除了爱国骇客,会为了国家尊严、为了一口气而战以外,其他骇客侵入别人电脑,多半是为了金钱上的报酬。今年资安事件频传,对于最近 Sony 影业被骇事件,芬安全(F-Security)首席研究长(Chief Research Officer)Mikko Hyppönen 认为, Sony 这次事件并非北朝鲜骇客所为,而是犯罪集团在背后,想要赎金赚钱。
芬安全研究总监 Mikko,赴芬安全首次在台举办的资安竞赛-猎骇行动时,对媒体表示,资安的重点在于,让你要保护的东西比其他东西相对安全,就成功了。医疗仪器和行动装罝,已经比一般装置安全了。不过,行动装置由于体积小,很容易掉,增加防护成为需考量的因素。
相对现今的骇客泰半是为了金钱研发恶意软件,政府研发恶意软件,则多半是为了情报目的。除非自己承认,一般国家力量支持的骇客攻击,其实难以确认是谁所为,只能大概推测是谁做的。这次的 Sony 被骇事件,他们留下的韩文踪迹,根据语言学家分析,觉得他们韩文语言能力很差,就像模仿非英语为母语的人讲的拙劣英文。
先前 Mikko 在 TedXGlobal 的演讲提到,现在为了好玩写病毒的骇客已经不多见,多半是犯罪集团为了经济利益而骇别人电脑,想办法侧录用户的信用卡资讯。他们的犯罪所得之多,甚至还能雇用专家,投入资源研发恶意程式。美国警方冻结 Shaileshkumar Jain 在瑞士的账户,发现里面就有 1,490 万美元。这件事情显示犯罪所得相当多,也出得起钱请专家人研发和测试恶意程式。
物联网防骇还不够有价值
Mikko 对最近火红的 IoT 议题,目前资安产业还没有什么可以着力的地方。对于骇客来说,骇 IoT 装置,让这些电器像鬼片那样忽明忽亮吓人,除了恶作剧的用途,对金钱动机的人来说还没有诱因,没办法从中获利。因此保护这些 IoT 装置的方案,由于还没有急迫保护的需求,因此还没有出现。IoT 装置宣称的 Smart device,在他眼中是 Exploit device,能连线操控的状置,连线过去能做好事,意味着坏事也能干。
相较传统的骇客监视被害人的敏感个资,IoT 时代的资安威胁会是不同的形式,如偷装置的运算资源。以今年四、五月的案例,有 8,000 多台的 CCTV 被骇,骇客拿这些装置的运算测,拿去挖虚拟货币 Litecoin。
1999 年 Mikko 曾说,智能手机不久会遭到恶意程式攻击,结果十年之后,手机恶意程式才开始猖獗。Mikko 也不敢说 IoT 何时会成为有价值目标而因此攻击频传。
至于资安公司在行动装置普及的时代能做什么,Mikko 觉得,行动平台的资源受到限制,不太能做像是写程式这种事情。Android 虽然是 Linux 核心,但由于 Android 能调控的选项相当多,相关协力厂商能够高度客制化整个手机,因此安全性不若 Windows Phone 或者 iPhone 安全。智能手机上的安全威胁多是安装恶意 App,而不是用传讯软件用社交工程手法骗用户点击恶意连结。
爆料者的黄金时代
在这个年代,除了资安漏洞,内部的泄密者常常是敏感资料外泄的主因,而且泄密越来越容易了。但有不少的泄密者是吹哨者,为了自己的良心而揭发一些事迹。像是揭漏美国政府大规模监视人民人的 爱德华·史诺登,Mikko 觉得他就相当勇敢,愿意放弃人人称羡的物质条件--待遇优渥的政府差事、美丽夏威夷的房子,还有女朋友的相伴。史诺登为了自己的良知,得放弃这一切,待在莫斯科远离家人和追杀。
到目前为止,WikiLeaks 爆料的吹哨者都没有曝光,保护的相当好。信息时代让吹哨者有个各种安全管道能够安心爆料,而不会被轻易查出踪迹。这些吹哨者的作为,让组织的行事风格要改变,运作不得不更加道德。
芬安全用骇客思维训练员工
芬安全会保护他们产品的顾客,并不预设用户都有足够的资安概念,因此会做好足够保护措施,让产品无感运作。芬安全是芬兰公司,芬兰的国际地位是独立而且处于中立立场,并不是属于俄罗斯、美国、NATO 阵营,消费者对于芬兰出身的芬安全可以放心。
Mikko 对想要走资安领域的人,学校的教育是否足够,学生该怎么加强。由于资安所需要的知识相当专门,像是逆向工程,一般学校并不太着墨,因此芬安全以在职训练的方式训练员工。另一方面攻击手法日新月益,手法技术很多,最重要的是资安的基本概念,还有骇客思维,设身处地,想想骇客会用什么漏洞入侵。
不少资安机构会雇用骇客,来写防护程式。芬安全并不认同这种作法,他们不用另一边的人,因为这些骇客多半为了金钱而侵入系统,心态有问题。
Mikko 提及,Sony 最近在找资安专家,Mikko 的朋友,收到猎人头讯息,直接表明是替 Sony 找资安专家。四年前 Sony 的 CIO 曾说花太多钱在资安上面,如今发生大事可谓风水轮流转。
