資訊安全需要的是文化, 不是產品 -- 漫談國科會反駭計畫與 Shady RAT 入侵事件

朋友轉來國科會的計畫徵求公告: 國科會100年度系統安全保證及反駭客控制技術研發專案計畫, 希望學界開發軟體防駭; 其中特別強調要防範殭屍網路 (botnet)。 另一方面, 正好最近資安公司 McAfee 揭露一椿連續五年危害全球 72 個組織的入侵事件 Operation Shady RAT (暗鼠行動)。 掌握國家資訊科技資源與決策的大老們, 可以從本案學到一點教訓嗎?

Security is a process, not a product. -- Bruce Schneier
安全措施的重點在於流程, 而不在於產品。 -- 資訊安全專家 Bruce Schneier

"Security culture" is the official and unofficial, formal and informal behaviors, attitudes, perceptions, strategies, rules, policies, and practices associated with security. There is a consensus among security experts that a healthy security culture is required for effective security. -- Roger Johnston
"安全文化" 事關行為、 態度、 認知、 策略、 規則、 政策、 習慣。 不僅包含官方的、 正式的要求, 也包含個人的上述一切。 安全專家普遍認為真正的安全仰仗於健康的安全文化。 -- 美國阿貢 (Argonne) 國家實驗室安全漏洞評估組創辦人 Roger Johnston

今年年初就曾寫過這一篇: 「大家都看不見 世界就很安全? Security by Obscurity 的資訊安全觀無法解釋 Windows 殭屍網路的泛濫」。 摘要其中一些相關重點:

1. 殭屍網路的最重要傳染途徑, 就是 IE。
2. IE 的中鏢率是 Firefox 的 1.7 倍左右。
3. 採用 Linux 作業系統的桌機, 中鏢率是零; Windows 電腦的中鏢率疑似高達 25%。
4. 類似生物多樣性的 「作業系統/瀏覽器多元化」, 有助於提升網路社會整體的資訊安全。
5. 資訊安全對於 「文化」 的仰賴, 遠遠超過對於 「產品」 的仰賴。

(謎之音: 大老們不愛聽的聲音, 就算重播十次也沒用啊! 改播一點大老們喜歡聽的聲音吧。) 再請資訊界的大老們看一下微軟的建議: How to better protect your PC with botnet protection and avoid malware 所說的:

1. 安裝防毒軟體
2. 經常更新軟體
3. 採用強效密碼
4. 不要關掉防火牆
5. 慎用隨身碟

其中兩項我有小小不同的意見: 「更新軟體」 若涉及資料被綁架 -- 例如 MS Office -- 應該乾脆 改用另一套軟體; 至於隨身碟, 那是因為在 windows 下, 所以有中毒風險, 若是直接用隨身碟開機, 反而變成 百毒不侵。 除了這兩點之外, 對於不幸必須繼續曝露在 25% 中鏢風險的 windows 用戶而言, 微軟的建議其實相當中肯。 尤其是 招引殭屍上身的 IE6, 更應早早揚棄 -- 這也符合 微軟的建議。 (謎之音: 引用微軟的資料給資訊學術產業大老們聽, 這樣就上道了。) 「IE6 用戶比較笨」? 這固然是一個沒有科學根據的惡作劇; 但也可能真實地反映了大眾心中的印象。 (要不然為什麼那麼多主流媒體還有格主在下也都一起被騙?)

所以, 容我在微軟的建議最前面補充一條: 選用安全性較高的替代軟體。 大學不敢談的資訊安全問題 -- 破敗的舊版 IE -- 需要資訊界的大老們拿出道德勇氣來談論。 單單是大老們出來 「談論」 這個議題, 提升大眾的資訊安全意識, 所帶來的效益可能就遠遠超過開發任何軟體。

不過就算是所有人都改用比較安全的 linux 與 比較安全的 chrome 並且裝上 tripwire 防護, 也不能確保百分之百安全。 Security is a process, not a product. 殭屍網路也不過是資安問題的一角而已。 下面要舉的例子不是殭屍網路; 它攻破的第一道門也不是瀏覽器而是辦公軟體。 雖然它還是發生在微軟的產品上面, 但若用戶習慣不改, 同樣的入侵手法將來也可以複製於 OpenOffice.org 上或 linux 上 -- 例如越來越熱門的 android。

最近資安公司 McAfee 公佈一份 暗鼠行動 (Operation: Shady RAT) 的報告 (中文相關報導) 指出過去五年來, 有一個組織透過 e-mail 夾帶 Office 文件檔, 入侵全球72組織當中, 竊取資料傳回該組織網站。 受害者包含臺、 韓、 越、 印、 美、 加等國的政府機關; 聯合國、 東南亞國協、 奧運委員會、 倡議民主的非營利組織等等。 看來入侵行為似乎並非以金錢利益為主要動機。 背後到底是誰主使, 眾說紛云 連 McAfee 自己一家都說不清楚, 這個問題的答案, 大家就自己猜吧; 但那不是本文的重點。 另一家資安公司賽門鐵克 詳細描述攻擊步驟 並指出: 入侵者利用的, 多半是舊的漏洞, 談不上高深的技術。 有趣的是, 連入侵者本身都欠缺資安觀念 -- 他們甚至把 「誰是受害者」 的資訊都貼在自己的網站上 :-)

