v?資安攻防的兩個零—零時差與零信任
吳其勳�iThome總編輯、臺灣資安大會主席
十年前我採訪資安新聞時,曾有一位白帽駭客專家對我說:「如果攻擊者真要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒有用,裝了等於沒裝。」
我原以為這只是他藉機嘲諷防毒軟體廠商的一句玩笑話,畢竟當時一般個人電腦的資安防護,主要就是靠防毒軟體過濾電腦病毒,以避免電腦中毒。所以我很納悶地問:「裝了防毒軟體也無效!難道可以不採取任何防護措施嗎?」
這位白帽駭客進一步說道:「如果中國網軍鎖定要入侵你的電腦,他們會利用世人都還不知道的軟體漏洞,開發出連防毒軟體都無法辨識的新型攻擊程式,直接就穿越防毒軟體,堂而皇之的入侵電腦。」
後來我才逐漸理解,他的本意並非要我解除防毒軟體,而是提醒零時差漏洞這種資安威脅的存在與其嚴重性。
什麼是零時差漏洞?
所謂的零時差漏洞,是指軟體存在可被利用的安全漏洞,然而多數人、包括該軟體開發者與供應商卻對漏洞的存在一無所悉。從零時差漏洞的生命週期來看,一開始軟體開發者寫好了程式,而程式碼存在一些錯誤(這其實是尋常的事);然而這些錯誤並不影響程式運作,因此連程式開發者自己都未察覺,可想而知,使用者更不會知道這些漏洞的存在。
但是,可能在某一天,這個軟體錯誤被人發現了,心存善意的發現者,會通知軟體開發者,以提供使用者修補更新程式。但若是遇到心懷不軌的人,例如別有居心的網軍、黑帽駭客或網路犯罪組織,他們就可能投入研究該漏洞是否有機可乘,一旦發現利用價值很高,例如可藉此入侵大多數人使用的微軟視窗作業系統或蘋果iOS作業系統,駭客便會進一步設計攻擊程式,利用這個漏洞入侵電腦。而只要這個漏洞尚未曝光,網路攻擊便能持續進行,這就是零時差漏洞。
恐將引發戰爭的核彈級武器
駭客擁有零時差漏洞就可以神不知鬼不覺地進出電腦,控制被駭的電腦,可能長期潛伏在電腦裏監聽使用者的一舉一動、持續竊取電腦裏的機密資料,或是挾持電腦作為發動其它攻擊的傀儡工具,甚至是綁架檔案進行勒索,或摧毀整臺電腦的檔案。而這一切攻擊,都要等到有人也發現了這個程式漏洞,提報給軟體開發者,待修補程式釋出後,針對這個漏洞的攻擊才會失效。然而若使用者不予理會或不知道要安裝修補程式,那麼駭客的攻擊仍然會繼續得逞。
隨著最近幾年資安攻擊事件層出不窮,攻擊手法也日益詭譎多變,我才逐漸理解十年前這位白帽駭客沒有直接點明的事:利用軟體漏洞可以發展出網路武器,而網路武器庫裏的核彈級武器,就是零時差漏洞。
網路戰爭的型態有別於傳統戰爭,傳統戰爭的攻擊武器主要是破壞實體,但網路攻擊武器卻是利用軟體漏洞入侵與控制電腦,進而控制與破壞仰賴電腦運作的設備與系統。現今我們生活周遭,從食衣住行育樂到國防軍事,從宇宙的衛星太空船到人手一機的智慧型手機,無一不是依靠晶片、軟體與網路在運行,而這些都是網路武器可以悄然無聲攻擊的目標。近年來,天天目睹網路攻擊與地下漏洞交易的資安專家,紛紛敲響警鐘:網路戰爭即將觸發第三次世界大戰。然而就如同我過往的經驗一樣,當我們每天尚能如常上網、聊天、追劇,未曾親身感受到網路攻擊的威脅,其實很難想像零時差漏洞會對未來的生活造成多大的影響。
值此之際,《零時差攻擊》一書的問世,以第一手調查報導揭露零時差漏洞的地下經濟,帶我們正視零時差攻擊可能對世界造成不可逆轉的衝擊,就顯得格外重要。
遵奉零信任原則
紐約時報資深資安記者妮可.柏勒斯懷著她對零時差漏洞的好奇,發揮記者追查真相的天性,以長達七年的時間追蹤零時差漏洞市場。期間她採訪超過三百位專家學者、駭客、零時差漏洞掮客與國安官員等,更走遍全世界好幾個國家,一點一滴挖掘出原本難以窺視的零時差地下經濟,不僅讓世人得以一窺神祕的零時差漏洞市場,更帶領讀者探究許多國家為了掌握網路戰場的致勝優勢,而不惜斥資收購與儲備零時差漏洞的現象。這種種作為到底真正保障了國家安全,還是反而助長零時差攻擊走向更偏激的道路?
