漫談網路駭客
壹、前言
國內網際網路與電子商務蓬勃發展,網路遭駭客入侵的案例層出不窮,連政府單位網站都曾遭駭客入侵,凸顯網路安全防護的重要性。為防範網路駭客入侵,維護國家安全,防護政府資訊作業,保障民眾權益,政府已經從技術工程、執行管理及教育訓練等層面,推動多項資訊安全措施,同時資訊工業策進會亦成立「網路安全防護服務組」,協助政府及企業面對日益複雜的網路安全防護需求,提供各項諮詢服務,並協調各相關資訊業者通力合作,以解決網路安全問題。
駭客入侵政府機關網站,揭開了兩岸電腦戰的序幕。根據美國最新統計資料,在所有的電腦犯罪當中,屬於企業或機構內部人員不當存取或惡意竊取、破壞的比例甚高。在網路風行全球的今日,網路安全管理是當今網路世代最迫切要正視的問題,你還能忽略網路安全管理的重要性嗎?什麼是「駭客」?它在網路上進行那些顛覆破壞?我們該如何防護?本文將針對這個問題,做深入淺出的說明。
貳、網路安全問題
連上網際網路代表的是更多的方便,還是更大的災難?世界上每天有人因為受到網路駭客的攻擊而傷腦筋。不管是政府機關、公司行號或是個人,在上網之前必須先要有心理準備,如果你平時並不在意網路安全的問題,這將使意圖不明的侵入有機可乘,你有可能因此受到傷害,輕者可能是資料的遺失或是當機,嚴重的會導致財產與名譽的損害。
網路的危機主要來自「網路駭客」的侵害和「電腦病毒」的傳播。網路駭客在網路上口耳相傳,逐漸蔓延開來,再加上傳播媒體的推波助瀾,甚至讓人常將它與間諜戰或陰謀論聯想在一起。它是網路主要危機的來源之一,因為它會進而竊取或破壞你的資料,甚至假借你的名義去做壞事。而網路的另外一個危機是來自電腦病毒,有些人會藉由四通八達的網路到處傳播病毒,造成某種程度上的傷害。
參、網路安全的漏洞
網路上導致受害的主因有軟體本身設計上的缺失,以及使用者忽略本身資料的保密性。想要連上網路,就必須要使用各式各樣的軟體,而這些軟體本身設計時,有時因為考慮不夠周全(畢竟程式太龐雜了),於是當使用者利用這些程式連上網路時,就有可能受到有心人士的攻擊。
大多數的瀏覽器程式都曾經有報告指出,會有安全性的臭蟲(Bug,指的是程式的缺失)存在,所以使用者必須小心才能躲過駭客的攻擊。
另一個原因就是密碼被竊取或破解,這樣的缺失佔網路安全失誤的半數以上。還有線上購物如果沒有注意安全,自己或網路商店不小心將信用卡卡號外漏,也會造成財產的損失。網站本身也存在了很多的臭蟲,所以在網際網路的世界裡其實並不是完美的淨土。
肆、安全缺失造成的損害
一、對個人的損害
上網可能導致的損害,基本上就是電腦當機,再不然就是一些個人的資料被竊取。最近網路上一個比較嚴重的問題,就是瀏覽器所附的電子郵件程式有漏洞,許多有心人只要寄出一些特定格式的檔案,就可以把使用者的硬碟格式化(即將原本電腦內的所有資料全部刪除掉!),這樣的後果,可能是你在上網時所始料未及的吧。
這樣的損害還尚屬輕微,如果你在網站上登錄資料或是買東西,而這個網站並沒有做好安全把關的工作,使你和你的信用卡資料外流,再被有心人士利用,如:盜刷信用卡,或是在網路上做壞事、發黑函,將對你的金錢與名譽造成莫大的傷害。
上網時對於商務及本身資料上的應用,安全性的問題尤其不能忽略!一般而言,若企業或機構經常忽略對一般的電子郵件及內部人員的管制,可能會導致資料被竊取,甚至遭到商業間諜長期入侵而不自覺。
二、對企業體的損害
通常政府機關或是私人企業會以專線的方式連接到網際網路上,也因此網路處於二十四小時連線的狀態,很多網路駭客藉此便可查詢你的主機,進而進行潛伏。有時他們會利用電腦主機裡所執行程式的安全性漏洞,慢慢竊取重要資料;有時他們會很有耐心的分析企業或機構在網路上所流通的資料,進而找出它們的帳號與密碼,最後再以這個帳號的名義進入主機,竊取或破壞資料。對企業而言,最大的損害就是商業機密的損失、客戶資料的外流、帳目資料遭破壞等種種的危害。在國外,許多推銷網路安全產品的業務員會帶一、兩個駭客到你的機關去,示範它們如何在一、兩個鐘頭內竊取並且破壞你的資料,然後老闆就會滿頭大汗地買下產品,因為網路的漏洞真的太多了,讓人很難去防堵。
伍、什麼是網路駭客?
