他是國際知名的資安大師,也是密碼學大師,更是紐約時報暢銷書作者,資安著作多達14本,臺灣不少資訊主管大學密碼學課程的教科書,就是讀他的密碼學代表作《Applied Cryptography》。近年他更投身公益科技風潮,希望讓美國國家政策可以和科技發展更緊密結合。他就是IBM資安事業部特別顧問Bruce Schneier,以下整理自他在臺灣資安大會的開場演講。

我們的世界開始變成每一件事都是電腦。手機是可打電話的電腦、冰箱是冷卻用的電腦,而加熱用電腦是微波爐、ATM則是裡面有錢的電腦。汽車則是1百多套分散式系統裝上了4個輪子和引擎。

當每一件事都連上網路後,代表了2件事,網路安全影響了每一件事,而每一件事都變成了網路安全。我們從電腦安全學到的6堂課,很快會影響到每一件事、每一個地方。

電腦安全的6堂教訓

第1堂課是:大多數軟體都寫的很不安全。所有軟體都有漏洞,高品質的軟體很貴,我們不想付錢,所以,多數人只買剛好夠用品質的軟體。只有例外,如太空梭或飛機上的軟體。凡有漏洞就有弱點,市場力量作用的結果就是,到處是有弱點的軟體。

第2堂課是:網際網路不是為安全設計的。1980年,上網的工作都不是很重要,甚至你也必須是特定機構成員才能上網。因此,網際網路發明人,不用擔心安全問題,而讓想要安全的人自己動手。這個決定大大影響了現在的我們,從DNS,路由,Email到封包傳輸,用的都是沒有安全考量的協定。現在,我們得拼命應付當初這項安全決策的後果。

從電腦學到的第3堂課是電腦具有擴充性,換句話說,電腦上你所能用的任何功能,都能用來對付你。擴充性是一種電腦功能,這意味著,你不可能限制一個電腦的「功能」,尤其這是軟體,軟體無法管制。

小時候,我家裡有一個能和世界聯繫的黑色設備,稱為電話,但它只能打電話,沒有其他功能。可是,手機這個可以打電話的電腦,還可以做任何你想要的事,Apple初代iPhone的口號是「App內建」,只要可以下載App,你就無法限制其功能。不像舊式電話,可以限制它應有的功能性。

對資安來說,擴充性帶來的挑戰有二,一是很難做到安全,軟體會持續演化,總是在改變,測試安全性很難,安全地開發也很難。其次是,人可以在手機下載惡意程式,這可說是一種「新功能」,只是有時不用授權就能自動增加。這正是為何冰箱能發送垃圾郵件,監視攝影機會變成殭屍電腦的緣故。因為它們都是電腦,凡有擴充能力,就能這樣用。

再來是第4堂課,電腦系統很複雜。這意味著,攻擊比防禦簡單多了。越複雜,就越不安全。功能越多,越複雜,程式碼越多,就越容易出錯,入侵方法也越多。就像TICC國際會議中心的出入口,遠比你家複雜,就更難做好保全。不是不可能防禦,但攻擊者占優勢。至少技術上,在網路上,攻擊者比防禦者更占優勢,因為複雜度。

第5堂課是,互連之後會帶來新弱點。當我們將萬事萬物串連在一起時,一件事情的弱點,會影響另一件事。例如2016年Dyn遭殭屍網路的大規模攻擊事件,攻擊者透過資安漏洞,控制了大量Web攝影機,監視器,打造出一套大型殭屍網路,用來攻擊DNS服務,讓25%的全球知名網站消失了。2013年,賓夕法尼亞州幾間加盟店的網路弱點,卻導致知名美國零售業Target整個支付系統遭駭。去年,一份報告說,拉斯維加斯有間賭場,資料庫中的常客資料遭竊,因為大廳那個連網魚缸被駭了。

這些弱點都很難修補,你不知道弱點發生在何處,有時是串連到高安全系統的相關網路不夠安全。

最後一堂課是,要發動資安攻擊,總是越來越容易、越厲害、也越快速,這就是我們面對的真實世界。電腦越快,意味著,10年前夠安全的密碼,現在不再安全的了,不是密碼破解技術變厲害了,而是破解速度變快了。

但更多時候是,攻擊者會越來越聰明,因為他們會適應局勢而演化。這跟大自然的情況很不一樣,像美國颶風很多,政府也打造很多系統來對抗颶風,如天氣預報系統,颶風不會因為這些人造系統而變得更聰明,可是,在資安世界,攻擊者越來越聰明卻是一種常態。

這就形成了一股軍備競賽的局勢。垃圾郵件和反垃圾郵件,ATM駭客和銀行資安人員,最新的競爭則是深度學習造假技術(Deep Fake)和DeepFake偵測技術。攻擊者會不斷地適應,發明出新攻擊手法和新的攻擊系統,來對抗各種安全反制。

而且這件事進展的腳步很快,今天是美國國安局的秘密計畫,明天會變成了一篇博士論文,接著就會出現駭客攻擊工具。過去這個過程得花上2年、5年,但現在只需要6個月,而且越來越短。

這些情況都不是新鮮事,我們已經和這樣的處境相處了好幾年,也會繼續相處很久。

資安變成了一項管理議題

但是,現在的資安,變成了一項管理議題。雖然電腦的本質沒有改變,可以當每一件事都變成了電腦之後,我們如何使用電腦的方式,將會有所不同,電腦能做的事也會非常不一樣。電腦對3件事帶來不一樣的衝擊:自動化、自主性和實體機構,也因此而真的改變了安全這件事。