此外,本書內容的驚悚程度,絕對有助於喚醒大眾對於零時差漏洞日漸失控的警覺,然而驚嚇之餘不免感嘆,難道我們的未來只能任由零時差攻擊擺布嗎?
借鏡此刻全球對抗COVID-19的經驗,會發現零時差漏洞與新冠病毒有其共通之處。在疫苗與治療藥物尚未問世前,COVID-19如同人類的零時差病毒,那麼當時為何臺灣能夠成功抵禦病毒入侵呢?其中一個重要關鍵,就是持續落實勤洗手、戴口罩、保持社交距離,設下一道道防線。這樣的防疫觀念其實與資安業界近來積極推動的零信任(Zero Trust)理念「絕不信任,一律驗證」不謀而合。零信任資安不預設信任,針對每個用戶、每個裝置的每一次行為,唯有經過驗證,才賦予適當權限。透過縮小信任空間、增加驗證頻率,以及適時適當的授權。若我們逐步落實零信任的精神,或許就可以逐漸削弱零時差攻擊的火力,有朝一日成功抑制零時差漏洞。
資安一直被視為專業技術領域,資安書籍也往往因為技術名詞令大眾卻步。本書作者以淺顯易懂的文字與第一人稱敘述方式撰寫,雖然有些描述看在資安專家眼裏或許不夠精準,卻更能吸引一般大眾。本書將帶領讀者一步步深入不為人知的零時差市場,一頁頁揭開零時差攻擊的神祕面紗,讓讀者宛如置身諜報電影,在不知不覺中親近資安議題,進而喚起其資安意識。
v?資安,人與技術的學問
叢培侃�奧義智慧科技 共同創辦人 、台灣駭客協會理事
許多人對駭客一詞有著負面的印象。但駭客一詞,原本並不具有負面的意思,而是指對事物內部運作原理深入研究、追求技術卓越的人。不論置身於哪個地方、從事何種產業,深入探索系統原理、追求技術卓越的駭客,都是值得尊敬的。為了深入理解系統運行原理,他們開啟了逆向工程的領域,利用反編譯、反組譯等方式,剖析程式運作機制。為了探索軟體錯誤(Bug)延伸的可能性,他們創造了各種記憶體資料外洩、任意讀寫記憶體資料、遠端程式碼執行等漏洞利用方式。為了保護隱私,也衍伸出了許多身份認證、加解密研究的進展。而在追求技術精進的過程中,意外地創造了軟體漏洞、惡意程式、密碼破解,成了網路戰爭、網路犯罪及資訊安全的基石,延伸成了一個蓬勃的產業。
本書並非是一本專屬於駭客、研究員或資安從業人員的書籍。現今社會資訊技術已完美融入我們的日常生活。先不論大家人手一台的手機已在資訊社會中成為人們的替身,智慧家電、物聯網的演化,辦公用的投影機及印表機,也已非單純的機械化裝置,內建了許多的嵌入式裝置。而您的愛車,也是由數十甚至數百個電子控制單元(ECU) 所組成,大量採用了資訊技術。資訊技術就如同空氣一般,無處不在。因此,資安事件是隱形、不可見,卻又隨時隨地都在發生的重要事件,從小至個人電腦中毒、大到巨量個資外洩、企業勒索、情報戰、網路戰,甚至足以改變國與國之間的關係。因此,除非您不用電腦、不用手機、不上網、不使用任何電子設備,不然本書便是與您相關的書籍。
