文\姚超雯(轉載自《明報》)
“系統有漏洞是必然的事,端視你投放多少資源在風險管理上。”香港中文大學訊息工程學系教授劉永昌這番話言簡意賅。人類總重複相同的錯誤,近日駭客入侵電腦系統、電話騙案頻生,更遭駭客勒索,就算是劉永昌自己也曾遭毒手。網絡安全已成老生常談,到底是防範不足導致系統被攻擊,還是駭客愈發滴水不漏且無孔不入?
帶着疑問到中大何善衡工程學大樓拜訪剛在8月出席完電腦安全會議Black Hat USA 2023的劉永昌,只見大樓裡八樓個個房間都大門緊閉,他的辦公室卻中門大開,這樣豈不是沒有隱私?或是,他早就做好“風險管理”?看到專職是跟電腦打交道的他,辦公桌上有4部電腦毫不出奇,不過他連手機也至少有3部。他如數家珍地說:“我有iPhone、Google Pixel和Samsung的手機,都有用其他手機運行我不相信的Apps。”他邊說邊從褲袋和背囊取出不同牌子的手機展示,那個模樣像是多啦A夢從他的“百寶袋”中找工具。
利用區隔法 分散存資料
這麼多部手機,哪一部才是他的“主機”?他有點故作神秘,只說“iPhone和Android(系統的手機)我都會用,做保安研究一定要追潮流。”以用戶身份使用不同品牌的手機,才能保持觸覺敏銳。順勢問他為何有那麼多部手機和電腦,剛才還忙着找手機的他眉頭舒展,笑言“我要compartmentalize(區隔化)”,即是將資料分開存放在不同手機上。這樣做的原理如船舶,甚或軍事戰艦中的防水艙,即是船身一部分破損進水時,立即封艙,便不會波及其他船艙,其他防水艙仍能提供浮力,減低船隻下沉的風險。
這個保障自己資料安全的方法並不新鮮,但大部分人未必有分放資料的習慣。劉永昌娓娓道來他的“區隔化”大法,一是要定期備份自己的文件,並存放在另一個裝置上;二是留意網站的可信程度,然後思考如何設定密碼,“如果那個網站的安全系統做得不嚴密,你設定跟銀行戶口一樣的密碼,當然是非常不智啦!”他會在被駭客入侵也無關痛癢的戶口設定“垃圾密碼”,假如是關乎“身家、性命和財產”的則使用他必定不會告訴其他人,也不會寫下作記錄,只用於單一戶口的密碼,而且所有密碼組合“不可以相似,要完全無關。”
常聽到最基本的保護網上帳戶方法,是定期更換或不使用同一組密碼於其他平台上,向劉永昌請教此做法是否實用。劉永昌搖頭說電腦一旦被入侵,“其實改密碼都沒有用,”因為不知道駭客入侵後幹了什麼,“可能已經在你的電腦裏放了很多有病毒的東西。”他再三提醒一旦知道自己的電腦被入侵,首先要中斷網絡連線,然後想想電腦出現“怪事”是什麼時間,判斷駭客何時入侵,將電腦“rollback(回轉)至資料未被corrupt(破壞)的時間”,然後修補好系統漏洞,不過此做法有局限,若沒有定期為電腦資料做備份,仍會損失慘重。聽上去方法似是顯淺常見,但他坦言要判斷駭客入侵電腦的確實時間有難度,“要找專家慢慢看,但都不容易。”
防不勝防 勿集中使用一個郵址
劉永昌說,現時多數網站都需要登記電郵地址,所以連電郵地址也有好幾個,“一個電郵地址接收垃圾郵件,有些電郵地址做重要的東西,有個電郵專門用作登入垃圾網站。”他如此小心謹慎,為何還會被駭客入侵?他神態自若地說:“是啊,我曾經被hack。”問他那次是否像參加駭客大賽般與對方進行攻防戰,他笑言:“完全沒有。”他憶起那次駭客入侵事件,只嘆自己一時失察。
話說有一次劉永昌外出簡報,演說期間他個人電腦的防毒軟件不斷彈出警告,為了不阻礙簡報進行,他暫時關掉防毒軟件,回到辦公室再開電腦,發現Windows登入帳號有異,他打開命令列介面(command-line interface),發現有駭客下載攻擊軟件的指令,便知道自己中招,卻不知外泄了什麼資料,他一臉無辜地:“我不知道(有什麼資料遺失了)……”
一時失察致駭客入侵電腦可說是個人失誤,但有時資料外泄不是自己小心便能杜絕,他無奈說作為一般消費者,“有時都沒有辦法,是防不勝防。”2018年國泰航空包含約940萬乘客資訊系統裡的資料外泄事件,劉永昌也是受害者之一,當時他收到國泰通知他部分個人資料包括身份證號碼,可能被盜竊,他聳了一下肩膀表示自己也無可奈何,嘆道:“我都沒辦法,我都要飛國泰的啦。”他指大企業要求提供身份證號碼,“就等如跟不跟他做生意吧”,也是個人選擇。密碼被盜取,可以更改,但身份證號碼、樣貌和指紋理論上是獨一無二,“沒了(資料外泄)就一世。”他認為客戶數目如此龐大的企業“負的責任也很大,應要做得更好”,又或是政府須監管他們達更高標準的保安系統。不過事後似乎也未找到駭客身分。
