零時差攻擊|當有攻擊者要入侵您的電腦,任何防毒軟體都是沒有用的

更新於 2021/11/10閱讀時間約 5 分鐘

資安攻防的兩個零—零時差與零信任

吳其勳 /iThome總編輯、臺灣資安大會主席
十年前我採訪資安新聞時,曾有一位白帽駭客專家對我說:「如果攻擊者真要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒有用,裝了等於沒裝。
我原以為這只是他藉機嘲諷防毒軟體廠商的一句玩笑話,畢竟當時一般個人電腦的資安防護,主要就是靠防毒軟體過濾電腦病毒,以避免電腦中毒。所以我很納悶地問:「裝了防毒軟體也無效!難道可以不採取任何防護措施嗎?」
這位白帽駭客進一步說道:「如果中國網軍鎖定要入侵你的電腦,他們會利用世人都還不知道的軟體漏洞,開發出連防毒軟體都無法辨識的新型攻擊程式,直接就穿越防毒軟體,堂而皇之的入侵電腦。」
後來我才逐漸理解,他的本意並非要我解除防毒軟體,而是提醒零時差漏洞這種資安威脅的存在與其嚴重性。

什麼是零時差漏洞?

所謂的零時差漏洞,是指軟體存在可被利用的安全漏洞,然而多數人、包括該軟體開發者與供應商卻對漏洞的存在一無所悉。從零時差漏洞的生命週期來看,一開始軟體開發者寫好了程式,而程式碼存在一些錯誤(這其實是尋常的事);然而這些錯誤並不影響程式運作,因此連程式開發者自己都未察覺,可想而知,使用者更不會知道這些漏洞的存在。
但是,可能在某一天,這個軟體錯誤被人發現了,心存善意的發現者,會通知軟體開發者,以提供使用者修補更新程式。但若是遇到心懷不軌的人,例如別有居心的網軍、黑帽駭客或網路犯罪組織,他們就可能投入研究該漏洞是否有機可乘,一旦發現利用價值很高,例如可藉此入侵大多數人使用的微軟視窗作業系統或蘋果iOS作業系統,駭客便會進一步設計攻擊程式,利用這個漏洞入侵電腦。而只要這個漏洞尚未曝光,網路攻擊便能持續進行,這就是零時差漏洞。

恐將引發戰爭的核彈級武器

駭客擁有零時差漏洞就可以神不知鬼不覺地進出電腦,控制被駭的電腦,可能長期潛伏在電腦裏監聽使用者的一舉一動、持續竊取電腦裏的機密資料,或是挾持電腦作為發動其它攻擊的傀儡工具,甚至是綁架檔案進行勒索,或摧毀整臺電腦的檔案。而這一切攻擊,都要等到有人也發現了這個程式漏洞,提報給軟體開發者,待修補程式釋出後,針對這個漏洞的攻擊才會失效。然而若使用者不予理會或不知道要安裝修補程式,那麼駭客的攻擊仍然會繼續得逞。
隨著最近幾年資安攻擊事件層出不窮,攻擊手法也日益詭譎多變,我才逐漸理解十年前這位白帽駭客沒有直接點明的事:利用軟體漏洞可以發展出網路武器,而網路武器庫裏的核彈級武器,就是零時差漏洞。
網路戰爭的型態有別於傳統戰爭,傳統戰爭的攻擊武器主要是破壞實體,但網路攻擊武器卻是利用軟體漏洞入侵與控制電腦,進而控制與破壞仰賴電腦運作的設備與系統。現今我們生活周遭,從食衣住行育樂到國防軍事,從宇宙的衛星太空船到人手一機的智慧型手機,無一不是依靠晶片、軟體與網路在運行,而這些都是網路武器可以悄然無聲攻擊的目標。近年來,天天目睹網路攻擊與地下漏洞交易的資安專家,紛紛敲響警鐘:網路戰爭即將觸發第三次世界大戰。然而就如同我過往的經驗一樣,當我們每天尚能如常上網、聊天、追劇,未曾親身感受到網路攻擊的威脅,其實很難想像零時差漏洞會對未來的生活造成多大的影響。
值此之際,《零時差攻擊》一書的問世,以第一手調查報導揭露零時差漏洞的地下經濟,帶我們正視零時差攻擊可能對世界造成不可逆轉的衝擊,就顯得格外重要。