本書作者從美國的角度出發,從記者不同的角度,讓我們以不同面向,認識這個產業。美國是網路戰爭的先驅,震網病毒、稜鏡事件、方程式網路戰隊一再顯示美國在網路戰仍領先其他國家,啟蒙了伊朗、中國、俄羅斯、北韓等國家的網路戰隊。因此,從美國角度來了解網路戰的發展是值得的。作者發揮了記者的駭客職人精神,採訪了許多資安領域的人物,其數量之多,令人咋舌。「人」永遠是產業運作的關鍵。在資安產業中,大家往往重視技術,卻忽略的人的問題。對於網路戰、網路地下犯罪、個人隱私、網路詐騙等重要議題,除了技術之外,人的運作至關重要。而本書中生動的描述了不同資安產業的人,讓我們更貼近地了解少為人深入探索的新興產業。
另一方面,其採訪的人的特質也相當精要,往往都是貼近這些重大資安事件的第一線人員。書中提到從以前到現在相當重要的資安事件,從震網病毒、極光行動、影子仲介商、烏克蘭基礎建設攻擊、美國大選干預等事件,勾勒出這些事件帶動的影響,了解這些事件對世界的衝擊。
由於網路漏洞的可複製性、低物理資源門檻,網路武器具有相當高的擴散性,不易為少數國家所壟斷。網路戰的技術,在短短十年內,已經從頂尖國家專有的,變成各國皆有自身的網路戰部隊。進一步,各國黑色產業、犯罪集團已經具有相當高的網路戰能量。因此受駭範圍已從政府、重要官員延伸至一般企業,甚至個人。
此外,與物理戰爭有別,不像飛彈或戰機等,軟體漏洞武器有其時效性,且難以有效監控管理。資訊系統容易複製、網路攻擊的隱蔽性、攻擊留下的證據,都與傳統攻擊相異,造成網路攻擊難以禁止、法規難以全面監管、也難以有國際間的武器限制公約,或是形同虛設。有鑑於此,網路戰爭的發展,可預計不會停下腳步,而是會更加快速的發展。網路戰也慢慢與其他領域接合,發展成各種綜合戰。隨著對資訊技術的依賴,網路戰帶動了監控、隱私、關鍵基礎建設、社交網路、輿情戰、情報戰、智財權商業間諜等,未來在AI、影像、自駕車等領域也會是重要議題。資安問題將有更大的影響範圍。
書中提到相當多俄羅斯針對烏克蘭的網路攻擊,對此我們感覺深有同感。台灣的政治立場與烏克蘭有不少相似性,身為資安人員,負責保護許多台灣重要政府、企業,我們也經常看到中國網路戰的影響,中國網軍一直是我們可敬可畏的對手。台灣在近幾年的發展下,社會大眾、政府也都廣泛理解資安的重要性,產官學研各界也逐漸投入此領域。台灣駭客年會(HITCON)在多年的發展之下,已經成為世界聞名的資安技術會議,吸引許多頂尖研究員前來。而HITCON CTF戰隊,這幾年在駭客圈的奧運-DEFCON CTF中(也許稱呼為駭客的電競大賽比較貼切),都取得非常好的成績。台灣本土的資安企業,也不再侷限於本土,輸出到世界各國。顯示出台灣在資安技術上,已有長程的進步,但除了領頭羊以外,整體資安產業能量仍然不足。要將人、技術等一小塊的拼圖,組出一幅漂亮的圖畫,還需大家努力探索。
書中最後一句話提到「紐西蘭駭客麥克曼納斯他那件T恤上印的字:總有人要做點事。」資訊領域已成為我們生活中不可或缺的一環,資安領域不只需要更多工程師、研究員、駭客的加入,也需要更多元的切入點,如本書作者以記者的角度作出了如此貢獻,資安領域值得更多不同領域加入。並無可質疑資安將是現代人並需要具備的基本常識。
?
