從第一隻電腦病毒問世到現在,已經超過25年,當年只會在你螢幕上跑出幾行字的小病毒,現在可以偷走你的資料、竊取你的人生,未來甚至可以奪人性命!2020年的資訊大戰將進展為商業之戰、國家之戰,而這場風暴,現在已開始悄悄醞釀中。
2013年7月,美國知名駭客大會Black Hat前夕,原預計上台發表簡報的知名駭客傑克(Barnaby Jack)被人發現猝死家中,年僅35歲。此事引發眾多陰謀論,認為傑克的死因並不單純,原因是,傑克原預計在黑帽大會上發表的主題是「入侵人體植入式裝置」。他原本要示範駭入人體內的心臟去顫器、心律調節器等醫療裝置,在十公尺遠的地方,就能讓對方心跳停止。
因為這樣的手法太駭人聽聞,甚至將影響醫療器材公司的生意,也引起外界眾多揣測,認為傑克此舉威脅到醫療業者,很可能因此喪命。事實上在三年前,他就已經成功展示過讓ATM自動吐錢的駭客技術,讓金融業者瞠目結舌。但這次能致人於死的技術,更加令人震撼。
過去想到的病毒、駭客行為,不過是讓電腦不能使用,或偷竊你的資料、詐騙金錢,似乎並無大害。但隨著聯網裝置越來越多,應用層面越來越廣泛,未來的駭客世界將不只如此,透過病毒、間諜軟體,不法份子可以搗亂一個國家的水、電基礎設施,可以癱瘓所有重要企業的網路服務,甚至可以摧毀或引爆核子系統。
這樣的未來情境即將真實發生,卻實在令人難以想像。以防毒軟體起家的趨勢科技,少見地跨界拍起影集,將2020年的資訊安全情境,透過影像畫面傳達給社會大眾。這部命名為《2020》的九集短劇,由趨勢科技資訊安全研究全球副總裁佛格森(Rik Ferguson)領軍拍攝,他們和歐洲網路犯罪中心(Europe Cyber Crime Center)合作,預測未來網路犯罪形態,幫助政府、企業和一般民眾都能針對未來十年將面臨的挑戰,提前準備。因此,《2020》影集中,呈現的正是未來威脅樣貌,例如駭入可造成實體衝擊的物聯網裝置。
由於網路犯罪通常是跨國進行,因此國際警察組織Interpol也成立專責網路犯罪的單位,並和趨勢科技合作。「他們就像是不用槍的007,」趨勢科技執行長陳怡樺回憶,第一次和Interpol開會時,對方對她說:「別擔心,我們沒有槍,大家都以為我們像007一樣拔槍和歹徒作戰,但事實上當我們攻堅進入房間時,面對的只有一台台電腦!」
駭客任務真實上演
Interpol執行總監中谷登(Noboru Nakatani)指出,過去五年,包括Interpol以及各國執法單位已經觀察到許多網路犯罪的變化趨勢,主要就是來自於新科技的發展,最重要的是社群網路和行動裝置。最流行的社群網站,也能讓駭客最輕鬆地接觸到大量用戶。而行動裝置再也不只是電話,但大部分使用者尚未注意到這點,對手機的防護之心遠低於電腦,這也讓駭客有機可乘。
在2020年的世界中,駭客對基礎設施的攻擊越來越常見,例如企業中央控制系統、車用系統、交通號誌系統,都籠罩在威脅之中,駭客得以滲透系統,並控制這些裝置,進而擾亂國家秩序。「我們曾設計一個假的水資源管理系統,就吸引好多駭客前來攻擊,這樣的威脅正在醞釀中,」陳怡樺說。
不過更讓人擔心的是,駭客現在將資料的價值視做真實金錢。中谷登表示,網路犯罪不再只是瞄準金融機構系統,他們蒐集並販賣資料,做為一門生意,交易身分、商業機密、個人紀錄等。他們可將資訊再販售到黑市中,或是透過勒索來賺錢。在2013年,一個Java的漏洞價值就高達5000美元。
