熱門:

2017年6月3日

雷兆恒 EJ GLOBAL plus 環地視野

WannaCry如核爆 網絡防線崩潰

資訊戰爭,是爭奪資訊控制權及使用權的戰爭。例如於1991年的波斯灣戰爭中,美軍透過先進的資訊裝備,完全掌控了資訊權。伊拉克軍對美軍的攻擊時間、方式及目標,皆一無所知,戰局完全掌握在美軍手上。

網絡戰爭,即是以電腦網絡為平台的資訊戰爭。今天,電腦網絡是社會各個領域包括軍隊的神經中樞。網絡戰爭被視為常規戰爭,而非實體戰爭的旁枝。《經濟學人》於2010年將網絡戰爭形容為海戰、陸戰、空戰、太空戰以外的第五種戰爭模式。

網絡武器,即是用於網絡戰爭的軍備,主要有以下兩種:

(a)例如最近橫掃全球的勒索軟件WannaCry,就使用了美國國家安全局(NSA)所研發並被竊的網絡武器「永恒之藍」(Eternal Blue)。永恒之藍是一款黑客型網絡武器,能夠自我傳播,並入侵微軟視窗(Windows)作業系統,它利用SMB服務端口(port 445)的漏洞以入侵電腦。如果某區域網絡(LAN)內有一台電腦被入侵,這個區域網絡內其他電腦都會同樣被攻擊。WannaCry使用永恒之藍作傳播及入侵工具,然後在受害電腦內植入勒索程式,強行加密檔案,再要求贖金,若收不到贖金就會刪除該檔案。WannaCry事件是一個警號,讓我們了解到,資訊世界保安可以是多麼脆弱。

(b)永恒之藍可以透過系統更新程式以防範,但另一款網絡武器——分散式阻斷服務攻擊(DDoS),就更難於防範。例如2014年香港大學舉行的Popvote投票,就受到極大規模的DDoS攻擊,在首20小時內錄得超過100億個系統查詢,最高曾錄得300Gbps流量,相等於當年全香港每天的互聯網流量。而當年全球最大的DDoS攻擊都只是約400Gbps(今日紀錄已衝破1000Gbps)。樂視於2016年亦曾遭200Gbps流量的DDoS攻擊,他們稱之為「國家級攻擊」。DDoS攻擊很難防範,因為它是透過殭屍網絡(Bot-Net)發出大量合法或偽造的請求以癱瘓網站。舉例,DDoS就像攻擊者找一堆搞事分子湧入你店內不購物,卻阻礙了真正客人,以癱瘓你的店,而搞事分子及真正顧客是很難區分的。

NSA囤積網絡武器

網絡武器可以嚴重影響社會運作,因為電腦網絡與各行各業皆息息相關。例如永恒之藍被盜用,就嚴重影響了英國公營醫療系統國民保健服務(NHS)的運作。倫敦、英格蘭西北部以至蘇格蘭多間醫院的電腦系統皆因WannaCry而癱瘓,導致非緊急服務受阻,部分救護車要把病人送往其他醫院,以及有病人要取消預約診症。雖然今次攻擊並非針對英國醫療系統,但這顯示了網絡武器的威力:它能夠大規模地攻擊醫療系統,並有能力癱瘓各行各業的電腦系統,包括金融、救護、交通、傳媒等。

NSA發現視窗漏洞後,並沒有通報微軟,而是將漏洞囤積起來用作網絡武器。微軟總裁史密斯(Brad Smith)批評NSA不應囤積漏洞,應通報微軟,並形容是次網絡武器失竊等同於戰斧導彈被盜。理論上任何電腦,作業系統或軟件,皆有被利用作網絡武器的風險,因為軟件漏洞很難徹底避免,而可以用作網絡武器的軟件漏洞,其實多不勝數。網絡武器於全球的概況,沒有確實數字,因為各國也不會披露。據黑客組職 ShadowBreakers所言,他們竊取了包括永恒之藍在內共十幾款網絡武器。而據斯諾登於2013年所披露,CIA網絡情報中心創造了超過1000種電腦病毒和黑客系統。

網絡軍備競賽隱現

NSA局長羅傑斯(Michael Rogers)已請求為2018年增加16%網戰司令部預算,以增加網絡作戰能力。若各國也相應增加其網絡國防預算,就很有可能演變成網絡軍備競賽。其後果是各國需要花費龐大資源研發網絡軍備,而目的只是為了保持勢力平衡,卻增加了技術失竊,危害大眾安全的風險。

若要減少網絡戰爭的禍害,在個人層面,應養成良好的資訊安全習慣,例如定期備份電腦檔案,使用易於記憶但安全的密碼(如大幅增加密碼長度而非增加無意義的字元選擇),以及安裝或更新最新的保安軟件等。要做到這些,學校及職場的網絡安全培訓就非常重要。於國際層面,則應該共同控制網絡武器,避免軍備競賽。各國應簽署網絡協議,確認網絡武器的危險性,協定不生產損害民眾安危的網絡武器,幫助那些受到網絡攻擊的國家,並提高網絡戰爭需要付出的政治代價。舉例,若能預早透過協議要求NSA必須向微軟通報SMB相關漏洞,就不會有WannaCry事件。和平需要溝通,溝通需要互信,而互信則需要保障。現今國際社會已有成熟的核武器規範,下一步各國應該同等看待網絡武器的威脅,以阻止更大規模的網絡衝突發生。

雷兆恒  新加坡科技與設計大學助理教授

放大圖片 / 顯示原圖

放大圖片 / 顯示原圖

放大圖片 / 顯示原圖

訂戶登入

回上

信報簡介 | 服務條款 | 私隱條款 | 免責聲明 | 廣告查詢 | 加入信報 | 聯絡信報

股票及指數資料由財經智珠網有限公司提供。期貨指數資料由天滙財經有限公司提供。外滙及黃金報價由路透社提供。

本網站的內容概不構成任何投資意見,本網站內容亦並非就任何個別投資者的特定投資目標、財務狀況及個別需要而編製。投資者不應只按本網站內容進行投資。在作出任何投資決定前,投資者應考慮產品的特點、其本身的投資目標、可承受的風險程度及其他因素,並適當地尋求獨立的財務及專業意見。本網站及其資訊供應商竭力提供準確而可靠的資料,但並不保證資料絕對無誤,資料如有錯漏而令閣下蒙受損失,本公司概不負責。

You are currently at: www.hkej.com
Skip This Ads