2011年8月7日 星期日

資訊安全需要的是文化, 不是產品 -- 漫談國科會反駭計畫與 Shady RAT 入侵事件

朋友轉來國科會的計畫徵求公告: 國科會100年度系統安全保證及反駭客控制技術研發專案計畫, 希望學界開發軟體防駭; 其中特別強調要防範殭屍網路 (botnet)。 另一方面, 正好最近資安公司 McAfee 揭露一椿連續五年危害全球 72 個組織的入侵事件 Operation Shady RAT (暗鼠行動)。 掌握國家資訊科技資源與決策的大老們, 可以從本案學到一點教訓嗎?

Security is a process, not a product. -- Bruce Schneier
安全措施的重點在於流程, 而不在於產品。 -- 資訊安全專家 Bruce Schneier
"Security culture" is the official and unofficial, formal and informal behaviors, attitudes, perceptions, strategies, rules, policies, and practices associated with security. There is a consensus among security experts that a healthy security culture is required for effective security. -- Roger Johnston
"安全文化" 事關行為、 態度、 認知、 策略、 規則、 政策、 習慣。 不僅包含官方的、 正式的要求, 也包含個人的上述一切。 安全專家普遍認為真正的安全仰仗於健康的安全文化。 -- 美國阿貢 (Argonne) 國家實驗室安全漏洞評估組創辦人 Roger Johnston

今年年初就曾寫過這一篇: 「大家都看不見 世界就很安全? Security by Obscurity 的資訊安全觀無法解釋 Windows 殭屍網路的泛濫」。 摘要其中一些相關重點:

  1. 殭屍網路的最重要傳染途徑, 就是 IE。
  2. IE 的中鏢率是 Firefox 的 1.7 倍左右。
  3. 採用 Linux 作業系統的桌機, 中鏢率是零; Windows 電腦的中鏢率疑似高達 25%。
  4. 類似生物多樣性的 「作業系統/瀏覽器多元化」, 有助於提升網路社會整體的資訊安全。
  5. 資訊安全對於 「文化」 的仰賴, 遠遠超過對於 「產品」 的仰賴。

(謎之音: 大老們不愛聽的聲音, 就算重播十次也沒用啊! 改播一點大老們喜歡聽的聲音吧。) 再請資訊界的大老們看一下微軟的建議: How to better protect your PC with botnet protection and avoid malware 所說的:

  1. 安裝防毒軟體
  2. 經常更新軟體
  3. 採用強效密碼
  4. 不要關掉防火牆
  5. 慎用隨身碟

其中兩項我有小小不同的意見: 「更新軟體」 若涉及資料被綁架 -- 例如 MS Office -- 應該乾脆 改用另一套軟體; 至於隨身碟, 那是因為在 windows 下, 所以有中毒風險, 若是直接用隨身碟開機, 反而變成 百毒不侵。 除了這兩點之外, 對於不幸必須繼續曝露在 25% 中鏢風險的 windows 用戶而言, 微軟的建議其實相當中肯。 尤其是 招引殭屍上身的 IE6, 更應早早揚棄 -- 這也符合 微軟的建議。 (謎之音: 引用微軟的資料給資訊學術產業大老們聽, 這樣就上道了。) 「IE6 用戶比較笨」? 這固然是一個沒有科學根據的惡作劇; 但也可能真實地反映了大眾心中的印象。 (要不然為什麼那麼多主流媒體還有格主在下也都一起被騙?)