慢慢摸索 致命攻擊難尋蹤跡
為什麼難以找到駭客蹤跡?這是一個老掉牙的問題,卻是長久以來的難題。劉永昌不厭其煩地解釋,駭客入侵初期為免被發現,不會做“大動作”,形容駭客宛如在機構潛伏多時的間諜,會先“慢慢摸索(你的電腦系統),探究底細。”到他發現到有價值的資料時才會出手。
他續說,大部分網站長期有一個或以上容易入侵的漏洞 ,“這個(情況)是很常見的。”而駭客只需找到一個致命漏洞攻擊,就可以入侵你的電腦,甚至利用你的電腦作為踏腳石去攻擊其他人的電腦系統。換句話說,聰明的駭客不會用自己的電腦作攻擊武器,“他可能是經過幾十個轉折,控制完一部機再控制第二部機、第三部機去駭人。”加上用戶經年累月使用不同網絡和軟件通訊,數據和訊息量之大令人難以篩選出哪些網路痕跡與駭客有關。
再悲觀一點地想,縱然追蹤到駭客的IP地址(又稱互聯網協定地址),若地址在境外亦難追究。更令人頭痛的是,對比駭客只需攻擊一個系統漏洞便可入侵,作為修補漏洞的防禦者則有“千千萬萬個系統要保護,這就很難了,(跟駭客入侵的方法相比)兩者的關係是不對等的。”
更駭人聽聞的是“零日漏洞”攻擊,即利用無法修復的安全漏洞作攻擊,而技術人員只有“零日”的時間找出解決方案,相當於駭客的必殺技。“駭客都是取易不取難”,必殺技當然是留着對付“high value(高價值)的目標”例如大企業和機構,駭客會優先找出較輕鬆的安全漏洞作攻擊再入侵,故升級電腦防毒軟件和防火牆可增加攻擊難度或免被入侵。
SSO漏洞多 設置貪方便易出事
劉永昌苦口婆心地強調,事前定好應變策略十分重要,尤其是機構和企業應做足準備,“預計好所有的methods and procedures(方法及程序),不是待被駭後才來做。”即要事前計劃好電腦系統被入侵後要先做什麼、通知什麼人、怎樣修復系統等,“監察、防毒軟件不是百發百中,但有比沒有好”,要安裝入侵檢測系統(intrusion detection system)監察系統的異常。當然,每間公司和機構是否有足夠資源做好網絡安全,又是否願意將金錢投資於電腦保安系統就不得而知,“這是風險管理的問題。”他說電腦系統有漏洞近乎是必然的,遭駭客攻擊是遲早的事,並打趣說:“很多時候最好的秘密就是全世界無人,有人的話守秘密很難。”
這個隱喻就好比單點式登錄(single sign-on,SSO),以一個帳戶登錄多個網站應用程式,例如利用Gmail登入Zoom meetings,免卻繁瑣的註冊程序。此做法看似十分便利,但由於SSO服務涉及多個平台,背後有許多安全隱患。2018年劉永昌與其他4名研究團隊成員憑藉他們的SSO服務安全研究,在美國舉行的第27屆網絡安全會議(USENIX Security Symposium)上獲facebook頒發互聯網防禦獎(Internet Defense Award)第三名,以及4萬美元(約18萬7800令吉)研究資金。他們發現十個SSO相關的軟件開發套件有7種邏輯漏洞,駭客可利用漏洞作攻擊。也就是說只要其中一個提供SSO服務的持份者電腦系統被駭客攻擊,帳戶持有人的資料便有可能外泄。
持疑自保 “消費者心理”成弱點
說了那麼多,似乎沒有百分百完美的防範措施,也就不再就此話題追着劉永昌不放了。劉永昌的辦公室內有五個六層高的書櫃,其中四個放滿。科技日新月異,現時已可利用AI生成工具偽造樣貌和聲音,甚至有不法分子以此詐騙。都說網絡安全的知識總在更迭,學無止境,那麼多本書中,有沒有一本是他歷久常新的?
劉永昌腦海中隨即浮現一本書:《欺騙的藝術》(The Art of Deception: Controlling the Human Element of Security),笑道:“那是一個騙子寫的書,哈哈。”作者凱文.米特尼克(Kevin D. Mitnick)是惡名昭彰的駭客,他從書中描述有關駭客如何揣摩人的心理,並加以利用。說到這裏,劉永昌不禁感慨,無論科技多發達,只是讓騙徒行事更方便,但最終人受騙也是“消費者心理問題”,寄語收到任何可疑訊息,例如關於購物積分,不要輕易點入訊息中的連結,要小心求證。