2005-10-20 12:03:24MorNiNgGrAcE

商業周刊第 930 期

正義任務..

使用網路朋友們得小心嚕!

==
本篇文章摘自:商業周刊第 930 期
作者:李盈穎

駭客來了!銀行電腦被入侵,千億資產蒸發,信用卡的個人徵信資料全部消失……對於重度倚靠電子紀錄的個人與企業,這些事若發生──哪怕只持續一個上午,會造成多大的震撼與損失?


時間是二○○四年十月二十六日星期二,一項代號名為「行動防火牆」(operation firewall)的逮捕行動展開,目標是專精竊取他人身分資料、截取銀行帳戶資訊以得利的「影子幫」(Shadow Crew)。

這是美國特勤局調查組副主任Brian K. Nagel,和十五位秘密幹員在華盛頓組成高科技指揮中心,準備好要將有史以來最大的網路犯罪幫派一舉成擒。指揮中心牆上掛著十二台價值不菲的液晶螢幕,巨幅的美國地圖上有許多閃爍發光的紅點,顯示影子幫的蹤跡從亞利桑那州橫跨到紐澤西州。幹員已透過秘密管道進入影子幫網站,並長期監看這群人的一舉一動,為了確保嫌犯在家,一個被策反的成員早與大家約好,晚上九點所有人都要上線進行群體會議。

影子幫栽了,成員坐在電腦前被逮

九點整,Nagel下令:「開始行動!」幹員們配備著Sig-Sauer 229手槍,以及MP5半自動機關槍,在各地警力及國際刑警的配合下一擁而入。某種程度上大家都很緊張,因為部分影子幫成員持有武器。整個行動迅速,圓滿結束。有二十八位「影子幫」成員被逮,過程出奇地安靜,就像資訊的傳遞無聲無息,大部分嫌犯都是坐在電腦前束手就擒。幹員並且在一名影子幫成員的公寓內,發現一支已裝填彈藥的長槍。

美國《商業週刊》今年五月發表了這個真實故事的來龍去脈,這樁全球性的網路犯罪影子幫一共販賣了一百七十萬筆偷來的信用卡資料。

根據美國聯邦調查局(FBI)估計,全球在二○○四年間,網路犯罪造成的連帶損失,高達四千億美元(約合新台幣十三兆兩百八十億元),大約是台灣政府八年歲出總預算,其中卻只有五%的網路犯罪行為被查獲或定罪。部分問題在於警方沒有所需武器、資金來反擊對抗。

FBI儘管已將網路犯罪列在第三高的優先目標(第一是恐怖主義,第二是反情報)。但攤開FBI的二○○五會計年度預算,事實上對抗網路犯罪的預算只占三%,其中還包括人事費用。「影子幫」絕非單一事件,事實上,光是今年在全世界各地,駭客擦槍走火的演出就讓司法檢調單位忙到昏頭。專業的網路罪犯在厚利的引誘下,已從業餘、追求刺激的駭客,變成網路上最大的威脅。

一個駭客帝國正悄然成形,他們來無影去無蹤,在彈指間,輕易從企業資料庫竊取智慧財產,賣給競爭者;或者偷走財務資料、顧客資料,論斤計兩在黑市交易;或者在國與國之間兜售軍事情報,他們是地下政府管理者(underground administrator)。一般人不知他們身在何處,卻可能隨時被他們盯上,或者被他們「賣」了仍渾然未覺!由於現在可輕易取得大量工具程式,小駭客們只要從中剪貼部分程式碼,即可用來執行網路「搶劫」。

三井住友銀行遇「駭」,二億二千萬英鎊差點飛了

在英國,今年三月十七日,警方破獲英國歷史上最大金額的銀行盜領案,駭客入侵日本三井住友銀行集團倫敦分行的電腦系統,企圖把二億二千萬英鎊的鉅款(約合新台幣一百三十億元),轉進全球各地十個不同帳戶,情節有如約翰屈伏塔主演的電影《劍魚》。

