【大紀元9月18日報導】新世代科技犯罪省思系列專題之三(中央社記者孫承武台北十八日電)電腦網路的普及,雖加速資訊高速傳遞,但威脅性也相對與日俱增,特別是來自駭客犯罪威脅。因此「防駭」應有新的思維,除改善現有已知程式弱點,更應將「安全性的改善需求」視為第一要務,才能大幅降低遭駭客入侵損害風險。
許多高科技產品不斷推出的背後,可發現資訊科技的發展多著重於軟硬體設計功能面與實用性。尤其是軟體設計的實際運用方面,隨使用者需求而有多元化應用,由於軟體設計成本較硬體低,加上開發經過與成果品質,常隨使用者需求及設計者功力而有所不同。
因此在品質落差的結果下,導致欠缺安全考量的軟體漸漸成為新一波的資訊產業潛在危機,這其中特別是來自電腦「駭客」(hacker)的威脅。
雖然近年來政府與企業都強調「資訊安全」重要性。不過,根據刑事警察局資訊室觀察,對一般管理多台不同系統的系統管理者而言,想跟上最新發表的系統漏洞並執行修補程式(Hotfix或Patch),是件十分沈重的工作。
資訊室解釋,這是因為多數管理者負擔太多雜務,除維修機器、簽呈公文、設計程式或解決資訊疑難雜症外,尚得應付企業內外各項紛擾工作,實很難有時間自我充實。重點在於少有資訊部門主管會對還未出現資訊安全入侵發生的系統管理員提出讚許,一般企業主管更是將「沒有問題」視為理所當然,「相信」系統不會被入侵,也不信有人會突破網路防火牆或入侵偵測系統。
對於一個網管系統程式,可從「功能性」及「安全性」兩方面探討,功能性的加強改善工作往往會獲得重視;而安全性改善需求,卻因執行者認知有限而不易獲致良好效果。
特別是在軟體生命週期中,不斷地檢視軟體是否含有不良程式碼,已漸成重要系統設計過程必要工作,雖然分析程式碼細節的安全技術更是艱澀,如事前有計畫地防堵,才能降低發生不法入侵破壞機率。
專責電腦犯罪第一線防制的刑事局偵九隊分析指出,當系統軟體中有不良程式碼被加入,易成為資訊安全內在隱憂,由於大系統的複雜性往往讓使用者不易窺得相關漏洞,因此越是複雜的系統越難分析問題,遑論阻止系統被入侵。
偵九隊從歷來偵辦的駭客案件就發現「越被廣泛使用的軟體,越易成為被入侵攻擊的目標」情形,一旦廣泛使用的軟體被發現新的漏洞,「駭客」可輕易透過網路上其他電腦主機侵入,有時只是享受偷窺的喜悅,或甚至遂行不法。
站在電腦犯罪防制立場,刑事局電腦專家分析,注重軟體本身的安全不僅是沈重負擔,也是件十分艱難的事。因為根本不知道有那個駭客會用設計者想也沒想過的方式滲透侵入。
面對資訊「防駭」,一般也僅能就現有的已知程式弱點改善,例如避免網站主機的動態網頁程式可讓遠端電腦主機的檔案執行,或是檢查網站主機執行檔案來源路徑等,但是對未知部分,恐怕也只能消極祈禱—不會出現。
再者,設計者未必願意花心思在改良軟體的安全性,因為花再多的努力也不會有人感激,或讓使用者感受到設計者在軟體安全上的努力成果,而這些網路安全問題往往只有在駭客事件發生後,才會被注意改善。
就犯罪心理來看,網路普及帶來的電腦犯罪已是難以避免,特別是駭客手段技術不斷提昇,類似潛在威脅與日俱增。問題在於執法與網管人員是否能有效發揮嚇阻力量,而非一路跟在層出不窮的駭客後面,這就得有賴「防駭」思維的改變。
留言