駭客造成了網路族不少的恐慌,到底他們是怎麼樣的人呢?「駭客」這個名詞的來源,其實是由英文「Hacker」音譯而來,在早期的網路拓荒時代就已在電腦玩家間流傳開來,意思原來指的是「電腦很強的人」,就像美國西部牛仔一樣,到處行俠仗義。但是電腦很強的人,心地未必善良,所以又有了另外一個名詞「Cracker」,表示有犯罪記錄或是行為的電腦高手。但是後來大家卻都混淆了這兩個字的含意,再加上中文在翻譯時,也乾脆把「Hacker」翻成有點邪惡形象的「駭客」,於是大家將錯就錯,將凡是在網路上利用技術危害他人的人,統稱為「駭客」了。
其實駭客們基本上並沒有什麼心理上的問題,他們常常是為了一點點的成就感,不眠不休地破解一些原版軟體。駭客的行為大多出於好玩,因為他們發現了一些電腦安全上的漏洞,再加上想對自己技術的挑戰心理下,難免產生壞念頭。現在的傳播媒體,把他們塑造成是一群在社會邊緣,高智商但心理不平衡的傢伙,賦予他們自閉、偏執狂之類的奇怪形象。其實駭客早在人類開始應用電腦系統來處理生活相關事物即已存在,那時的駭客只是一個寧靜社區的入侵者,猶如一群展示個人膽量與另類文化的機車嬉皮族,它們有自己的國度與道義,對電腦系統並不具致命的殺傷力。然而,隨著電腦與網路系統所處理的資料越來越敏感(例如國防機密),或越具價值(例如商情資料),人性的價值觀越來越沈淪之際,現今的電腦駭客已儼然成為一群難以捕捉與防範的高科技電腦犯罪者,1990年代的網路大盜凱文.米特尼克就是典型的代表人物。
總之,在現實世界裡,駭客和你我一樣,也是安分守己的一分子;只是在網路的虛擬世界裡,他們比你我更具有足夠的破壞力。
陸、駭客在網路上進行的破壞
駭客的犯罪手法不一:有些駭客會去蒐集每個人的人事資料,然後賣給徵信公司或獵人頭公司;有些則會利用網路散布自己寫的病毒,或是不停地對一些特定的對象進行攻擊,例如有些離職員工會在公司的程式中,放入「邏輯炸彈」(意思就是說會在某些特定的狀況下,讓程式發生問題);而許多的商業間諜與軍事的情報販子則會透過網路,取得一些你所無法想像的資料呢!駭客在網路上進行的顛覆與破壞,大致有以下四項:
一、散發黑函
在臺灣,大多數的駭客都喜歡利用別人的名義去做壞事,之前有人利用臺北醫學院的電腦,發送電子郵件給美國白宮,說要暗殺總統之類的話,然後再逃之夭夭,等到大家發現時,已經為時已晚,造成國際形象不小的傷害。
二、盜用信用卡
在網路上買東西時,對方通常會要求你輸入信用卡的卡號,有時因為程式的漏洞,你的卡號被駭客得知了,就會造成破財的悲劇。目前一般網路購物所使用的安全認證的位元數不足,一般來說,一個有心的駭客只要使用一台Pentium的電腦,不眠不休地計算,九個月之內就可破解,順利竊取你的資料。雖然在網路上購物或交友十分便利,但也要注意對自我安全的維護,千萬不要輕易外流自己的資料(尤其是金融資料)唷!由於目前信用卡的消費行為很普遍,交易時也力求便捷,被盜刷的情形真是抓不勝抓, 所以在網路上買東西時,一定要要求對方再以電話通知或是認證,雖然有些麻煩,但是如果你有一天發現自己的信用卡被刷了好幾十萬時,你一定會後悔自己當初為什麼沒有做好這些小動作。
