芬安全首席資安研究長Mikko Hypponen來臺參加臺灣資訊安全大會並擔任第二天議程的主講者。

圖片來源: 

iThome

被媒體譽為資安傳奇的芬安全(F-Secure)首席資安研究長Mikko Hypponen在今(4/2)日參加iThome主辦、行政院資通安全辦公室指導的「臺灣資訊安全大會 2015」並擔任大會主講者。他在會中強調,安全和隱私是確保安全未來的兩大關鍵議題,目前有許多「免費」的網路服務,「天底下沒有白吃的午餐」,包括Google和Facebook等,其實就是網路服務業者透過販售個人隱私獲利的商業模式。「不想要隱私被賣,最好就是要做到使用者付費,只不過,有些免費的網路服務,連想付錢都沒有機會。」他說。

天底下沒有白吃的午餐,數位隱私成為免費服務獲利的工具

Mikko Hypponen認為,安全和隱私是數位時代最重要的兩大議題,隨著電腦安全議題而來的包括網路犯罪以及龐大的犯罪利益,因此,有許多駭客就會利用木馬或者是鍵盤側錄程式,透過攻擊系統賺錢。但與隱私相關的,卻是有許多的網路服務公司,利用免費的網路服務,像是Google或者是臉書等,則是透過販售個人「隱私」的方式以賺取該公司的利益。他表示,即便知道天底下沒有白吃的午餐,也想要做到使用者付費,但問題點在於,某些免費的網路服務,像是Google搜尋或是臉書等,連想要付費使用都不可能。

他也以Google過去2012年~2014年每一季花在機房的費用為例,每季的機房支出大概從10億美元到20多億美元不等,這樣昂貴的費用,如果沒有穩定的獲利支撐,是不可能的,而獲利來源,就是當你使用這些免費服務的同時,你也同時賣掉你的數位隱私幫Google賺錢。

另外一個帶動IT產業快速發展的,不是網路安全產業,也不是什麼大資料應用趨勢,Mikko Hypponen直言,源源不絕、持續不斷的網路犯罪,就是促進IT產業,甚至是資訊安全產業蓬勃發展的重要推手。他表示,目前主要的攻擊來源多來自俄羅斯和中國等,但隨著非洲網路連網率逐漸普及時,非洲也將慢慢成為駭客們鎖定的目標,只不過,是鎖定攻擊的對象還是利用非洲的電腦作為攻擊的跳板,目前看來以跳板居多。

在網路犯罪的世界中,現在以各種勒索軟體是最常見的犯罪工具,Mikko Hypponen表示,從Crypto-Locker開始,駭客便利用加密個人電腦硬碟中的文件、照片等各種機密資料,要求使用者必須在三天內支付300美元的贖金,才能夠取得解密的金鑰,換回文件的安全,近期在歐美流行的勒索軟體則是CTB-Locker,因為不需要網路就可以加密檔案,沒有聯網也會運作,駭客會先免費解密5各檔案後,要求使用者在96小時內必須透過TOR支付贖金(一般是3比特幣,約95美元)。

因此,Mikko Hypponen很清楚的建議,要杜絕這類勒索軟體的危害,重要的機密資料全部都要加密,加上良好的定期備份習慣,才是對抗勒索軟體的最佳方案。

智慧裝置就表示是可以被入侵的裝置

物聯網的是確定的,所有的裝置可以連上網路後,就會被稱為智慧裝置,Mikko Hypponen說:「智慧裝置表示可以被入侵,」智慧電視就是可以被入侵的電視,智慧手錶表示可以被入侵的手錶,而且你的的手錶會一直持續高溫,甚至智慧微波爐,就表示駭客可以入侵你的微波爐,調高溫度甚至會爆炸。

更有甚者,有越來越多的車載資通設備,智慧汽車表示車上就有一臺具有運算能力的小型伺服器,Mikko Hypponen指出,當駭客入侵車上的伺服器時,在現實事件中,我們不能合法殺人,但是在網路世界中,只要能做到控制汽車的煞車不能作用,就是一種網路犯罪的殺人方式。

其他類似這樣的威脅也越來越多,像是頗受歡迎、可傳送鍵盤與滑鼠的動作,及即時的螢幕畫面VNC(Virtual Network Computing),因為可以跨平臺加上不用安裝用戶端程式,可以隨機遠端遙控辦公室時,你永遠不知道什麼時候你會因此被困在辦公室中,加上不用帳號密碼,駭客更可以隨時上傳本機的照片到遠端、掃描各種IP通訊埠等,都是現在越來越常見的威脅。

網路自由與民主是需要捍衛的

現在許多人很常提及的APT攻擊,Mikko Hypponen表示,其實早在2003年開始,中國政府就已經發動這樣的針對式攻擊,分析病毒或者是攻擊事件,許多使用AutoCAD、遭到外洩的軟體設計圖中,甚至可以發現與中國相關的攻擊資訊。
不只是國家級的攻擊,現在的駭客服務也可以直接在網路購買,本周才發生的程式碼代管網站GitHub遭到嚴重的DDoS攻擊,經調查,可能是中國網路長城為了阻斷中國境內民眾,可以透過GitHub找到繞過中國防火牆的方式,以及替中國民眾設立紐約時報鏡像網站CN-NYTimes的方法,藉由鼓勵中國支持言論管制的駭客集團所發動的攻擊事件。Mikko Hypponen表示,就有發現有攻擊者,購買由駭客提供的DDoS網路攻擊服務,參與此次的GitHub的DDoS攻擊事件。

Mikko Hypponen表示,我們不鼓勵任何網路犯罪事件,也不贊成利用各種IT工具進行網路攻擊或犯罪,但是,我們都必須有自覺,不要販售自己的數位隱私,更能確保我們在數位時代的安全。

 

相關報導請參考:「臺灣資安大會現場直擊」

熱門新聞

Advertisement