如何避免這類的攻擊? 賽門鐵克再度重複上面提過的許多良好使用習慣。 (容我不再為忙碌的資訊大老們複述一遍。)

追求資訊安全, 開發不是重點, 產品不能解決問題。 如果推出產品安裝在全國網路上就可以解決問題 (不用全部解決; 部分解決就好), 那麼遭受類似攻擊最多的美國早就這麼做了。 為什麼美國不做? 就是因為從這個角度切入, 不僅無法有效解決問題, 甚至可能帶來更多不良副作用。 從國科會徵求計畫的文件看來, 他們似乎想從改變網路底層著手。 但如果不小心方向錯誤, 破壞了 網路中立性, 甚至發展出 侵犯隱私的深度封包檢測 (Deep Packet Inspection) 技術, 並強制安裝在學術網路骨幹, 類似 綠壩 或其進化版 藍盾 一樣由某單位集中管控, 背離網際網路基本原則 end-to-end principle, 那麼大眾可能未蒙其利, 先受其害, 後果將更令人擔憂。 尤其是今日資訊學術產業的詭譎氣氛之下, 大家都不太懂 CIO 和資訊教授的心, 更令人擔憂將來這些軟體服務的對象到底會是誰? 不過這些議題太技術; 而且國科會計畫的成果也未必一定走這條路 (機會還蠻大的就是了), 這裡就先點到為止。

追求資訊安全, 我們最需要的是改變使用電腦的 文化。 例如改而追求多元化。 改用安全的軟體並不意謂著所有人都應該用同一個版本的 linux, 而是鼓勵大眾各自採用不同的安全版本, 造成類似生物多樣化的效果 ( Schneier 專訪; O'Donnell 與 Sethu 的學術論文摘要)。 為了實現軟體生態多元化, 大眾需要知道 允許不同, 才是相容、 需要知道 開放檔案格式 不等於 自由軟體。 例如許多人被迫用 IE6, 其實並不是自己不聰明, 而是被觀念錯誤的 自殘的網站 陷害, 因為這些網站指定特定廠牌甚至特定版本的軟體, 誤把 「相同」 當做 「相容」。 拜 SEO 風潮之賜, 網頁設計界終於逐漸接受 「允許不同, 才是相容」 的概念; 但在文書處理界 -- 尤其是在 「以學生為盜版人肉地雷」、 「與雲端趨勢脫節」 的 Office 證照卓越大學 -- 大多數資訊教授們對於 「相同」 和 「相容」 的概念, 完全不及格。 避免採用暗藏專利地雷的 docx 檔案格式, 讓文書處理軟體多元化, 也有助於降低 「同一惡意入侵事件重擊社會整體」 的機會。

除了上面微軟和賽門鐵克的建議之外, 自我稽核檢測也是一個重要的方法。 政府不妨學 美國政府僱用入侵高手 -- 不是僱來攻擊他人, 而是請他入侵政府自己的重要網站, 找出自身的弱點。 他們才是真正最了解資安問題的人; 至於年輕的大學資訊教授們, 都已經被 獨尊論文的學術瘋氣 壓得喘不過氣來了, 哪裡還有時間玩這些無助於論文升等的 "雕蟲小技" 呢? (然後像我這種可以擺爛也不會丟掉飯碗的老賊, 已經沒力氣研究沒文件的東西了。)

企圖以產品而非文化來解決資安問題, 是一個錯誤的決定; 但其實也不能怪國科會。 國科會資訊學門的屬性, 似乎向來就是開發; 他們只是在自己的業務範圍內盡力做事而已。 問題出在更高層的決策者。 把資訊安全問題丟給國科會, 就像把 使用價值高於販售價值的自由軟體 的推廣經費撥給經濟部工業局一樣, 在錯誤的地方下雨, 造成雙重傷害。 國科會至少做了一件令人讚賞的事: 申請要點當中提到 「將優先補助依自由軟體授權精神公開原始碼之計畫」。 國家出錢的研發成果, 本來就應該開放嘉惠所有國人; 但在這個議題裡面, 這個要求另有更高一層的重要意義: 如果最後的成果真的被學術骨幹網路所採用, 那麼未開放原始碼的成果的確將會造成先前所說的 「這些的軟體服務的對象到底會是誰」 的疑慮; 而開放原始碼的自由軟體則可以擺脫這個質疑。 從這件事看來, 國科會先前的自由軟體計畫最成功的地方, 並不是勉強與 CMMI 結合而產生許多 產品, 而是它終究成功地在國科會裡醞釀出一點優先考慮自由軟體的 文化。

希望這次資訊界的大老們有聽進去。 再高明的醫師, 面對諱疾忌醫、 拒絕面對病源的病人, 也束手無策啊。

... 照舊又隔了10天，扁鵲第四次去見桓公。 兩人剛一見面，扁鵲扭頭就走。 這一下倒把桓公搞糊塗了。 心想：“怎麼這次扁鵲不說我有病呢？” ... -- 文言文版出自 韓非子 喻老篇; 白話文版

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「反駭 文化」 或 「國科會 shady rat」。