三、販賣個人資料
在美國,有徵信社請駭客專門從政府機關或是一般的民間醫療系統裡,取得個人的人事資料,藉以調查客戶委託的案件中的人士背景;有時也會請駭客長期監看特定對象的電子郵件與個人的信用交易;而很多被監看或資料被竊取的人,往往都是渾然不知的。一般的玩家,也可利用駭客寫出來的程式進行破壞,這些程式操作簡單,但是功能卻很強大,可以讓一個平凡的使用者突然間變成極大破壞性的駭客。最簡單的例子,我們可以輕易地下載電子郵件蒐集程式,到處蒐集別人的電子郵件,然後廣發廣告等電子信件來賺錢。
電子郵件信箱、信用卡帳號、甚至一個人的身家背景都可以利用四通八達的網路查到。你可以試試看連線到各個搜索引擎(比如GAIS引擎),然後輸入自己的名字,就可以看到一大堆有關於自己的資料。而事實上,很多玩家也都藉蒐集或竊取別人的資料賺了一筆為數不小的錢呢!
四、竊取機密
科技越是先進的國家,依賴網路的程度則是越高,對於防禦駭客入侵的能力也相對越低,因為網路實在是太龐大了,到處都有可能出現致命的漏洞。在國外,駭客喜歡對國際型的大企業下手,取得一些機密或是重要資料。有趣的是,由於智慧型犯罪電影的盛行,美國國防部變成了全世界駭客喜歡去練習猜密碼的地方,據報一年內都有上千次的入侵,而其中竟然只有不到百分之十的入侵會被偵測出來,這真是一個可怕的隱憂。其他像是微軟(Microsoft)、雅虎(Yahoo)等大型的商業網站,也正不斷地面臨著駭客的攻擊。
現在的駭客已經不需要很高超的技巧,在網站上便可抓取許多程式,以破解各種密碼或仿造信用卡號碼,探測要攻擊的主機上有那些漏洞可以鑽,過濾網路上的資料,看看那些是密碼,那些是人事資料等等。告訴你一個可怕的事實,即使你沒有上過網路,但是你的資料也有可能因為戶政機關的資料被竊取而散布出去。
柒、駭客的行為犯法嗎?
很明顯地,駭客的行為確實觸犯法律,因為網路的主機屬於私有財產,是不容許他人不經同意而任意取用的。而我們常言的「網路入侵」,就是指非法進入他人主機,甚至是利用他人的名義,散發不良的消息或是破壞別人的網路,這種情形就更嚴重了!對於這樣的行為,可是要負法律責任的,有可能要償付罰鍰及賠償他人名譽及公務上的損失,並且要負刑事責任。
至於毀掉或修改他人公司資料的這種犯罪,就等於是跑到人家家裡去砸壞東西,一定是會吃上官司的,而且這種影響他人公務上的犯罪行為,其賠償金額通常都是很龐大的,往往在百萬元之譜。
駭客的犯罪行為雖是舉證歷歷,但是有辦法抓到嗎?答案是可以的,因為每一個人在上網時都會有一個專屬的 IP,同時主機也會把所有上網人的記錄,都寫在裡面,所以如果順利的話,其實不難抓到這個人。用數據機連上網就可以躲掉嗎?別天真了!因為ISP也會有記錄,否則他怎麼跟你算錢呢?