遵奉零信任原則

紐約時報資深資安記者妮可.柏勒斯懷著她對零時差漏洞的好奇,發揮記者追查真相的天性,以長達七年的時間追蹤零時差漏洞市場。期間她採訪超過三百位專家學者、駭客、零時差漏洞掮客與國安官員等,更走遍全世界好幾個國家,一點一滴挖掘出原本難以窺視的零時差地下經濟,不僅讓世人得以一窺神祕的零時差漏洞市場,更帶領讀者探究許多國家為了掌握網路戰場的致勝優勢,而不惜斥資收購與儲備零時差漏洞的現象。這種種作為到底真正保障了國家安全,還是反而助長零時差攻擊走向更偏激的道路?
此外,本書內容的驚悚程度,絕對有助於喚醒大眾對於零時差漏洞日漸失控的警覺,然而驚嚇之餘不免感嘆,難道我們的未來只能任由零時差攻擊擺布嗎?
借鏡此刻全球對抗 COVID-19的經驗,會發現零時差漏洞與新冠病毒有其共通之處。在疫苗與治療藥物尚未問世前,COVID-19 如同人類的零時差病毒,那麼當時為何臺灣能夠成功抵禦病毒入侵呢?其中一個重要關鍵,就是持續落實勤洗手、戴口罩、保持社交距離,設下一道道防線。這樣的防疫觀念其實與資安業界近來積極推動的零信任(Zero Trust)理念「絕不信任,一律驗證」不謀而合。零信任資安不預設信任,針對每個用戶、每個裝置的每一次行為,唯有經過驗證,才賦予適當權限。透過縮小信任空間、增加驗證頻率,以及適時適當的授權。若我們逐步落實零信任的精神,或許就可以逐漸削弱零時差攻擊的火力,有朝一日成功抑制零時差漏洞。
資安一直被視為專業技術領域,資安書籍也往往因為技術名詞令大眾卻步。本書作者以淺顯易懂的文字與第一人稱敘述方式撰寫,雖然有些描述看在資安專家眼裏或許不夠精準,卻更能吸引一般大眾。本書將帶領讀者一步步深入不為人知的零時差市場,一頁頁揭開零時差攻擊的神祕面紗,讓讀者宛如置身諜報電影,在不知不覺中親近資安議題,進而喚起其資安意識。

