰具(武器)的效益或在戰爭中的影響力遠超過個人體能或技術之極致時,它往往也會改變戰爭型態的與層次,網路的不對稱作戰就在這種情況下出現。
圖片來源:鵠崙設計官網
網路為何無法達到真正的安全?
網路世界的生態系,就如同自然的生態系,會面臨失衡。而若想加強資訊安全的保護,如果回到剛發明電腦時期,如何保存硬體就是一個大問題,更遑論軟體的防護。而科技之所以不斷地往前,正是因為網路與電腦在設計之初就不是為了要預防他人,反而是讓人更容易使用,達到資源共享,才讓它能不斷地被更新與挖掘更多潛能。像是量子電腦的出現,就改變了以0跟1組成的固有限制,加速了電腦程式運算的速度,應用於安全的加密系統之中。與其希望永遠沒有網路安全的疑慮,不如了解這些行為背後的真正目的與利益糾葛,從人性出發去破解這些行為背後隱含的意義。
網路世界的未來展望
現在到處充斥的駭客組織,不管是出於自身利益的考量也好,理念相符的合作也好,他們的發展到了21世紀,已有足夠的份量去影響網路的生態系。不論是對於總統大選的控制,還是企業生存的發展,又或是國際政治的推動,駭客們就像是操盤手背後的幕僚,能進行提前埋伏、發動攻擊、事後反擊的行動。而從各個國家與駭客組織之間的互動可知,他們會基於利益而合,也會出於國家安全而不時的反目,並尋找保護國家機密文件的安全方法。我認為未來在法律與道德方面是可以進行加強的部分,但資訊安全與網路所涉及的領域廣泛,證據的蒐集和國家之間的交涉也至關重要。許多時候不能單以道德來思考駭客的行為動機,否則因駭客而遭受損失的用戶們,還是有可能繼續面臨求償無門的狀況。
不過,每年定期舉辦的駭客交流大會,保留了一條技術交流的管道,其中駭客文化精神所強調的創新和自我探索,如何把握好網路空間與真實世界的交涉,仍是值得深思的問題。至於技術上面,若由Chaos所延伸的混沌加密學能在未來應用於網路安全,駭客一旦無法取得有效的資料,便會因無誘因而式微。但就現階段而言,網路世界就像個武林江湖,各憑本事闖蕩,不大可能在短時間內有人會被淘汰,反之,也不會有人輕易出局。
而最後,反思臺灣現在的網路安全政策發展,採取數位發展部建議,跟進零信任架構計畫。但正如我文中所提,它終歸只是治標不治本的防禦,只怕樹欲靜而風不止。其實現有的臺灣民間資安公司是有技術可以做到進一步的資安維護,如何搭建公私機關間的溝通橋梁,進行有效的技術提升,將是正處資訊戰時代的我們,勢必需要面對與克服的難題,理解整個網路生態系,才能掌握資安防範的先機!
※作者為清華大學自主學習小組成員、清華大學人文社會學院學士班學生。