科技時代 Popular Science http://www.popsci.com.tw/ps-3.asp?no=94&what=4&art=long

駭客獵人

去年某個星期五的午後,CERT的技術委員傑德畢考(Jed Pickel)正在位於匹茲堡的卡耐基梅隆大學中的電腦緊急應變小組協調中心(CERT Coordination Center)工作著。CERT成立於1988年,是一個專門負責處理電腦危機的機構,同時也是負責報告網路上的安全漏洞及修正的非正式組織。

「我們接到一個宣稱有新的巨集病毒正在散播的電話。」畢考回憶當日的情形,他表示,當時,他並不認為這是個嚴重的問題,因為一般的巨集病毒,都是利用如Word之類的應用程式所提供的簡單描述語言(script language),自動地去執行特定的功能罷了。由於那一天正好輪到他分派工作,於是,他把訊息記錄下來,交給其他正辛苦工作的伙伴。

畢考表示:「然而,大約在一個小時後,我們開始接到一通又一通的電話,一連串的電話將我們電話線路完全佔滿了。」梅麗沙病毒(Melissa worm)正在網路上蔓延,它是一種會自我複製的病毒,會利用電子郵件將病毒寄給十個由通訊錄中隨意選出的人,成千上萬的網路使用者都受到的傷害,國際間的電子郵件系統也因此癱瘓。

起初,電腦病毒只是一種透過磁碟片傳遞、帶有惡意的小程式,很容易就可以發現並掃除它。然而隨著網際網路的成長,以及類似梅麗沙這類會引起大災難的病毒出現,一切都為之改觀。最近,諸如類似梅麗沙的ILoveYou病毒,以及在去年二月造成雅虎(Yahoo!)及eBay當機的「分散式服務阻斷攻擊」(distributed denial-of-service, DDoS),就如野火般在網路上漫延開來。根據聯邦調查局的資料,梅麗沙病毒造成了800萬美元的損失,而ILoveYou病毒則約造成了67億美元的損失。

每當有病毒在網路上蔓延的時候,一些類似CERT的非營利組織、個人專家,以及執法單位便會合作追蹤這些駭客。當畢考在匹茲保接聽電話、尋找解毒方法的同時,理查史密斯(Richard Smith)正坐在麻州布魯克朗的個人電腦前研究電腦病毒,並試著找出有關犯罪者的線索。

史密斯是個電腦專家,也是PharLap軟體公司的創辦人,由於對網際網路隱私問題的興趣,而參與了幾次追蹤網路犯罪的行動。史密斯這類的人彷彿是虛擬空間中的福爾摩斯,一步一步追查出數位空間中的罪犯。

根據和瑞典業餘偵探們以電子郵件交換意見的結果,史密斯也先行找到揪出梅麗沙病毒寫作者的方法。病毒作者留下了一個數位指紋:一個32位元的整體元件唯一示別碼(Globally Unique ID, GUID)。
 

GUID通常嵌在由微軟公司(Microsoft)的Office系列軟體所存的檔案中,可用來識別作者的電腦。梅麗沙病毒中的GUID,讓史密斯以及他在瑞典的伙伴追查出網路上含有作者名字的檔案。作者是大衛史密斯(David L. Smith),他最後也承認了自己的罪行。理查史密斯解釋:「這就像一個銀行搶犯在他的提款條背面寫下搶劫計畫。」

史密斯又說:「我們的線上伙伴也搜集了有關ILoveYou病毒的資料,從中發現一個相關的檔案。這個檔案位於菲律賓AMA資訊學院(AMA Computer College),裡面包含了約40個人的真實姓名。」

這個虛擬世界的罪犯除了留下一個含有真實姓名的檔案和一個與ILoveYou相似的檔案之外,還犯了另一項錯誤。雖然他是在病毒開始傳染前一個月就將檔案上傳到網頁上,他忽略了網路服務公司會保留所有撥進來的電話紀錄,根據這些記錄就可以追蹤出電話來源。

雖然執法單位經常會得到史密斯等電腦程式專家的協助,但仍然會主動出擊。例如當史密斯在追查梅麗沙病毒的同時,美國聯邦調查局(FBI)的電腦小組也己經展開行動。紐約聯邦調查局的特別幹員吉姆馬格林(Jim Margolin)解釋:「我們需要知道是誰輸入主要的程式碼,所以仍然必須進行一些傳統的犯罪偵查。」

為了達成這樣的任務,美國聯邦調查局在1998年成立了國家基礎建設保護及電腦入侵研究室(National Infrastructure Protection and Computer Intrusion, NIPC),不過馬格林表示,目前調查局內的各個部門大多都有自己的小組協助尋找線索。例如,紐約分處的資訊犯罪小組就有15個專屬的探員,其中包含了對電子相關法律有特別專長的人員。小組裡的成員也被稱為電腦危機處理小組(Computer Analysis Response Team, CART)專員,專門負責分析駭客所留下來的可疑資料。他們也常常被外派去支援聯邦調查局的其他各單位,協助調查洗錢、內線交易等白領階級常有的犯罪行為。

