由於我們越來越倚賴功能強大且有網路連線的電腦來幫助我們商業方面的需求以及保存 我們的個人資料,因此研發網路與電腦安全的工業也逐漸形成。 在企業中,他們會聘請 安全性的專家來審核系統並且定制出適合他們組織之操作需求的解決方案,因為大部分 公司的運作方式都是相當彈性化的,其員工會有機會在本地端或遠端地存取公司的資訊 科技資源,因此對於安全的電腦運作環境的需求變得越來越重要。
不幸的是,大部分企業(以及個人用戶)都把安全性考量放到最後,排在 系統效能、生產力、以及預算之後。一份適切的安全性政策多半是 後見之明 — 被入侵之後才制訂出來的。安全專家同意, 在連上不值得信任的網路(例如網際網路)之前,就該先做好預防措施, 這可以有效地防止大部分入侵。
電腦的安全性是一個總括的名詞,它涵蓋了關於電腦作業以及資訊處理的一個相當廣泛的 範圍,倚賴電腦系統與網路來處理每天的商業操作與存取重要資訊的公司,他們都將資料 視為他們公司全部資產的一個相當重要的部份。 許多種專有名詞與度量資訊漸次出現在我 們每天的商業生活中,例如整體擁有成本(TCO)以及服務品質保證(QoS)。 由於這些度量資訊, 業界將會計算例如資料完整性與高存取性等層面來當作他們規劃與程序管理成本的一部分。 在某些工業,例如電子商務,資料的可存取性與可靠度甚至可用來定義成功與失敗的關鍵。
許多讀者也許還記得由 Matthew Broderick 主演的電影 "Wargames",在其中他扮演一個入侵美國國防部超級電腦的高中生,並且不經意地導致核子戰爭的威脅。 在這部電影中,Broderick 使用他的數據機撥號進入國防部的電腦(稱為 WOPR),而且與控制 所有核子飛彈庫的人工智慧軟體玩遊戲。 這部電影上映的時機正值西元 1983 年美國與 蘇聯雙方的"冷戰"時期,而且當時在劇場創作上被認定為是一部相當成功的電影。 由於這部電影大受歡迎的影響,激發了許多個人與團體開始實作一些年輕的主角用來 進入受限制系統的方法,包括所謂的 war dialing — 在一個定義好的區域號碼與電話前置字元的結合下,搜尋類比數據機電話號碼的一種方法。
十多年之後,在聯邦調查局(FBI)與全國電腦專家的協助,經過長達四年的 多方司法追緝下,聲名狼籍的電腦駭客Kevin Mitnick終於被逮捕,被控多達 25項關於電腦與電話的詐欺案。這些案件造成八千萬美元的智慧財產與原始碼 損失,受害者遍及諾基亞(Nokia),NEC,昇陽微電腦(Sun MicroSystems) ,網威(Novell),富士通(Fujitsu)與摩托羅拉(Motorola)等。當時聯 邦調查局認為,該案為美國有史以來最大的電腦犯罪案件。最後他被判有罪, 並得服刑68個月。後來他在服刑60個月以後,在2000年1月21日假釋出獄。 法院規定Mitnick在2003年之前,不得使用電腦,也不可從事任何電腦相關的 諮詢工作。調查人員表示,Mitnick是社交工程 — 利用謊言從其他人身上,騙取密碼與系統權限 — 的專家。
由於近年來,人們仰賴公眾網路,交換個人、財務、以及其他機密資料。因此資訊安全 逐漸受到人們的重視。Mitnick與Vladimir Levin的例子層出不窮(欲知更多詳情, 請參閱第 1.1.2 節),提醒各行各業重新思考資料 傳輸與處理的方式是否恰當。網際網路受歡迎的程度,正是讓人煞費苦心,致力於提昇 安全性的重要因素之一。
越來越多人使用他們的個人電腦來存取網際網路所提供的資源,泛從資訊的搜尋與取得, 到電子郵件與電子商務的處理,網際網路已經被認定為二十世紀一項最重要的研究發展。
然而網際網路以及它較早的協定是被開發來當作一個『信賴為基礎的』 系統,也就是說網際網路通訊協定的本身並沒有加上安全性設計的,也沒有任何通過認證的 安全性標準嵌入在 TCP/IP 的傳輸堆疊中,這將會向網路中潛在的惡意使用者與程序開啟 一扇大門。 當代的開發已經使得網際網路的通訊更加地安全,不過仍然有許多獲取全國性 注意的事件發生以警告我們沒有任何事情是絕對安全的。
許多重大事件讓電腦安全的觀念萌芽、成長。以下的時間表列出這些 曾引起社會目光的重大電腦與資訊安全事件,以及這些事件對今日的影響。
1918年,波蘭的密碼學家發明了一種電子轉輪式的密碼機,可以將 一般文字轉為加密文字,這機器稱為Enigma。一開始Enigma是為了 保護銀行間的資料傳輸,但德國軍方旋即發現這機器的潛力,將之 用於第二次世界大戰。另一位天才洋溢的數學家Alan Turing則發 現了破解Enigma的方法,盟軍以此發展了另一套機器Colossus, 據信是讓大戰提早一年結束的功臣。