傳統上談到安全,其實是指機密性(Confidentiality),隱私,資料偷竊、資料濫用,大多數新聞中的資安就屬這類, Target、Equifax、Facebook、萬豪飯店的事件都是這類。入侵後偷了資料後濫用,這是一種關於機密性的攻擊。

大家都熟悉CIA理論,所謂的安全,可以分成3類:機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的安全。不只針對第一種類安全的攻擊,其餘兩者都有相關的攻擊手法,例如DDoS攻擊、勒索軟體都是一種可用性攻擊。而惡意程式入侵銀行資料庫竄改資料,就是完整性攻擊。

但是,今天若你有一臺可以直接影響到實體世界的電腦,在完整性和可用性的上的攻擊,影響會比機密性的攻擊更顯而易見。前兩者帶來的衝擊更大,因為這將帶來生命和財產的真實風險。

舉例來說,一旦有人入侵醫院,相較於有人偷走我的病歷資料,我更擔心,我的血型資料遭竄改,因為這項完整性攻擊,會危急我的生命。儘管我不希望有人入侵我車上的藍芽麥克風,竊聽我的對話,但我更不願意有人關閉我的煞車。前者是機密性攻擊,但後者是性命交關的可用性攻擊。

考慮到萬物聯網,舉凡汽車、醫療設備、無人機、武器系統、溫度控制器、智慧城市系統、發電廠。過去已經出現過DDoS攻擊可讓這些系統當機,儘管臺灣沒有遇到,但在其他國家發生過。像是溫控暖氣設備遭駭,導致水管凍結,影響了全家生活。挪威也有汽車遭遇DDoS攻擊而停擺,幸好,攻擊沒有發生在野外。

這些新威脅,攻擊同樣的系統,卻有非常大的差別。電腦受到攻擊,你損失了資料,但車輛遭到攻擊,你失去的是生命。這兩者可能用的都是同樣的CPU、OS、應用系統和攻擊工具,只是發生地點不同,就造成了極大的差別。

這就帶出了一個新的資安議題,同樣的電腦錯誤會有不同的影響。電腦這種特性和尋常事物截然不同。以車子為例,車子用久了會故障,我們也理解車子的零件會因損耗而故障,所以,業界也有相關的維修服務,甚至發展成整套汽車維修體系,來解決汽車故障的情況。但電腦卻是天天運作正常,卻突然就不能動了,這是日常世界少見的故障模式。

2014年,140萬臺克萊斯勒汽車因軟體漏洞而召修,得鑽開外殼才能更新軟體,別無他法。或像Onity電子鎖後來發現了弱點,駭客不用門鑰就能打開任意一間房間的門,影響了全球400萬間客房,飯店業者得一扇門接著一扇門,一一用螺絲起子打開門鎖才能手動更新,這幾乎是不可能的任務。過去門鎖壞了,飯店只要找來鎖匠就能搞定,但電腦世界的故障不一樣。

傳統的安全系統開始弱化,新的安全有三大挑戰

我們過去長期倚賴的安全系統開始弱化,所以,我們會面臨三項挑戰,一是「更新」,這是唯一維持安全的方法,例如,手機OS廠商的開發團隊,也得負責修補,你的手機也得像電腦一樣,經常更新才會安全。儘管這個安全模式可行,但在低價的嵌入式產品時,例如監視器、家用路由器,毛利微薄又代工生產,就沒有這樣的團隊負責寫程式修補弱點,甚至有些產品無法更新,唯一更新方法是直接買新的。

幸好我們每2、3年就會換手機或電腦,所以,汰舊換新還算是是個不錯的安全機制,新款也的確更安全。但在嵌入式系統也不見得能做到,內有嵌入式電腦的汽車,經過好幾手很多年都會繼續開上路。但你家若有1979年老電腦,現在幾乎沒人知道要維護上面的軟體了。

第二是認證機制,這是一個勉強可用的機制,很多情況密碼一點都沒有用,雙因素也只能有時有效。但現在的驗證是會授權給一項裝置或是一項服務,未來會出現越來越多的物對物的驗證授權,若你生活中擁有1百個IoT裝置,就會有1萬次相互驗證的請求,但是,現有的物-物驗證技術,仍無法規模化。

所以,當你的手機和要汽車藍芽串接時,還是得有手動設定的過程,同樣動作重複25次容易,但若要重複上千次,就會是一大挑戰,可是,在自駕車上,可能隨時有上千次與其他汽車或道路系統裝置彼此相互驗證的需求。

第三項挑戰是供應鏈問題,這是一個非常複雜的跨國問題,一項美國產品,但所用的晶片可能生產地和軟體開發地,都位在不同的地點、國家。一個地方的安全會影響到其他地方,如何防範?目前沒有真正的解法。

當萬物都連線在一起,安全體系已經開始弱化,這不只是技術問題,更像是政策問題。我們欠缺的不是技術,而是政府。

我建議,安全體系要思考2大基本原則,第一是防禦至上,系統設計要優先考慮防禦,不能設計攻擊用或監控用的功能,像幾年前國家機構要求蘋果開後門就得阻止。這些系統太重要了,不能那樣設計,要將防禦作為最高原則。第二個原則是韌性,如果萬物聯網,萬事都需要安全,就需要一個能夠自行維持安全度的設計,這是個工程問題,就是改用「韌性」思維,來設計系統。文⊙王宏仁


Advertisement

更多 iThome相關內容