  • 書名:《零時差攻擊》
  • 作者:妮可.柏勒斯
  • 出版社:麥田出版
  • 出版時間:2021/10/02

作者簡介

妮可.柏勒斯Nicole Perlroth
《紐約時報》網路安全線10年資深記者
美國財經編輯與記者協會頒發的最佳科技報導獎得主
為什麼會看到廣告
avatar-img
41會員
67內容數
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
麥田出版的沙龍 的其他內容
今日學者的待遇和他們判若雲泥。激烈的市場競爭和高學費,打造出高檔的教學空間、昂貴的運動設備和舒適的住宿環境。雖然國際教育不分年齡和教育程度,但有志出國進修的人的主要目標仍是高等教育..
新手應該由長篇小說家開始當起,這是一個激進的建議。聽到這個建議的人一定是自然而然地立即提出可能的反駁,我們來看看最容易想得到的幾個問題。寫長篇小說不是比寫短篇故事更難嗎?
毛的幼年無憂無慮。他在母親娘家住到八歲,外婆將他視為心頭肉,兩個舅舅舅母拿他當自己兒子看待,一個舅舅作了他的「乾爹」。在文家,毛做些輕鬆的農活,有時在芭蕉塘邊的油茶林裡割草放牛。他也開始識字,晚間,舅媽在油燈下紡線,毛坐在她身旁看書。毛後來說他十分眷念那些日子。
爸媽把這塊空間當儲藏室,那場火燒毀了媽媽的很多份文件,可是遺留下來的文件─多年來一直擺在我們眼前的文件─此時鋪散在一張掉漆的工作桌上,敘說一段爸爸不想聽的故事。
醫生冷漠地拿走我眼前的綠茶,換上一杯有奶泡的摩卡咖啡,我不想喝,但最後還是拿起杯子喝了一口,全身瞬間變得溫暖,走進中心大約三十分鐘以來就像笨蛋一樣頻頻發抖的狀況,因而停止。
中國即將成為什麼樣的國家?我們都知道,這個國家的人口會非常多,而且若以目前的趨勢持續下去,經濟會很強大、軍事也會很強盛。但是,這個超級強國的表現又會如何?它會怎麼對待其人民、鄰國,以及世界其他國家?
今日學者的待遇和他們判若雲泥。激烈的市場競爭和高學費,打造出高檔的教學空間、昂貴的運動設備和舒適的住宿環境。雖然國際教育不分年齡和教育程度,但有志出國進修的人的主要目標仍是高等教育..
新手應該由長篇小說家開始當起,這是一個激進的建議。聽到這個建議的人一定是自然而然地立即提出可能的反駁,我們來看看最容易想得到的幾個問題。寫長篇小說不是比寫短篇故事更難嗎?
毛的幼年無憂無慮。他在母親娘家住到八歲,外婆將他視為心頭肉,兩個舅舅舅母拿他當自己兒子看待,一個舅舅作了他的「乾爹」。在文家,毛做些輕鬆的農活,有時在芭蕉塘邊的油茶林裡割草放牛。他也開始識字,晚間,舅媽在油燈下紡線,毛坐在她身旁看書。毛後來說他十分眷念那些日子。
爸媽把這塊空間當儲藏室,那場火燒毀了媽媽的很多份文件,可是遺留下來的文件─多年來一直擺在我們眼前的文件─此時鋪散在一張掉漆的工作桌上,敘說一段爸爸不想聽的故事。
醫生冷漠地拿走我眼前的綠茶,換上一杯有奶泡的摩卡咖啡,我不想喝,但最後還是拿起杯子喝了一口,全身瞬間變得溫暖,走進中心大約三十分鐘以來就像笨蛋一樣頻頻發抖的狀況,因而停止。
中國即將成為什麼樣的國家?我們都知道,這個國家的人口會非常多,而且若以目前的趨勢持續下去,經濟會很強大、軍事也會很強盛。但是,這個超級強國的表現又會如何?它會怎麼對待其人民、鄰國,以及世界其他國家?
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
導讀:中文三A 陳品靜 導讀作品:《時光莖》 導讀篇章:〈口交詠嘆調〉、〈在巴黎,我亞洲的身體〉 作者:林佑軒 出版:時報出版 出版日期:2021/01/26 林佑軒,寫作者、翻譯人。臺灣大學畢業,巴黎第八大學文學創作碩士修業中。 曾獲聯合報文學獎小說大獎、臺北文學獎小說首獎、臺大文學獎小說首獎等項
Thumbnail
網上銀行:一個創新同監控角力嘅場地 要數銀行內年紀最細嘅部門,網上銀行或數碼銀行應該佔一席位。或者你會以為喺呢個部門入面做嘢好 hip 好 chill 好 Tim Cook ,不過,喺架構龐大、傳統文化根深蒂固嘅銀行入面,要畀創新科技落地生根、開枝散葉,難度遠比你想象中更高。 如果要為銀行進駐網上設
Thumbnail
