網絡中釣大魚
大家一直都很在意網絡安全,因為每天生活都會接觸。手機儲存的個人資料越來越多,而各大公司收集的個人資料也不少。然而,總有公司對IT部門不太重視,到出事時才發現,那時已經太遲。記得去年(2023年)數碼港在8月受黑客攻擊,共有超過13,000名資料當事人的個人資料外洩,當中約四成受影響人士為求職者及已離職僱員[註1]。諷刺的是,那時數碼港剛與警務署合作,發現8成機構或企業有網絡漏洞[註2]。不知這8成,有否包括數碼港公司。
與網絡安全的書的確不少,除了曾介紹的《零時差攻擊》外,最近也閱畢一本類似的書籍,名叫《奇幻熊在網路釣魚》,作者史考特·夏皮羅。網路釣魚相信大家知道是phishing,但「奇幻熊」為何跟網絡安全有關?因為奇幻熊(Fancy Bear)是一個俄羅斯網絡間諜組織,對不少國會發動網絡攻擊[註3],他們的得意之作,要數以電郵來影響美國2016年總統大選。
作者在書中有分析奇幻熊如何成功竊取大量資料,但這只是其中一個案例。作者先從最早的案例,開始講述什麼「東西」會影響網絡安全。第一個是電腦蠕蟲。電腦蠕蟲是一種能自我複製的程式,當電腦中了蠕蟲,它能影響電腦的效能。原來,當年曾有一個人,將一條蠕蟲放到網絡上,看它的影響力。這人叫莫里斯,他和他的朋友視此為「天才計劃」(Billiant Project)[註4]。當莫里斯在康乃爾大學,以遠端登入麻省理工學院的電腦,將蠕蟲放入網路,網路果然如他們所料,大受影響。但是莫里斯以為,一覺醒來,什麼事都回復正常,然而當他第二天醒來,惡夢不但沒有完結,而是四處肆虐。
我在讀這段歷史時,不斷暗罵「癡線」,因為他可以在測試環境下試驗,而他竟然選在真實環境。除了「白癡」外,真不知用什麼形容詞來形容。這場第一次網絡「中毒」案,最終花了兩天才殺光蠕蟲。有參與這次「搶救行動」的專家說,他發現那些電腦有如被浸死在水中(These machines were dead in the water—useless until disinfected)。莫里斯最後因《電腦欺詐及濫用法案》被起訴並被判3年緩刑、400小時社區服務及10,000美元罰金,成為這法案被起訴的第一人。除了這「莫里斯蠕蟲」案例外,他也一一講述大型的網路攻擊案例,例如病毒、釣魚電郵,如何使網絡搞垮。
不論奇幻熊,或者十六歲少年入侵Paris Hilton的手機而將她的個資、裸照放上網等事件,都在利用大家的惰性。比如Paris Hilton的入侵手機案例,網絡公司的驗證程式漏洞大到不可思議。至於奇幻熊,他們利用那些奇怪短訊,讓人不以為意按下並「自動」提供資料。這跟南韓的N號房一樣,犯罪者透過釣魚技術來入侵受害人手機。
作者有提出他的「解決」方法,主要仍離不開人的問題。比如為什麼公司要拿了那麼多個資?比如那些大型網站都要求訪客成為會員,而要填寫的個資比實際要用的更多。當一間公司擁有那麼多個資,很容易成為黑客的目標。另一方面,對於一些電郵/訊息,要小心處理。實在太多似是而非的網址,比如很多人收到聲稱來是WhatsApp的訊息,說會兩小時內封鎖帳號,但如果你留心看,會發現英文字母”W”,其是”VV”,又或者”WhatApp”,少了英文字母”s”。
這本書頁數不少(400多頁),份量重。然而對IT不熟悉的人來說,並不會感到困難乏味。作者的文字淺白,仔細解釋那些電腦名詞,並加入圖表作輔助。他大概明白讀者有如當年參與莫里斯案的陪審員,對網絡這東西是「一堆問號」。而以歷史角度為切入點看網絡罪行發展,並以此理解網絡安全,甚為有趣。
~~~~~~~~~~~~~~
[註1]私隱專員公署發表有關數碼港資料外洩事故的調查報告(私隱專員公署)——https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20240402.html
[註2]【數碼港】8月中遭黑客入侵 逾400Gb資料網售235萬(wepro180)——https://www.wepro180.com/230907_cyberport/
[註3]奇幻熊(維基百科)——https://zh.wikipedia.org/wiki/%E5%A5%87%E5%B9%BB%E7%86%8A
[註4]Morris worm(維基百科)——
https://en.wikipedia.org/wiki/Morris_worm
《奇幻熊在網路釣魚》(博客來)——
https://www.books.com.tw/products/0010969080