近年不管是商業還是政府機構,都接二連三出現數據外洩新聞。美國聯邦人事管理辦公室(OPM)在 6 月時更披露有多達 2,100 萬筆政府僱員身份資料外洩,美國中央情報局(CIA)的前任首席科技總監 Bob Flores 出席 CloudSec 2015 大會時就揭秘了外洩原因,還跟 Unwire.pro 暢談了物聯網能否殺人、3D 打印令恐怖主義更猖獗的看法。
近年不管是商業還是政府機構,都接二連三出現數據外洩新聞。美國中央情報局(CIA)的前任首席科技總監 Bob Flores 出席 CloudSec 2015 大會時表示,黑客已愈來愈進步,但機構本身卻缺乏警覺性,使危機不斷加深。
美國聯邦人事管理辦公室(U.S. Office of Personnel Management, OPM)在 6 月時向公眾披露,該機構自 2014 年開始曾遭受到多次網絡攻擊,導致大量聯邦政府僱員的身份資料外洩,災情更由最初估計的 400 萬筆,陸續增加至 2,100 萬筆,情況嚴重。
有美國情報人員指中國黑客嫌疑最大,但就被中國否認。但不管入侵者是誰,事件已造成極大的震撼,由於外洩資料中包括了美國聯邦調查局(FBI)、美國國務院、國防部、中央情報局(CIA)的高級官員,因此擔心會否引來國家安全的問題。
五大原因導致 OPM 災情嚴重
人事管理辦公室是聯邦政府的人力資源部門,負責進行背景調查和安全審查。根據 OPM 的網站資料顯示,90% 的聯邦背景調查都是由這個部門負責的。Bob Flores 表示,聯邦人事管理辦公室資料外洩一案,反映一些機構(不論是政府還是商業)對數據保安的意識不足。
他歸納了五個主要原因導致事件災情嚴重,如果事前有加以防範,其實災情不應如何嚴峻。首先是缺乏多重認證,數據周邊的保安只需一項簽署已能接入,讓黑客有機可乘。第二是雖然設有一些入侵的防禦系統,但卻沒有預防攻擊。
其三,是這些數據雖然敏感,但竟然沒有進行加密,如有加密的話即使偷取後也得物無所用。第四則是允許員工遙距登入數據庫,但卻沒有任何監視的動作。最後一點是合作伙伴缺乏保安,因黑客最後是透過偷取承包商用戶的憑證後成功入侵的。
每名員工都應自覺為資訊保安人員
Bob Flores 表示很多機構都忽視保安問題,OPM 的案例固然轟動,但這並非罕見情況。單在 2014 年已有多達 2,122 宗數據外洩個案,造成 4 億美元的實際損失。原來平均每 24 秒就有人打開一次含有惡意網站,每 34 秒就有一次未知惡意程式的下載,每 36 分鐘就有一筆敏感數據被傳送到機構之外。
據研究指 23% 機構人員會打開有問題的釣魚郵件,更有 10% 人會在不懷疑下開啟這些郵件的附件,而這些附件往往就是惡意程式的來源。由於很多惡意程式都是針對目標而訂製,從未被發現過,因此傳統防毒程式難以偵測得到。而電腦使用者看到防毒軟件沒有偵測到問題,就放心的打開附件,於是惡意軟件就能成功植入。
Bob Flores 坦言,傳統防毒軟件已不能應付持續針對性攻擊(APT),黑客編寫惡意程式的前提是「能夠在雷達下活動」,如果單靠防毒軟件偵測很容易出事。他認為坊間有些沙盒等工具可協助解決問題,但不能只倚仗工具去處理,公司政策和員工教育其實更重要。
他認為機構應持續教育員工保安常識,並不斷重覆教育、測試、教育、測試的過程。每名員工都應自覺為資訊保安人員,不能依賴其他人做判斷,甚至讓「資訊保安」成為評估員工水平的標準之一。這樣再配合公司流程和政策,加上保安系統支援,就能大為減少數據外洩的機會。
揭秘 CIA 教育員工防範黑客方法
Bob Flores 提到機構要不斷教育員工防範黑客,筆者就很好奇 CIA 又是如何教導員工的?畢竟 CIA 作為一個如此大的部門,並非每一個都是特工,更不會每一個都受過嚴格的訓練。一個普通的文員未必有機會接觸到機密資訊,但如因為他不慎讓黑客攻入,卻可能牽連甚廣。
筆者最初以為 Bob Flores 會以「機密」來關門,但他倒是笑著回答問題。其實真相倒沒有什麼秘密,他笑言其實跟教導機構的方法一樣,每月都會有講座講解最新黑客攻擊手法,也有一些工作坊讓員工參加,而每當轉到新崗位時亦會再一次上堂接受保安培訓,從而讓員工時刻緊記。
當然 CIA 也會不定期評估員工的保安意識,就如同前面提到,會作為評核員工表現的參考。不過當問到對真正特工的訓練就無可奉告了,但 Bob Flores 指 CIA 特工的使命就是保護資料(情報),因此在處理資料時會極度謹慎,本能就會懷疑他人,並不需擔心特工會成為黑客目標。
物聯網會否成為國家安全威脅?