在美國,六月下旬,駭客鑽進美國信用卡代理公司CardSystems Solutions電腦,偷走二十萬筆信用卡及轉帳卡資料,並取得四千萬戶資料的連結管道。

在南韓,六月上旬,有四名嫌犯利用「駭客軟體」,盜取一位金姓女子銀行的帳號、密碼,和信用卡資料,從受害人帳戶中轉走五千萬韓元(約合新台幣一百五十六萬元)。

在台灣,駭客事件也層出不窮。二月間,刑事局偵九隊破獲國內重大電腦惡意程式犯罪中,十七歲黃姓少年被主嫌利用,花兩個月時間寫出「鍵盤側錄木馬程式」,電腦一旦被植入這個程式,使用者輸入電腦的帳號、密碼,就會遭不定時側錄,再透過電子郵件外傳至主嫌的電子郵件裡。知名線上遊戲「天堂」就因此有千個帳號密碼外洩。
外交部受「駭」,打公文不上網、上網不打公文

七月間,外交部電腦遭駭客入侵,被竊取高官出訪、談判等機密資料。迫使外交部採取「實體隔離」,打公文不上網、上網不打公文。

最讓人覺得不可思議的,則是今年四月駭客入侵大學入學考試中心與國中基測網路,竊取考生資料,並壓成光碟對外販售給補習班,造成上百萬名考生權益受損。此事驚動全國,十九歲的駭客蘇柏榕後來向刑事局警察局偵九隊自首,還好所有考生成績放在一台獨立作業、沒有對外連網的電腦上,才沒有釀成竄改分數的大災。

一個十九歲的男孩,可以如入無人之境的竊取國家資料。社會公平競爭的權威正面臨挑釁、鬆動。

蘇柏榕現於刑事警察局打工,回看他的成長歷程。他在國三時就已經是「小駭客」,當想早點知道成績,入侵國中基測中心網站;他也曾經好奇悠遊卡的製作,入侵過捷運公司瀏覽文件;後來,他更因為想證明自己的技術高超,在二○○三年愚人節前夕於總統府網站留下:「總統府指示,定四月一日愚人節為國定假日」留言。

究竟,駭客的面貌是什麼?他們的想法是什麼?網站不夠安全,八成企業和六成學術單位門戶洞開

記者透過管道進入台灣三大組織駭客最常出沒的聊天室(#chroot),聊天室裡,有台灣最知名的「三巨頭」,當年他們在學生時代因到處「黑」站(即「駭」站,入侵網站之義),曾經接到美國FBI及美國國防部DOD(American Department of Defense)警告,三人目前都已轉型,在重要的資訊安全公司擔任要職,並時常成為市刑大、地檢署、國安局的資安講師。聊天室裡,還有台灣最年輕的十六歲駭客IK,他已是一個號稱有七千位會員組織的領頭。
駭客們指出,早期的駭客找出程式漏洞後,會先告知企業界或軟體公司,等到修補程式推出,才將漏洞公布。這目的是為著分享給更多人,讓程式人員的技術更上一層樓。

對於蘇柏榕「駭」大考中心的手法,駭客們也一清二楚,因為那是一種稱作SQL injection 的入侵方法。所謂的SQL injection是一種最被廣泛使用來測試資料庫程式是否編寫安全的測試方式。一般來說,只要程式設計師的邏輯不夠周延或者一些輸入檢查不夠詳細,就易寫出具漏洞的程式。駭客們便可以利用類似的測試方式,進行入侵。chroot組織表示,目前國內八○%的企業網站和六○%的學術網站,沒有能力解決上述問題。

「之所以會有這樣的問題,因為這些網站大多外包,結標時,提出網站規格的人,沒有能力檢視網站功能是否安全,」駭客Kuon說著,他分析超過兩百套軟體的核心價值,擅長軟體逆向工程、找尋軟體漏洞及網路弱點分析,他認為程式寫得「好」、「功能強」,不代表「安全」,然而這個正確概念並不普遍。