網路犯罪問題在過去十年或未來十年,都是企業和政府最頭痛的問題之一,但你知道始作俑者究竟是誰嗎?在一場TED的演講上,芬蘭資安公司F-Secure首席研發長希伯能(Mikko Hypponen)替大家解開了這多年謎題。他發揮實證精神,從病毒碼中找到了撰寫者的地址,直接殺到巴基斯坦,「不可思議,他們兩人竟然都還在那,」希伯能說。
這兩個人在網路史上寫下了歷史性的意義,但他們自己根本不知道!這兩位「病毒創始者」當初只是為了證明MS-DOS電腦系統並不安全,因而寫出了這個程式,但他們這20幾年來都沒有再寫過病毒,卻成為了事業有成的商人。「他們還說自己現在很討厭病毒,因為電腦很常受害,但這都是他們自己的錯!」希伯能笑說。
最初病毒只是技術高超的駭客用來「炫技」的一種工具,來自對大企業的挑戰、對社會的反叛。想證明大企業的產品漏洞百出、證明自己有能力找到漏洞,20年來一步步發展,卻逐漸成為不法人士的生財手法。從物聯網、雲端、穿戴裝置到虛擬貨幣,只要一出現新科技,駭客的技術也隨之跟上。「犯罪組織對新科技的應用,比好人更快,」陳怡樺說。
舉例來說,感染眾多電腦做為攻擊跳板的殭屍網路(Botnet),其實就是一種分散式運算,也就是現在說的雲端運算。另外,最近當紅的比特幣,也馬上成為駭客最新遊樂園。
比特幣成駭客新目標
比特幣已經成為勒索軟體的目標,資安業者FireEye實驗室資深研究員張榮華說,該公司日前新發現一個勒索軟體Cryptlocker,用以鎖定使用者電腦中的文件,要求受害者付出300美元或0.5比特幣來解鎖。
比特幣最大的特性是去中央化,透過採礦(mining)生產貨幣。資安業者Nexusguard技術長任榮錦(Reggie Yam)觀察,在主系統之外,其他業者可自行延伸出各種交易系統,這個主系統的安全設計非常嚴謹,問題常出在其周邊的交易系統。其中之一,前陣子才遭遇分散式阻斷服務(DDoS)攻擊,駭客以大量電腦癱瘓系統。在丹麥,Nexusguard也發現駭客鎖定比特幣竊取。
凡事都有正反兩面,近期頗受到關注的大資料(Big Data)也成為駭客搜尋漏洞的新技術。犯罪組織透過大資料去模擬用戶行為模式,使犯罪手法更上一層樓。
任榮錦指出,未來各種行動作業系統將取代傳統的嵌入式系統,當手錶、車子,甚至人工器官都有作業系統後,安全漏洞所帶來的影響會比以往更嚴重。除了商業目的,也成為政治和軍事手段,「未來甚至能透過駭客手法,攻擊政要的生命安全。」
張榮華則認為,匿名性和低風險的特性,使得未來藉由網路犯罪的比例會越來越高。「想想看,真的去搶銀行和透過惡意軟體偷錢,哪個風險比較高?」他建議,由於網路犯罪擁有跨國特性,政府應積極尋求和國際間的合作,封鎖殭屍網絡,或關閉用來運行惡意軟體的伺服器。
Interpol觀察到另一項發展是,網路犯罪將成為一種服務模式。過去網路犯罪是由精通技術的個人或小團體所為,但現在任何人都可付費取得想要的惡意軟體,讓專業駭客幫忙完成任務,犯罪行為從隨機變得更加策略化。
中國和美國早已存在檯面下的「網軍」,以駭客行為對其他國家進行情報探測,政府的態度在國家資訊安全上扮演重要角色。中谷登指出,政府面對網路犯罪的能力,通常是看該國對犯罪的認識有多深,而全球還有許多國家尚未對網路犯罪立法,國際警察組織的目的正是和這些國家合作,共同打擊網路犯罪。另外,政府也可提供人民更早期的資訊教育,幫助人民對網路上的威脅更具警覺性。
2020聽起來很遙遠,但掐指計算,也不過就是六年的時間,在開心享受科技便利性,並擁抱著聯網未來的同時,科技可能帶來的暗黑影響,我們也不能掉以輕心。