今年四月九日,一個炸彈差點在國立台灣交通大學爆炸。那個炸彈沒有雷管、沒有火藥--當天,一萬一千多封垃圾信件,從台大計算機中心霎時湧向交大,企圖「灌爆」該校的主機。交大方面在警覺到主機負荷突然加重後,立刻停止接受對方網址寄出的信件。雖然主機沒爆,卻也已經收到了近八千封的電子信。
歡迎來到網路諜對諜的世界!
今天若問美國的中央情報局和聯邦調查局,未來最艱鉅的任務是什麼?答案可能不是某群回教恐怖組織分子,而是來自世界各地,敲敲電腦鍵盤就能闖進美國國防部的駭客。而這個答案,也是當今各國政府和企業,甚至是個人網路用戶共同的憂心。
比道行,拚技術
每天來往於全球各地的電子郵件,現在每秒鐘數以百萬封計。企業與客戶的往來、政府與民閒的溝通、個人與個人的聯繫,愈來愈依賴立時、無國界的數位傳輸。然而,你能確定除了你本人之外,沒有人看得到你的電子郵件嗎?你能肯定透過網路傳輸而來,儲存在密碼保護之下的商業機密是絕對安全嗎?答案可能是否定的。
台灣某國立大學的一位女生,某天打開電腦發現,有人已經把她新到的信件都瀏覽過一遍了。
美國風河系統公司(Wind River System),因為網路費用暴漲,事覺蹊蹺,詳加追查之下才發現,網路怪客不僅常常半夜來到他們的資訊系統裡逛大觀園,還透過他們公司的網址向外散發郵件。
有類似經驗的個人或組織究竟有多少,沒有人能真正估算得出來。去年美國聯邦調查局對其國內四百家企業做調查,發現高達四0%的企業曾發生過網路被入侵的問題。這些企業每年花費約六十億美元做資訊安全防護,但情況顯然並不樂觀。
而這可能只是冰山的一角,因為據聯邦調查局估計,九0%的入侵都不曾被發現。
網路諜影重重,原因之一是駭客已逐漸成為網路社會中重要的族群;透過網路龐大的串聯力量,人數不斷壯大,互通聲氣、互相學習。
這個族群並非隱匿不見,其實只要上到各個有關電腦安全的網路討論群中,就可以看到老駭客、小駭客們使用一般人不易懂的語言討論各種「解碼」的問題。
不久前,一位退出江湖的老駭客(見副文),道出曾經想要成立「國立台灣駭客大學」的心聲,還引起本地同好們一片迴響。
著有「網路恐怖主義」(Information Warfare:Cyberterriorism)一書的史瓦滔(W. Schworrtau)曾在他的書中形容,駭客文化其實也是當今資訊社會「秀」文化與解構權威的一環--這些人的職志就是非法侵入、創新紀錄--不僅表現自己的道行,也頂撞科技巨擘的權威,同時藉著傳授技術在駭客界揚名立萬。所以往往難度愈高,挑戰者愈多。
美國一家幫大企業執行反入侵防護的資訊公司,曾經在某家大企業偵測到網路闖空門者的速度--平均每秒鐘就有二十個入侵者企圖闖關。
在網路上、駭客群流傳著許多破解密碼的軟體;另外有些雜誌諸如「駭客季刊」,甚至是一步一步教你如何破門而入別人的網路系統。這些「智慧的結晶」其實也可以說是資訊科技發展的另類產品,而且消費者日眾、日益年輕。
資訊安全所費不貲
另一項造成今日資訊安全漏洞百出的原因,則是網路使用者的警覺性太低。
在美國工業安全協會的調查中發現,受訪的企業中,有將近四分之一對於電腦資料的保密沒有做任何防護措施。即便是進入資訊系統的密碼,也沒充分的保密,或者隨便用了一個容易猜到的密碼。
「許多人用的是自己的生日、孩子或太太的名字,駭客們三兩下就拿到了進門的鑰匙。」一家名為庫柏李邦(Coopers & Lybrand)的資訊安全顧問公司,對一家國際知名的大藥廠進行駭客入侵的模擬測試,結果在兩個小時內,該公司三0%的電腦密碼就被破解了;他們還進到了薪資管理系統,可以直接發放紅利到藥廠員工的銀行戶頭裡。
其實駭客只要進入一台主機,整個企業的資訊房間就可能被逛遍,甚至還可轉進到國外分公司或其他機構。
一九九四年,著名的英國十六歲駭客,利用美國空軍羅馬實驗室的主機做為跳板,入侵了南韓的核子研究中心,引起高度的緊張。「如果他入侵的是北韓的系統,可能會引發戰爭。」美國國防部的一名高階資訊人員表示。
許多駭客侵入別人的電腦系統,純粹只是以到此一遊的姿態展現自己的能力,但是也有相當比例的人數,是以破壞或竊取為目的。