麻省理工學院(MIT)的學生組成 Tech Model Railroad Club (TMRC),並且開始探索與進行學校 PDP-1 大型主機系統的程式編輯,這個小組創造了今天我們常用的名詞:『駭客』。
美國國防部建立 Advanced Research Projects Agency Network (ARPANet), 這成為一個用作研究與學術用途之資料與資訊電子式交換的通道,它也為今日我們所知的網際網路所屬之載波網路開啟創建的源頭。
Ken Thompson 開發了 UNIX 作業系統,由於它可存取的開發工具與編譯器,以及支援它的 使用者社群,它被廣泛地稱為"最受駭客歡迎"的作業系統,大約在同樣的時間,Dennis Ritchie 開發了 C 程式語言,可以說是電腦歷史上最受歡迎的駭客語言。
一群為政府與業界工作的外聘研發人員 - Bolt,Beranek與Newman - 延伸了 ARPANet,開發出Telnet通訊協定。之前網路僅限於政府工作者與學術單位, 這通訊協定開啟了資料網路大眾化的契機。不過根據許多網路研究指出,Telnet 是公眾網路中,最不安全的通訊協定。
Steve Jobs 與 Steve Wozniak 設立『蘋果電腦』並且開始行銷『個人電腦』(PC),PC 是許多 惡意使用者用來學習遠端破壞系統之技巧的跳板,他們使用一般的 PC 通訊硬體,例如類比式 的數據機與戰爭撥號機(War Dialers)。
Jim Ellis 與 Tom Truscott 建立 USENET:在不同使用者之間,利用電子通訊來交換訊息 的一種佈告欄系統。USENET 很快成為受歡迎的論壇之一,讓使用者交換電腦操作、網路連線 、以及(一定會有的)破解等技術。
IBM 開發並且行銷基於 Intel 8086 微處理器的個人電腦,這種微處理器是相較之下較便宜 的架構,它可將辦公室的電腦操作帶入家庭中。 這也使得 PC 商品化以成為功能強大且簡易 好用的一般可存取的工具,而另一方面這也幫助惡意使用者在家中或辦公室中如此硬體的激增。
由 Vint Cerf 所開發的傳輸控制通訊協定(TCP)已經劃分成為兩個分開的部份,網際網路通訊 協定是來自這次的劃分,而且所結合的 TCP/IP 通訊協定成為了今日所有網際網路通訊的標準。
基於 phreaking 領域的開發或者探索與入侵電話系統,2600: The Hacker Quarterly 雜誌面世而且開始向較廣泛的觀眾討論例如破解電腦與 電腦網路等主題。
在連續九天進行系統入侵與破解的喧鬧後,414 夥伴(由他們所居住以及從事破解的郵遞 區號所命名)被有關單位搜捕,他們入侵了某些最高機密地點的系統,如 Los Alamos National Laboratory,這是一個核子武器的研究單位。
The Legion of Doom 與 Chaos Computer Club 是兩個先驅的怪客群,就是由他們起頭入侵 電腦與電子資料網路的弱點。
1986年,美國國會通過了電腦詐欺濫用法(The Computer Fraud and Abuse Act of 1986)。這要歸功於Ian Murphy(也被稱為 Captain Zap):他入侵了軍用的電腦、從商用公司竊取資料庫裡的商品訂單資訊,並使用管制的政府電話交換機盜打電話。
依據電腦詐欺濫用法,法院判處研究所學生 Robert Morris 有罪。因為他在網際網路 上散播了 Morris 蠕蟲病毒,導致超過 6000 台電腦受害。接下來,這法令規範下的 另一個著名案例,則是高中中輟生Herbert Zinn:他破解並濫用了 AT&T 與 DoD 的系統。
由於 Morris 蠕蟲病毒的痛苦經驗也許會重演的考量,於是創立了資訊安全緊急應變小組(CERT) 來警告電腦的使用者關於網路安全性的議題。
Clifford Stoll 撰寫了 The Cuckoo's Egg 一書,Stoll 著重於 調查入侵他系統的怪客。
ARPANet 退役,這個網路的流量從此轉換到網際網路(Internet)。
Linus Torvalds 開發用於 GNU 作業系統的 Linux 核心,Linux 普及流傳的開發與採用大多 是由於透過網際網路聯繫的使用者與程式開發者間的共同合作。 因為它源自 UNIX,Linux 是 駭客與系統管理員最愛用的,因為使用它來建立執行在專利權(封閉原始碼)作業系統之舊式 伺服器的安全性替代品是相當好用的。
圖形化的網頁瀏覽器已經面世,這也導致公眾化的網際網路存取使用的需求也逐漸嶄露頭角。
