科創講堂

駭客攻防戰

講者/孫宏民(清華大學資訊工程系教授兼資訊系統與應用研究所所長)

撰文/整理/科學人

科創講堂

駭客攻防戰

講者/孫宏民(清華大學資訊工程系教授兼資訊系統與應用研究所所長)

撰文/整理/科學人


大家都知道駭客,但駭客其實還分兩種。黑帽駭客是以利益為導向,專門尋找系統或程式漏洞,會入侵網站與裝置,竊取個人資料,牟取不當的利益。黑帽駭客對金錢特別有興趣,例如在2016年,台灣曾發生銀行ATM被駭事件,多台ATM在駭客操控之下自動吐鈔,讓銀行損失不貲。


相對於黑帽駭客的行徑,孫宏民比喻,白帽駭客像是「站在正義的一方」,他們具有駭客的知識與能力,了解駭客的手法,能夠修補網站漏洞與程式漏洞,阻絕黑帽駭客的攻擊。一般而言,公司裡的系統管理員就屬於白帽駭客。相對於黑帽駭客的攻擊角色,白帽駭客扮演的是「守」的角色。


駭客手法推陳出新


駭客會使用的手段很多,其一是社交工程。例如,他們會佯裝資訊人員、銀行人員、委外廠商或上級單位,藉機騙取帳號密碼。他們也可能藉由偽裝的工具檔案、圖片,或電子郵件夾檔,讓使用者點擊後安裝惡意程式碼,藉此監控你的一舉一動,趁你登入網站時竊取帳號密碼。此外,他們也會利用即時通訊軟體(如MSN或Line)佯裝成你的親友,誘騙你點選訊息中的惡意連結。


社交工程就是利用人性弱點來騙取機敏資料,有效預防方法如下:不未經確認即提供資料、不開啟來路不明的連結或檔案、不登入未經確認的網站、不下載非法軟體或檔案。


關於個資隱私,台灣在2012年開始實施個人資料保護法,企業不得外洩個人資料,違者罰款,且可能有刑事責任。但個資外洩在全世界都非常頻繁。例如在2012年,Dropbox有6800多萬筆帳密外洩,Yahoo在2013年承認有30億帳號與密碼被駭。在個資隱私經常遭受威脅的今天,我們如何自保呢?孫宏民建議:不使用弱密碼、不使用單一密碼、定期更換密碼、使用兩階段認證。


2017年5月12日,全球有幾十萬台電腦中了加密勒索軟體的毒,台灣成為重災區,讓國人記憶猶新。駭客利用作業系統的漏洞,入侵企業或個人電腦,進行檔案加密之後要求受害者付出比特幣當贖金。孫宏民說:「駭客精明之處在於,發動攻擊前先買了大量比特幣,再趁受害者購買時以高價賣出,,之後又收到比特幣贖金後,雙重獲利。」


勒索軟體有很多感染途徑,即使你不做任何事也可能受到攻擊,有效防禦除了不隨便點連結,不隨便下載檔案之外,記得定期更新系統、軟體,以及備份資料。中了勒索軟體也要保持冷靜,因為有些勒索軟體即使支付贖金也拿不回資料。


下一個目標:物聯網


現在物聯網興起,任何連上網路的裝置都可能遭駭客覬覦,物聯網安全遂成為最新的資安課題。之前就有條新聞:台灣有上百支監視器畫面外流,全球直播看光光。


面對這樣的威脅,我們應做好預防措施:不使用來路不明的裝置、定期更新韌體、不直接連網,使用內網保護、不使用沒登入機制的裝置,以及不使用預設的帳號密碼。


研究資安,必須知己知彼、能攻能守,孫宏民主持的研究室就研發出破解勒索軟體的辦法,他透過影片示範如何假冒GPS訊號(GPS spoofing)。孫宏民開玩笑地說,假冒GPS除了可以拿來玩寶可夢(到異地抓怪),對Amazon正在發展的無人機(drone)送貨也是項威脅。可見駭客攻防是一場必須與時俱進的戰爭。


《科學人》雜誌的延伸閱讀:

〈無人飛機駭處多〉科學人2013年12月



更多相關文章

2018年9月199期腦中第七感 雜誌訂閱

本期最新文章