再加上,一個資安人員在企業裡要管不同平台上的數十種服務,每種服務又有不同版本,若是其中有一個環節出現漏洞,資安人員根本無從得知。於是,這就給許多每天積極研究攻擊程式的駭客有了機會,何況,他們常常成群結隊如螞蟻般,伸出頭上觸角,在網上交換心得。

族群概分兩類,白帽樂在入侵、黑帽熱中破壞

有些學生型的駭客,只是動機很單純——交女朋友。駭客南哥分析,如果駭客想交政治大學的女朋友,為了想多了解一點對方的資料,就會入侵政治大學的主機。「我每到一個學校就去『下載』所有師生的資料當我的資料庫,我覺得很正常,是一習慣、見面禮,沒什麼大不了。」二十歲駭客小R說著,接著與他年齡相仿的駭客們人人點頭。
在虛擬社會中,他們是駭客,不露真面目。他們共同的心態都是,只要我進得去的地方,就「可以」進去一探究竟。在行為上,可分為「白帽駭客」(入侵網站後不會有破壞行為)與「黑帽駭客」(black-hat,以破壞、攻擊為樂事,四處尋釁);在實體社會中,他們的身分大多是學生、資訊安全主管,甚至也有醫生。

把持不了的駭客,像是網海中的海盜,他們到處尋寶,蒐集大筆大筆個人資料、帳號及密碼,然後「備份收藏」,將自己的數位倉庫存得滿滿。他們鑽研如何繞道進入網站,他們分析原程式作者的思考邏輯漏洞並一一突破。

甚至,印表機、衛星定位系統、無線上網的筆記型電腦、隨時上網的手機,只要連上網,都能成為駭客利用的工具。將手機的軟體改成監聽軟體,來電時切成靜音、自動接聽,手機就成了竊聽器。在電影裡上演千百遍的情節,都正在現今生活中發生。

理律法律事務所合夥人暨資深律師蔡東賢曾在其著作中分析過駭客入侵網路系統的動機:大致可分為:「追求刺激,挑戰自我」、「無聊好奇,刺探偷窺」、「惡意侵入,故意找碴」、「商業間諜,謀取利益」、「政治訴求,情報蒐集」。

網路犯罪動機,追求金錢利益占了七成

中央警察大學刑事警察學系副教授兼計算機中心主任廖有祿二○○一年出版的論文指出,如果就案例抽樣調查,將網路犯罪動機分類,因圖利、詐財、侵占及盜刷信用卡等金錢利益占比最高,達六九‧五%,已逼近七成,而好玩的動機,只占不到一成(九‧七%),剩下二成才是報復等其他原因。

值得注意的是,從國內外破獲的網路犯罪來看,業餘駭客正開始步向職業化,與犯罪集團的掛鉤體系正在成形。一開始,駭客們可能只是在虛擬的網路世界裡胡作非為,吹噓自己的電腦實力。然而,這幾年駭客正走向組織化,並且為錢做事,他們朝向集團化的模式發展。很大誘因是:「網路上潛藏的金錢誘惑太大,而且風險不高。」

駭站倫理惡化,一手要脅企業、一手賣給有心人

駭客Kuon說,駭客不再像以前,等網路安全業者及系統業者修補方案完成後,在論壇上分享程式漏洞。他們會在第一時間將攻擊程式寫好,一手要脅企業,一手賣給虎視耽耽、只想發動惡意攻擊的黑心駭客,賺兩筆錢。

「原本我找到一個情色網站的漏洞,我要求對方分我三成利潤,對方卻說我們來合作吧,於是我們另外開了一個情色網站,」駭客阿類說,他每個月因此得到三萬元收入。他們稱那些搔首弄姿、架站在大陸與人聊天的「視訊小姐」為「遠距教學」;「情色網站」則是「健康教育網站」;「賭博網站」為「娛樂網站」。