Vladimir Levin 以及共犯非法地破解入侵 Citibank 的中央資料庫並且轉匯一千萬元美金 到許多的帳戶,Levin 被 Interpol 所逮捕,而且幾乎所有的款項都已收回。
所有怪客中最為人知的也許就是 Kevin Mitnick,他破解進入許多公司的系統,他竊取的 東西泛從名人的個人資訊到超過兩萬個信用卡號碼以及專利權軟體的原始碼。 他隨即被逮捕 並且被判處網路濫用的罪名,而且在監獄中被監禁了五年。
Kevin Poulsen 與一名不知名的同夥裝配廣播電台的電話系統來贏得車子以及現金的大獎, 他被判處電腦與網路濫用罪名並且被罰監禁五年。
系統與電話系統的破解已經成為一種傳奇性的故事,而且許多將來的怪客會在每年的 DefCon 大會聚集,以慶祝破解的成功以及彼此間交換意見。
一個 19 歲的以色列學生被逮捕而且被判刑,由於他主導在波斯灣戰爭期間許多對美國政府 系統的入侵,軍方的人員表示這是美國歷史上對政府的系統"最具組織且最有系統性的攻擊"。
美國的司法部長 Janet Reno 對政府系統逐漸升高的安全性缺失做出回應,並且設立 國家基礎建設安全防護中心(National Infrastructure Protection Center -- NIPC)。
英國的通訊衛星被不知名人氏接管且勒索贖金,最終該衛星還是歸於英國政府掌控。
在公元兩千年二月,網際網路上許多網路流量相當繁忙的站台遭受到分散式阻絕服務的攻擊 (DDoS),這次的攻擊使得一般的使用者根本無法存取 yahoo.com, cnn.com, amazon.com, fbi.gov 以及許多其他的站台,因為它使用大位元的 ICMP 封包傳送來阻斷路由器達數小時之久 (這也稱為ping flood)。 這個攻擊是由不知名的攻擊者所發起, 他使用特殊建立且可廣泛取得的程式用來掃描有安全性弱點的網路伺服器,並且安裝稱為 『木馬程式』的用戶端應用程式在伺服器上,然後在每一部遭入侵 的伺服器上預定一個攻擊,以癱瘓無辜的站台並且使得它們無法被使用者存取,由於這次的 攻擊,許多人對路由器與所使用的通訊協定運作方式的根本缺失很詬病,因為它們基本上都 接受所有流入的資料,不管封包是從何處或者是以何種目的來傳送的。
這將帶我們進入新的世紀,此時全球有大約有9.45億的人正在使用或使用過網際網路 (資料來源:Computer Industry Almanac, 2004),同時:
每天估計有大約 225 件的重要安全性缺失事件,回報到位於卡內基梅隆大學的 CERT 協調中心。[1]
回報給 CERT 的事件從 2001年的52,658件,到2002 年的82,094 件, 躍升到2003年的 137,529 件。[2]
前三年中,由於三個最危險的網際網路病毒所造成的全世界經濟衝擊,損失估計為132 億美元。[3]
電腦安全已經成為 IT 預算中,一項可估算且必要的支出。需要資料完整性與高存取性 的組織,利用系統管理員,程式設計者與工程師的技術,來確保系統、服務與資訊能穩 定地24小時全天運作。惡意的使用者、程序或有組織性的攻擊等,是企業成功的絆腳石 。
很不幸的,系統與網路的安全性可是一項很困難的主題,需要了解一個組織如何認定、使用、 處理與傳送資訊的複雜知識,了解一個組織(與組成這個組織的個人)所運作生意的方式對 實作一個恰當的安全性規劃是很重要的。
每一種工業的企業仰賴如美國醫學學會(AMA)或美國電子電機工程師學會(IEEE)等標準制定 機構所訂定的條例與規章,資訊安全也是如此,許多安全性的顧問師與販售商同意遵循名為 CIA(Confidentiality, Integrity 與 Availability)的標準安全 性規範,這個三層的模型是用來評估重要資訊的風險以及設立安全性政策的一般可接受的 要件。 以下將以更詳盡的方式描述 CIA 模型:
機密性 — 重要的資訊僅能由一組事先定義好的個人所存取使用,而且要限制未經授權 的資訊傳輸與使用,舉例來說,資訊的機密性能確保顧客的個人或財務資訊不會被未經授權的 個人所竊取並用做非法用途,例如身份的竊取與信用的濫用。
完整性 — 不應該以不完整或不正確的處理方式來更改資訊,未經授權的使用者必須 限制他們修改或毀損重要資訊的能力。
可用性 — 在必要時,經授權的使用者應該在任何時間都能夠存取資訊,可用性就是 一種保證,確保在協定好的頻率與適時的情況下可以取得資訊。 這通常是以百分比來衡量, 而且正式的同意由網路服務提供者與他們的企業客戶所使用的服務層級同意書(SLAs)。
| [1] | 資料來源: http://www.cert.org |
| [2] | |
| [3] |