惡意侵入所造成的損失究竟多少,同樣難以估計。能夠以金錢衡量的業務損失,單是美國去年就高達千億美元。還有許多是難以用金錢衡量的。
例如花旗銀行在一九九四年,遭人透過網路系統非法轉移了一千萬美元。不僅事後只追討回約四十萬美元,競爭對手也以該銀行的資訊安全性不足為由,不斷向其大客戶招手。
即便是一些非交易性的破壞,也足以帶來相當大的麻煩。今年四月十日,駭客侵入政治大學資訊科學系的電子布告欄(BBS),將站內一萬三千多筆註冊資料完全刪除,更造成許多信件的流失。
雖然各國政府對於資訊安全已陸續訂出法令;台灣有電資法,美國則有罰款最高一千萬美元、最長十五年的刑期,但是嚇阻作用仍然有限。
全球資訊安全性受到嚴重考驗,帶起的就是各種「反間諜作戰系統」的興起。
例如美國一家公司設立類似電子郵局兼電檢處的服務。其旗下的大客戶如花花公子集團、福斯娛樂集團等,所有的資訊往來全都以繁複的密碼,透過該公司轉接。而該公司所標榜的是五層以上、不斷更換的「防火牆」,用來阻止資訊小偷越牆而入,同時有二十四小時的資訊警察(是真人不是電腦)監控。當然收費絕不便宜,每個客戶每月要奉上五千美元的基本保護費。
熱鬧的解碼攻防戰
日前最流行的反間作戰部隊,則是一些幫忙企業進行資訊安全漏洞偵測的公司。他們的工作就是坐下來,侵入客戶的電腦,讓客戶能眼睜睜地看到:駭客能在幾小時之內侵入公司多少資訊系統?奪取多少資料?再針對這些漏洞加以補強。
可以想像,這些開業的反間作戰部隊之中,有許多成員就是由過去的駭客轉業而來的。
事實上,化敵軍為我軍正是許多政府與企業採取的策略。
美國一位年輕人羅森斐得在一九九二年因為竊取信用卡轉帳號碼,而被關了八個月。現在他則與遁世(Escape)網路服務公司合作。他們給他免費的帳號,換取他的服務提供資訊安全的建議,並且報告駭客族的新動向。
發動全球各方高手來共同維護網路安全,也必然是未來的趨勢。最近在全球網路上正進行得如火如的,就是由瑞典一個學術網站所發起的「破解DES密碼大賽」。
所謂DES(Data Encryption Standard),是一種由美國發展出來的「資料編碼標準」,用來加強電腦資料的安全性。要破解DES需要通過九十幾萬組密碼的考驗。透過這次大賽,可以考驗DES的安全程度,也可留下許多「攻破」技術的資訊,供做未來設計資訊保護軟體的參考。
雖然獎金只有一千美元,全世界各地的電腦高手們都開始使出渾身解數。台灣地區據說投入程式的電腦已超過三千台,交大、清大、中央、台大都已擠進解碼的前二十名。
這種網路諜對諜的攻防戰,未來勢必發展出許多新產品與技術。從正面來看,也是提升科技的另一種動力。
不過就像IBM公司資訊安全服務的一句廣告詞;「要讓一個十四歲的毛頭把我的公司搞垮嗎?」
這個問號,恐怕才是目前許多組織管理者最關心的事情。只是道高一尺、魔高一丈,已經有人形容這是網路化世界的宿命。
所以,小心!網路匪諜就在你身邊,或者,人在天邊卻能近在眼前!
他的成長
最近台灣討論電腦安全的討論群中,出現了一位已退隱江湖的老駭客,以「我的成長」為題,連續張貼了幾個他如何從玩AppIeII開始,變成一名駭客的故事。
這位名為瑪法達(Marfada)的老駭客考上大學後,為了交作業需要,開始學起IBM大型機器的組合語言,半學期之後就發現要取得進入電腦系統的特權指令不是那麼難。
此人後來轉系到應用數學系,恰巧學校的電算中心旁邊有教育部的電腦工作站,於是,根據他的說法:「教育部的IBM 3090被我地下管了四年,直到(此機型)被教育部淘汰為止,一直都沒有人知道……」
考上研究所之後,瑪法達的技術日益精進,透過網路連線,幾家國立大學的VAX系統都被他入侵過。不過,他本人所列舉的幾項「事蹟」,可能才是更能代表駭客的行徑(或路徑?):一天侵入台灣三百台機器;入侵美國國防部被抓,因此五年內不能入境美國;美國上線公司(AOL)一日遊;FBI台前台後;與國際三大駭客組織塵戰月餘……。
從他的故事中,隱然可以看到一個資訊時代的資訊小子,飛快成長的身影。類似瑪法達這樣的人,正是各國資訊工業的生力軍。但同時,當這群人有興趣夜闖某單位的電腦系統時,又有多少資訊警衛才能擋得住呢?
(孫秀惠)