所以警告許多對駭客躍躍欲試的人,千萬別因為想向自我「潛能」挑戰,而聰明反被聰明誤,其實你上網的一舉一動,都會在不知不覺中被記錄下來,國內已有數起破獲駭客的記錄,要順利破獲駭客,除了需要網路上的各單位通力合作外,其實每一位網路管理人員的安全概念也是很重要的,只要經由耐心的分析主機上的記錄檔,每個駭客的影蹤都將無所遁形的。
捌、自保從密碼開始
在這裡把網路世界說得這麼恐怖,無非是希望你在進入網路世界時,能時時提高警覺。其中最基本也是一定要做的,就是把你的密碼設定好,一個好的密碼必須含有英文大小寫和阿拉伯數字的混合,最少不得低於六個字,而八個字算是基本的要求,就像「XevOr6yn」。這樣的密碼,你可以自己編,也可以到網路上抓程式來編,如此駭客就比較難查到你的密碼。因為大多數的網友都喜歡使用容易記的字(例如名字或是出生年月日等),來當成密碼,因此駭客可以依此建立一本「字典」,再運用工具程式不停地把字典裡的字拿出來測試,如果你用「cat」之類的密碼,大概不到一分鐘就可以被破解了。
所以一旦成為網路族,真的要千萬小心,因為現在沒有出問題並不代表以後沒問題。駭客通常都很有耐心,而且他有可能利用你的帳號,偷看你的個人資料或信件,也可能更進一步的造成更大的傷害!當然像是「XevOr6yn」這種密碼的確比較難記,但是千萬別因為一時偷懶,而造成日後更大的損害。
玖、減少安全性漏洞的防火牆
我們可以運用「防火牆」(FireWall)的軟體,來保護你的網路,但是保護的程度,就要看企業內部的員工配合的程度而定了。比如我們架設了防火牆,但是有些有權限操作防火牆軟體的員工,使用自己的密碼時不夠小心(譬如:最常見的”1234”),那麼便會很容易地被駭客猜中。
防火牆的種類也很多,必須請網路管理人員仔細評估,否則可能在買了之後,發現不符合效用。防火牆運作的原理,就是在公司的電腦與網際網路之間隔一道防線,凡是通過防線的資料都需要仔細盤查,才能通過。因為有了防線的守護,在防線外的人,便無法得知防線內的情形(也就是無法利用網路工具得知),以達到真正保護的目的。防火牆基本上有兩種,一種是完全隔絕式,另一種是過濾式。前者適合流通量較小的情形,一旦資料流通量很大時,則必須使用過濾式。這兩種互有優劣,但是基本上完全隔絕式的安全性比較高。
然而防火牆並不等於駭客剋星,從學理上來看,防火牆只是系統進出口的一項控管措施,就像是大樓的門戶管理員,並不是該大樓唯一的安全所繫。門戶管理員的職能素質與認真態度不盡相同,影響住戶安全甚鉅,我們不可能因為有了門戶管理員,便將貴重的物品明目張膽地任意放置在明顯的地方,而高枕無憂。正確且確實地使用防火牆,才能真正發揮它的防護效果。
拾、結語
最後以一個網路上流傳已久的故事,來為本文做一個結語:一位公司的網路管理人員向老闆提出要設置防火牆的申請,老闆面有難色,因為他覺得電腦室空間已經很小了,那裡還能再砌一面牆,同時電腦室有隔間的必要嗎?但他不愧是一位好的老闆,從善如流,相信專業人士的建議,馬上批准這項申請。等廠商將報價單送來時,老闆看到上面物品的名稱竟然是「看門狗」(一種防火牆廠牌的名稱),他恍然大悟,原來他們在電腦室隔間是要養狗啊!
希望這篇短文能讓你在網路安全以及電腦駭客的了解上,有所幫助。
轉錄自清流月刊94年6月號作者趙力平