然而,追蹤駭客常常需要花費數個月的時間。例如,在追查那些大家熟知的、造成許多知名網站當機的「分散式服務阻斷(DDoS)攻擊」時,就必需檢查成千上萬個記錄檔。

所謂「分散式服務阻斷(DDoS)攻擊」,是指在使用者不知情的狀況下利用程式操控數十甚至數百台電腦。駭客可能會花費數個月的時間在網路上尋找較脆弱的系統,找出它的後門,並植入需要的軟體。之後,當駭客觸發這些軟體發動攻擊時,這些系統會同時對駭客欲攻擊的目標發出錯誤的要求訊息,並且很快地就使攻擊目標的工作負荷過重,而其他的使用者也因此無法再利用攻擊目標的功能。

就像利用電話總機來轉接,DDoS攻擊常會透過許多個不同的網路撥接公司進行,這使得追查最原始的攻擊來源變成一項不可能的任務。因此,要取得法院發出的追查服務記錄許可實在不是件容易的事。

正因為大部份的駭客會利用位於各州、甚至不同國家的網路服務公司送出訊息,而且大部分的網路服務公司會在幾個星期後就將記錄檔刪除。因此,執法單位必需快速行動,在網路服務公司刪除記錄前取得資料。

雖然有聯邦調查局CART的探員,或像史密斯一樣的個人在網路上執行追蹤的工作,私人公司也已經建立起個別的防禦機制。許多公開上市的公司並不願意受到惡意的攻擊,所以他們會尋求一些網際網路安全公司的協助,例如位於亞特蘭大的網路安全系統專業公司(Internet Security System, ISS)。ISS幫助公司建立起自己的數位防衛系統,這種先期預警系統會搜尋可疑的線索及或可能的犯罪型態,一有惡意侵入的跡像,監視系統就會馬上警告使用者。

ISS的X-Force研究小組組長克里斯羅蘭(Chris Rouland)表示:「目前還沒有絕對有效的防制方法可以對付DDoS擊攻。」為了防止這類的攻擊,ISS常常必須夜以繼日地為客戶工作,並且花費許多時間對編碼過的特洛伊木馬程式進行解碼。因為所謂的特洛伊木馬程式看起來雖然無害,但是實質上卻是個有害程式。

羅蘭說:「我們也擁有預先安全警告工具的原始雛形。在這個工具中我們可以設計引誘入侵者的蜜罐陷阱(honey pot),看看是不是有人會試著侵入這個系統。」一般而言,他的公司每個月會向客戶回報30~40個電腦系統中的安全漏洞。

康特潘網際網路安全公司(Counterpane Internet Security)則提供另一種防制方式:持續地監視網路系統。藉著持續監視可疑的活動,康特潘公司會試著在傷害造成前阻止駭客的行動。《應用密碼學》(Applied Cryptography)的作者,也是康特潘的創辦人布魯斯薛尼(Bruce Schneier)表示:「為了達到這樣的效果,我們建立了一個持續監控的獨立安全系統。」

康特潘的運作中心位於加州,主要任務是防止任何實際攻擊。該中心擁有精心設計的監控及安全系統,想要進入中心就必須經過影音監視系統與偽裝的陷阱,其最後一道防線則是利用生化測定的控制系統。此外,這個運作中心還擁有一個利用錄影方式監控所在地狀況的系統。

雖然這樣的防護似乎有點過火,然而對於這些系統安全專家而言,這麼做是有道理的。每當有新的病毒出現時,就會引發技術革新,同時也為網際網路帶來新的恐懼。

當行動電話等設備開始利用網路聯結時,病毒造成的傷害也會更大更廣。日前有個專門傷害具文字傳訊能力電話的Timofonica病毒,在它對西班牙的Telefonica衛星電話系統(Telefonica cellular network)造成重大傷害之前被發現。

我們可以在隸屬美國能源部、位於新墨西哥州阿布奎基的桑底亞國家研究室(Sandia National Labs)一探電腦資訊安全的未來發展。該研究室正在研發可以監控網路上可疑行為的虛擬警察。這個目前還在實驗階段的軟體,會持續觀察並監控掃描連接埠的行為,這些行為可能就是在尋找侵入管道,因此監控期可能長達一年。

利用先進的模組樣式辨識技術,並將獲得的資料與其他虛擬探員們的資料作比對,桑底亞的軟體或許可以在程式設計師發現任何問題之前就查知可能的破壞。

無疑地,我們可以預見,將有愈來愈多的病毒以及DDoS之類的攻擊出現在網路上,正如CERT的畢考所言:「很快地,對大部分的人而言,網路會像是高速公路一般的平常。然而,高速公路上每天都會發生意外。因此,我們必需要了解這些壞事發生的原因,以及事發後的處理方式。」