最近他與在網上不打不相識的網友合寫賭博程式。「這程式真美,」他彈了菸灰,雙手一攤。如果這個程式運作成功,一天約有一、兩萬元的淨利!他說,健康教育網站和賭博網站由駭客寫再合適不過,因為這種網站需要極大的安全性。他好心地用勸戒口吻說:「千萬不要上網賭,程式二十四小時有人監控,不會讓你贏的,一次買一千點,會讓你沒感覺慢慢地輸,就算贏也贏最小的。」

阿類去年十二月至今年五月間,得到義大利、越南、泰國等當地駭客提供萬筆的偽卡資料,他知道刷了容易被抓,於是僅保存這筆資料沒有販賣。也曾接到竹科廠商的信,問他是否有興趣偷某企業的科技藍圖。

「我可能結了婚,駭客這條路才會休息。在那之前,若是抓我的話也不害怕,我想我專長能幫忙的事應該會更多喔!」他滿不在乎地說著。資訊不對稱讓掌握資訊的人獲利,網路世界更是如此。如果許多駭客們像一支軍隊一樣,組織起來針對一個目標分進合擊輪番進攻,那又會是什麼樣的光景?

新型恐怖攻擊,無聲無息間癱瘓一個國家

早在一九九九年,中共空軍上校喬良和王湘穗兩人出版了「超限戰」一書,書中寫到:「攻擊的一方秘密入侵美國金融市場,引發金融危機。之後利用電腦病毒和駭客路徑攻擊對方電腦系統,藉以完全癱瘓其民間電力網路、交通派遣網路、金融交易網路、電話通訊網路及大眾傳媒網路。敵方將因此陷入社會恐慌,造成街頭暴動,興起政治危機」。這引起了以美國為主的西方國家重視。

國內業餘軍事研究專家林宗達綜合美方許多專家的判斷,認為中共早就已經形成了以資訊信息戰為主的「高技術條件下的人民戰爭」概念。他認為,今日的網路工程師與業餘玩家,在民族主義與政治信念動員下被組織起來的時候,其作用就相當於半個多世紀以前,中共所倚靠大批群眾遂行的人民戰爭。一旦他們受到指令,針對目標進行不達目的絕不中止的全面滲透與破壞,戰爭慘烈的程度,將不亞於我們所看過的任何一場恐怖攻擊。

最束手無策的就是一般平民老百姓,這個駭客帝國的龐大、震撼、恐怖超出我們的想像,地下管理者也不會在意你是誰,對駭客來說,每個人等同於一串代號和密碼的集合,而他們有所有的名單。

人的一念間決定了他們將來的路,有人走上資訊安全專家,從身手矯捷的俠盜變成威風凜然的捕快;有人永遠無法克制出入無人之境的快感,就像有隱形斗蓬、任意門,或者是殺死不願意再資助研究計畫的隱形人,他們挑戰鞏固建立社會信任的國家安全機制、金融機構,大考中心、總統府、國防部在他們眼中如同芭比娃娃,任意拆卸。

在駭客世界裡,沒有破不了的「密件」,因此駭客自己都不太使用信用卡,在家裡,他們之中至少有一台電腦是不上網的。

當駭客無所不入,肆意闖入的時代來臨,人們能做的就是禁錮自己。因為,你,不再信任銀行,深怕彈指間自己的錢被挪到另一個帳戶;不再信任社會的競賽,因為從學校的成績單,到民間的模特兒選拔的分數都有可能被竄改。如果那一天到來,地球不需要任何武器的摧毀,自動便會退回一百年前的生活。


新聞辭典:駭客hacker
●原意:
指「不同類型電腦專家」。這個字數十年前第一次被使用到現在,一直在改變。

●恭維用法:
在電腦社群裡,指的是出色的程式撰寫者或技術專家。

●貶抑用法:
指電腦入侵者或罪犯,「cracker」(獪客)或「black-hat」(黑帽)也是駭客,但具有負面意義。


摘自 http://www.businessweekly.com.tw/webarticle.php?id=21052&p=1