所以, 容我在微軟的建議最前面補充一條: 選用安全性較高的替代軟體。 大學不敢談的資訊安全問題 -- 破敗的舊版 IE -- 需要資訊界的大老們拿出道德勇氣來談論。 單單是大老們出來 「談論」 這個議題, 提升大眾的資訊安全意識, 所帶來的效益可能就遠遠超過開發任何軟體。

不過就算是所有人都改用比較安全的 linux 與 比較安全的 chrome 並且裝上 tripwire 防護, 也不能確保百分之百安全。 Security is a process, not a product. 殭屍網路也不過是資安問題的一角而已。 下面要舉的例子不是殭屍網路; 它攻破的第一道門也不是瀏覽器而是辦公軟體。 雖然它還是發生在微軟的產品上面, 但若用戶習慣不改, 同樣的入侵手法將來也可以複製於 OpenOffice.org 上或 linux 上 -- 例如越來越熱門的 android。

最近資安公司 McAfee 公佈一份 暗鼠行動 (Operation: Shady RAT) 的報告 (中文相關報導) 指出過去五年來, 有一個組織透過 e-mail 夾帶 Office 文件檔, 入侵全球72組織當中, 竊取資料傳回該組織網站。 受害者包含臺、 韓、 越、 印、 美、 加等國的政府機關; 聯合國、 東南亞國協、 奧運委員會、 倡議民主的非營利組織等等。 看來入侵行為似乎並非以金錢利益為主要動機。 背後到底是誰主使, 眾說紛云 連 McAfee 自己一家都說不清楚, 這個問題的答案, 大家就自己猜吧; 但那不是本文的重點。 另一家資安公司賽門鐵克 詳細描述攻擊步驟 並指出: 入侵者利用的, 多半是舊的漏洞, 談不上高深的技術。 有趣的是, 連入侵者本身都欠缺資安觀念 -- 他們甚至把 「誰是受害者」 的資訊都貼在自己的網站上 :-)

如何避免這類的攻擊? 賽門鐵克再度重複上面提過的許多良好使用習慣。 (容我不再為忙碌的資訊大老們複述一遍。)

追求資訊安全, 開發不是重點, 產品不能解決問題。 如果推出產品安裝在全國網路上就可以解決問題 (不用全部解決; 部分解決就好), 那麼遭受類似攻擊最多的美國早就這麼做了。 為什麼美國不做? 就是因為從這個角度切入, 不僅無法有效解決問題, 甚至可能帶來更多不良副作用。 從國科會徵求計畫的文件看來, 他們似乎想從改變網路底層著手。 但如果不小心方向錯誤, 破壞了 網路中立性, 甚至發展出 侵犯隱私的深度封包檢測 (Deep Packet Inspection) 技術, 並強制安裝在學術網路骨幹, 類似 綠壩 或其進化版 藍盾 一樣由某單位集中管控, 背離網際網路基本原則 end-to-end principle, 那麼大眾可能未蒙其利, 先受其害, 後果將更令人擔憂。 尤其是今日資訊學術產業的詭譎氣氛之下, 大家都不太懂 CIO 和資訊教授的心, 更令人擔憂將來這些軟體服務的對象到底會是誰? 不過這些議題太技術; 而且國科會計畫的成果也未必一定走這條路 (機會還蠻大的就是了), 這裡就先點到為止。

追求資訊安全, 我們最需要的是改變使用電腦的 文化。 例如改而追求多元化。 改用安全的軟體並不意謂著所有人都應該用同一個版本的 linux, 而是鼓勵大眾各自採用不同的安全版本, 造成類似生物多樣化的效果 ( Schneier 專訪; O'Donnell 與 Sethu 的學術論文摘要)。 為了實現軟體生態多元化, 大眾需要知道 允許不同, 才是相容、 需要知道 開放檔案格式 不等於 自由軟體。 例如許多人被迫用 IE6, 其實並不是自己不聰明, 而是被觀念錯誤的 自殘的網站 陷害, 因為這些網站指定特定廠牌甚至特定版本的軟體, 誤把 「相同」 當做 「相容」。 拜 SEO 風潮之賜, 網頁設計界終於逐漸接受 「允許不同, 才是相容」 的概念; 但在文書處理界 -- 尤其是在 「以學生為盜版人肉地雷」 「與雲端趨勢脫節」 的 Office 證照卓越大學 -- 大多數資訊教授們對於 「相同」 和 「相容」 的概念, 完全不及格。 避免採用暗藏專利地雷的 docx 檔案格式, 讓文書處理軟體多元化, 也有助於降低 「同一惡意入侵事件重擊社會整體」 的機會。

