HOME

 

 

那福忠,知名電子出版專家、網路作家。
   
  藏在雲裡的駭客
  那福忠 November 09, 2011
  請把你的想法寫信給我: [email protected]
   

   雲端計算 (Cloud Computing),這個名字取的真好,既先進又浪漫,人人都能朗朗上口,據說已經在網路上出現過四千萬次。到底是誰的創意刻製出來的?說法不一,大多認定是谷歌的創辦人之一 Eric Schmidt 在 2006 年一個搜尋引擎會議上說的,但麻省理工學院 (MIT) 的技術評論雜誌,則追塑到 1996 年在德州的 Compaq 電腦公司,當時技術主管開會討論以後的發展,有人提到雲端這個字。不論誰說的,雲端計算都是把數位技術推向另一階段。

   現在大家都有個人電腦,有許多工作、娛樂的程式,有許多自己的資料、創作,有許多從別處取得的檔案。雲端計算相當一個規模龐大、速度超快的電腦,在雲裡飄浮,大家都能把電腦裡的程式與資料放上去儲存,也隨時可以取下來使用,抒解個人或企業電腦的負擔。幾年之後雲端算普及,大家拿的電腦除了連接雲端的功能,幾乎是一個空盒子,硬碟也不怕壞,因為根本有硬碟,病毒與駭客更是不來了,因為他們也都跟著擠到雲裡去了。

   美國加州的海軍研究生學院的 Simson L. Garfinkel 教授,是一位「電腦刑事鑑定」專家,專精於駭客的防範與追蹤,最近在 MIT 技術評論網站撰文,說雲端計算給大家方便,也同時給駭客方便,因為雲端計算的先天結構,可靠、管理、全球擴張,反而給駭客添增了作案能力。

   教授說,雲端儲存了不少個人資料,姓名、住址、信用卡號碼,正是駭客盜取的目標,這些資料集中在一起,盜取的機會更大,而且雲端龐大,駭客藏在其中好像置身火車站裡來往的人群,不易被發覺,即使被發覺也是遠在地球的另一邊,無法可管。駭客常用普通的技術來矇騙安全關卡,看起來沒什麼特別,不會被攔截,一旦真的被發現追逐,駭客就會利用雲端計算快速關閉資源的功能迅速散開,留不下多少犯罪的痕跡 。

   有一個儲存文字的網站 Pastebin.com,任何人都可以存放 500K 以內的文檔,包括程式原始碼與資料,與別人分享,進入這個網站在搜尋欄輸入 Visa 這個字,立刻就會看到盜來的信用卡號碼堂而皇之的買賣,網站雖然禁止這類的交易,但管理的成本太大,效果也不理想。教授說這是駭客最直接的手法,用合法掩護非法,獲取利潤。

   駭客需要強大的電腦資源,雲端計算是最好得來源,於是用偷竊來的信用卡「合法的」的租用雲端計算資源,再用這些資源回過頭去破解雲端裡的加密檔案。這些檔案都用以前的加密邏輯,估計用幾台電腦同時運轉需要幾十年才能解密,所以相對安全,但現在的電腦速度加快,又可以同時租用幾千台雲端電腦的能量參加解密,就把幾十年的工作縮短成幾天。

   這不是想像,駭客從兩年前就開始討論如何運用 Amazon 的雲端計算 EC2 來破解加密的檔案,今年四月他們用 EC2 攻陷了 Sony PlayStation 的遊戲網,盜取了數以萬計的信用卡資料。有趣的是 Amazon 在去年增加了雲端計算的超級計算能量,一位德國電腦安全專家經過運算,說要破解一般的 WiFi 網路加密僅需六分鐘,成本僅有 1.68 美元。

   駭客怎麼樣藉助雲端計算來增加自己的武功?教授說雲端計算用的虛擬技術,抹掉了駭客的犯罪指紋。雲端計算中心不會用一台電腦,而是用數以萬計的電腦連在一起運轉(Google 就用了一百萬台伺服機),每當外界租用電腦,則是用分散在不同電腦的資源組合成「虛擬電腦」,給租用人使用,用完了之後,所佔用的資源如硬碟空間,立即被另一個虛擬電腦佔用。駭客租用虛擬電腦作案,離開之後所用的資源被別人佔用,抹掉了作案指紋,即使留下蛛絲馬跡也難以鑑定,因為虛擬電腦根本不存在。如果雲端的設備分散在不同的地域、甚至不同的國家,那就涉及司法管轄、甚至政治問題,更難找出駭客的蹤跡了。

   我們都認為駭客是外面的,從外進攻我們的圍牆,但教授說內奸更可怕,他例舉電腦安全研究機構 F-Secure 的報告,說他們發現在 Google Docs 裡有釣魚網站,利用試算表可以製造表格的功能,製作像是電子郵件更新、系統錯誤報告的表格,讓人填寫。這些表格都在 Google 伺服器,也都是加密認證的合法表格,填寫人不疑有他,把姓名、電子郵件名稱與密碼毫不保留的傳給了駭客。

   到底什麼人事駭客、他們想做什麼、不能改邪歸正嗎?駭客無疑的是一群精通電腦技術的人,以挑戰電腦安全為能事,早期以娛樂為主,進入別人電腦流一句「來此一遊」,以後開始破壞,刪除或修改入侵電腦的資料,演變到今天為盜取有價資料盈利。改邪歸正?正規的電腦應用對他們是索然無味,除非能找到極度挑戰的工作,或許對他們有微許的吸引力。

   駭客與我們有什麼不同?以前有個人說了一句話最為傳神,我們每天工作八小時、十小時、甚至十六小時,駭客每天工作二十四小時。只要雲端不要駭客?這是「數位和平」的層次,議題未免太大了......。




上一篇 下一篇 索引