零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相This Is How They Tell Me the World Ends: The Cyberweapons Arms Race
作者: 妮可·柏勒斯(Nicole Perlroth)
出版社:麥田
原來犯罪影集裡看到的都是真的
合上書的時候還驚魂未定,不是因為資安或電腦術語,而是書裡超驚悚的故事,在此刻平行時空裡竟然有這樣的事,原來在美國犯罪影集(FBI、CSI-cyber、NCIS等)裡看到的都是真的。好險後來在書店看了另一本書,驚恐感才降低了些,在《奇幻熊在網路釣魚》提到這些網路臭蟲攻擊是非常針對性的,必須在特定的機制下才能發揮極大的連鎖效應,例如癱瘓交通,電力網(俄國對烏克蘭),或破壞伊朗的鈾提煉離心機(美國和以色列聯手)等。
網路上的間諜活動
《零時差攻擊》從歷史發展及事件多種面向,來介紹駭客、軟體存在可被利用的安全漏洞、網路戰爭這個產業,其中大篇幅的提到有些國家政府單位收集程式的漏洞後保留著,而非及時通知供應商如microsoft、google、甲骨文等(使用者以億計算的應用程式),修改為間諜武器,將「軟體漏洞」轉變為「地表最強武器」。一開始是做為"維護"國家安全的工具,以及早得知情資應對可能的恐怖攻擊,但遭到洩露在網路世界流通後,更成為偷取商業機密,攻擊企業安全網以勒索贖金,或更可能成為無視人權的專制極權政府用來監視人民的工具。各國為了國家安全在網路上從事間諜行為,乃至於商業機密的偷取,早已不是新聞。
就在你我身邊
也許利用零時差攻擊是具有特定性,然而僅僅是利用釣魚網站偷取資料庫裡的個資,個人email、訊息、銀行帳密...等,造成的影響也足夠讓一般民眾日子難過了。更別說是搭配社群媒體對類型群眾操作心理戰,投放偏頗資訊、農場文章、廣告或不實的假消息...等以分化群眾達成特定目的,例如選舉操作。
這已經發生過了,2016美國總統選戰,希拉芯的選情即是因為郵件被(據調查為來自俄羅斯的fancy bear)入侵外洩急轉直下,這也是導致她敗選的重要因素之一。
而台積電也曾被wanna cry入侵而勒索,好在來自北韓的這支病毒做得不夠好而未造成太大傷害。那是2017我還在電子產業,不久後公司開始一連串的網路安全宣導及釣魚信件演習,美國客戶更來飛來公司,討論達到標準的做法,並限期達成軟硬體資訊安全的強化,如資料儲存在有限制的網域及USB存取管控。回頭想起來,大約就是書中寫到網路臭蟲入侵爆發的原因。
但這是500大的企業,因為生產國際品牌的電腦資訊設備才被以這樣子高標準的要求,相信關係到民生荷包最重要的金融業的資安標準"應該"也已經很前沿了。但除了網銀之外,每天我們在使用的各類需登入的APP或網站,雙因素認證的比例還不算很高,台灣也較少提到網攻的新聞,而事實上紐約時報作者Nicole Perlroth所言不假,網路攻擊已經多不勝數,根據的IT Governance網站統計2023光是資料外洩的事作就超過1千4百件,資料數則是超過50億筆。
日常生活中感覺週遭的朋友包括我自己,對網路使用上的資訊安全觀念還不能算是很有意識,例如曾遇過利用IoT連網應用的創業團隊,在機器連上網的掃瞄QR code 登入的概念討論上,即認為不需特別機制以一組萬用帳密登入執行連網即可。聽到這樣的說法總感覺有些不安,但因為也沒有足夠的資安知識,也不能確定是否妥當。
台灣一定有些企業、組織或個人,因為基本功能足夠所需,仍在使用老舊的電腦作業系統,或許供應商也已不再更新這些軟體了,在萬物連網的時代,會不會哪天資料外洩或網路入侵就從這些地方進入呢?想到就又害怕了起來。