除了上面微軟和賽門鐵克的建議之外, 自我稽核檢測也是一個重要的方法。 政府不妨學 美國政府僱用入侵高手 -- 不是僱來攻擊他人, 而是請他入侵政府自己的重要網站, 找出自身的弱點。 他們才是真正最了解資安問題的人; 至於年輕的大學資訊教授們, 都已經被 獨尊論文的學術瘋氣 壓得喘不過氣來了, 哪裡還有時間玩這些無助於論文升等的 "雕蟲小技" 呢? (然後像我這種可以擺爛也不會丟掉飯碗的老賊, 已經沒力氣研究沒文件的東西了。)

企圖以產品而非文化來解決資安問題, 是一個錯誤的決定; 但其實也不能怪國科會。 國科會資訊學門的屬性, 似乎向來就是開發; 他們只是在自己的業務範圍內盡力做事而已。 問題出在更高層的決策者。 把資訊安全問題丟給國科會, 就像把 使用價值高於販售價值的自由軟體 的推廣經費撥給經濟部工業局一樣, 在錯誤的地方下雨, 造成雙重傷害。 國科會至少做了一件令人讚賞的事: 申請要點當中提到 「將優先補助依自由軟體授權精神公開原始碼之計畫」。 國家出錢的研發成果, 本來就應該開放嘉惠所有國人; 但在這個議題裡面, 這個要求另有更高一層的重要意義: 如果最後的成果真的被學術骨幹網路所採用, 那麼未開放原始碼的成果的確將會造成先前所說的 「這些的軟體服務的對象到底會是誰」 的疑慮; 而開放原始碼的自由軟體則可以擺脫這個質疑。 從這件事看來, 國科會先前的自由軟體計畫最成功的地方, 並不是勉強與 CMMI 結合而產生許多 產品, 而是它終究成功地在國科會裡醞釀出一點優先考慮自由軟體的 文化

希望這次資訊界的大老們有聽進去。 再高明的醫師, 面對諱疾忌醫、 拒絕面對病源的病人, 也束手無策啊。

... 照舊又隔了10天,扁鵲第四次去見桓公。 兩人剛一見面,扁鵲扭頭就走。 這一下倒把桓公搞糊塗了。 心想:“怎麼這次扁鵲不說我有病呢?” ... -- 文言文版出自 韓非子 喻老篇; 白話文版

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「反駭 文化」 或 「國科會 shady rat」。

4 則留言:

  1. 文化也是人造成的,人性不改文化依舊

    回覆刪除
  2. 悠遊卡遭駭,Mifare卡安全性遭質疑
    http://www.ithome.com.tw/itadm/article.php?c=69970
    如上文中的臺大教授鄭振牟,寫論文可以發現資安問題.
    只是政府要等問題發生才開始注意.而不是事先預防.

    回覆刪除
  3. 嗯, peblun 所提的這個例子裡面, 絕大多數的一般民眾 並不會 因為 沒有認知、 沒有動作 而成為資安問題的加害者或受害者。 面對這類的資安問題 (製造問題的是高技術的小眾), 研究成果的確可以有助於改善資安。

    但是在殭屍網路與瀏覽器問題裡面, 絕大多數的一般民眾 確實會 因為 沒有認知、 沒有動作 而成為資安問題的受害者然後又變成加害者的工具。 本文所談的是這類問題。 面對這類問題, 研究不是重點; 提升民眾的覺醒與認知 (例如改用比較安全但也不必然百分之百安全的替代瀏覽器與替代作業系統) 才是重點。 也請參考 Everett Rogers 所著的 「創新的擴散」。 這類資安問題所欠缺的並不是創新, 而是擴散。 好的、 安全的工具明明早就放在那邊; 但政府就是拒絕去推廣。

    回覆刪除
  4. 資安漏洞 資訊人才缺很大
    http://news.ltn.com.tw/news/life/paper/773551

    希望國考會納入版主的意見。



    回覆刪除