自動化平台:理所當然嘅便利,背後係精心計算嘅流程同佈局 要數近年金融界最「性感」嘅名詞,絕對唔少得「金融科技」 (Fintech)。或者今時今日要玩到 QR Code 支付、用手機號碼取代銀行戶口號碼作為轉賬嘅記認先至夠高科技。但如果時光倒流到八十年代,「自動櫃員機」 (Automatic Tell
Thumbnail
電話銀行:喺聽筒嘅另一邊服務緊你嘅,其實都係一個人 喺未有互聯網、電郵以至手機 app 之前,電話應該係除咗面對面之前,最方便快捷嘅聯絡方法。唔方便行落分行排隊,咪打個電話搵職員問嘢囉。好合乎邏輯嘅。 其實,每一間銀行嘅分行都有電話號碼,差在你知唔知道。如果每個街客都有分行電話號碼喺手,郁啲唔埋就撥
Thumbnail
分行:個個都去過分行,唔通個個都知道分行做乜咩? 分行,係一般人對銀行嘅第一印象。以前銀行門口往往有幾級樓梯要你行上去,仲要避過把關嘅持槍保安凌厲嘅目光,先至入到去好多櫃位嘅大堂。分行職員大部份都穿著制服,男嘅打呔、女嘅戴條絲巾,個個數銀紙都係摩打手,鈔票翻起嘅聲音仲要鏗鏘嘹亮,自己返屋企攞啲利是錢
Thumbnail
如果你問我,香港人睇得最多係咩書,我會毫不猶豫答你「天書」。幾乎喺每個成長階段,都有專家或者過來人撰寫嘅天書為大家指點迷津。小學升中學固然有天書,中學考公開試又有天書,升大學揀科更加大把天書。差在係以書籍、專欄、網媒、抑或係小冊子形式出現。冇錯,到你為人父母嗰陣,你又會為子女報讀幼稚園而睇天書。 係
Thumbnail
《The Miracle Morning》 改變從行動開始! 想著自己每天花一點時間先觀照、鼓勵自我,就是件愉快的事。
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
導讀:中文三A 陳品靜 導讀作品:《時光莖》 導讀篇章:〈口交詠嘆調〉、〈在巴黎,我亞洲的身體〉 作者:林佑軒 出版:時報出版 出版日期:2021/01/26 林佑軒,寫作者、翻譯人。臺灣大學畢業,巴黎第八大學文學創作碩士修業中。 曾獲聯合報文學獎小說大獎、臺北文學獎小說首獎、臺大文學獎小說首獎等項
Thumbnail
網上銀行:一個創新同監控角力嘅場地 要數銀行內年紀最細嘅部門,網上銀行或數碼銀行應該佔一席位。或者你會以為喺呢個部門入面做嘢好 hip 好 chill 好 Tim Cook ,不過,喺架構龐大、傳統文化根深蒂固嘅銀行入面,要畀創新科技落地生根、開枝散葉,難度遠比你想象中更高。 如果要為銀行進駐網上設
Thumbnail
自動化平台:理所當然嘅便利,背後係精心計算嘅流程同佈局 要數近年金融界最「性感」嘅名詞,絕對唔少得「金融科技」 (Fintech)。或者今時今日要玩到 QR Code 支付、用手機號碼取代銀行戶口號碼作為轉賬嘅記認先至夠高科技。但如果時光倒流到八十年代,「自動櫃員機」 (Automatic Tell
Thumbnail
電話銀行:喺聽筒嘅另一邊服務緊你嘅,其實都係一個人 喺未有互聯網、電郵以至手機 app 之前,電話應該係除咗面對面之前,最方便快捷嘅聯絡方法。唔方便行落分行排隊,咪打個電話搵職員問嘢囉。好合乎邏輯嘅。 其實,每一間銀行嘅分行都有電話號碼,差在你知唔知道。如果每個街客都有分行電話號碼喺手,郁啲唔埋就撥
Thumbnail
分行:個個都去過分行,唔通個個都知道分行做乜咩? 分行,係一般人對銀行嘅第一印象。以前銀行門口往往有幾級樓梯要你行上去,仲要避過把關嘅持槍保安凌厲嘅目光,先至入到去好多櫃位嘅大堂。分行職員大部份都穿著制服,男嘅打呔、女嘅戴條絲巾,個個數銀紙都係摩打手,鈔票翻起嘅聲音仲要鏗鏘嘹亮,自己返屋企攞啲利是錢
Thumbnail
如果你問我,香港人睇得最多係咩書,我會毫不猶豫答你「天書」。幾乎喺每個成長階段,都有專家或者過來人撰寫嘅天書為大家指點迷津。小學升中學固然有天書,中學考公開試又有天書,升大學揀科更加大把天書。差在係以書籍、專欄、網媒、抑或係小冊子形式出現。冇錯,到你為人父母嗰陣,你又會為子女報讀幼稚園而睇天書。 係
Thumbnail
《The Miracle Morning》 改變從行動開始! 想著自己每天花一點時間先觀照、鼓勵自我,就是件愉快的事。