既然有寶貴機會訪問前任 CIA 的技術總監,當然不會放過機會,讓他評價一下現在新科技對國家安全的威脅。
第一樣必然要數物聯網(IoT)。不說遠的,Unwire.pro 昨天已報導過 Tesla S 電動車被發現漏洞,可以控制窗戶、車門、懸掛和關閉汽車電源。事實上這並非個別事件,因為美國佳士拿也出現同樣問題,最終要召回 140 萬部汽車。
試想像若黑客要暗殺目標人物,只需讓他的汽車直衝大海,再鎖上車窗車門,就能殺掉目標人物。而要是恐怖份子駭入汽車或火車的燈號系統,同樣能造成嚴重的人命傷亡。因此筆者向 Bob Flores 詢問:物聯網安全是否已升級到國家安全的層次?
Bob Flores 坦言在數年前已向某車廠詢問這問題:你們怎樣加密電動車智能系統的?但當時得到的回答讓他啞然:為何要做加密?他認為這問題應該由源頭的生產商來入手,只要生產商在系統裡、通訊過程裡都已經加密,系統需要多點認證才能運作,黑客能做手腳的機會就少得多,也困難得多。
他認為目前要說物聯網是否已涉及國土安全,還言之尚早,畢竟現在並非全國都有自動駕駛汽車在路上走,但他預期五年後這問題將開始呈現。
攻擊智能醫療裝置或可殺人於無形
物聯網除了應用在交通領域,醫療領域也逐漸採用。除一般醫療儀器會開始駁上網絡方便操作外,現在亦有不少穿戴式醫療裝置,甚至連植入體內的裝置亦可能,例如早前 Unwire.pro 就報導過 Robustel Technologies 智能人工膝關節。
不過既然連交通工具都擔心會否變成殺人工具,那直接關乎人命的醫療設備就更不能掉以輕心。事實上美國前任副總統切尼,就曾因為擔心黑客會攻擊他的心臟起搏器,因此要求醫生改為使用移除了智能無線連線功能的款式。「那用物聯網殺人,是科幻劇情還是真實?」筆者問。
Bob Flores 對這問題的答案是肯定的。現時除了醫院會有醫療設備,很多有錢人家中都有私設的醫療系統,這些系統同樣有機會是連網的。若病人需要維生裝置協助,黑客要是暗中遙控更改設定的話,的確是能殺人於無形。由於美國社會普遍對醫藥安全極為重視,他認為美國政府應研究在這方面的防範措施。
3D 打印槍械會否成為恐怖份子王牌?
另一個近年熱門科技題目是 3D 打印。Unwire.pro 也報導過,日本已有人成功利用 3D 打印製作手槍,在美國加州甚至有人帶著 3D 打印手槍直闖警局,這些案例是否在表明 3D 槍械正在破壞槍械管制的制度?
由於 3D 打印物料未必需要用上金屬,塑料製的 3D 打印品比比皆是。而目前機場和重要場所的安全檢查工作,都是探測金屬為主(真實槍枝均是金屬製),如果有恐怖分子利用 3D 打印製作槍械零件再帶到飛機上組裝,會否導致現在的安檢系統崩潰?
Bob Flores 表示 3D 打印技術的確有潛在的威脅,但他認為恐怖份子大多有方法調動槍枝(尤其美國是能合法擁槍的國家),未必會打 3D 打印技術的主意。另一方面,就算組合而成的手槍能繞過安檢,但子彈始終還是金屬製的,非金屬製的塑膠子彈威力有限,並不認為具備威嚇性,要利用 3D 打印作恐怖襲擊未必是即時威脅。
不過,其實加州政府在去年已成功通過了其限制 3D 打印槍械的 SB808 法案,法案內容主要針對 3D 打印槍械的製作與管有作出管制。軍火專家指 3D 打印槍械的穩定性未如理想,但只要能發射子彈、而又可避開檢測,其潛在危險性的確為無容置疑的高。
總結
難得有機會跟 CIA 的前任技術總監訪問最新科技的看法,當然把握機會發問,不過不知 Bob Flores 會否覺得這些疑問不夠現實。畢竟相對於「物聯網殺人」這些像小說劇情般的事,實際每天黑客入侵機構、入侵智能手機等案例其實真實得多,幸好 Bob Flores 也不厭其煩的回答筆者問題。
順帶一提,Bob Flores 在離任 CIA 後,今天已是 Cognitio Corp. 的保安顧問。雖然 CloudSec 2015 大會的主題是「面對意料之外.構建全新防禦」,但他相信黑客並非每次攻擊都天馬行空,而是有跡可尋,因此留意黑客報導的訊息有助更了解他們。他歡迎 Unwire.pro 的讀者到他的 ThreatBrief 和 The Cyber Threat 網站追蹤最新的網絡威脅資訊。