2014 年 11 月 24 日,一個自稱捍衛和平的駭客團體,攻入美國索尼影片公司,揭發了許多商業機密、影片合約、私人信件,索尼最後停止發行有關北韓領導人的喜劇影片「面試」,引發全球大型企業的網路安全關注。除了企業,就在 2015 年,美國的人事管理局遭駭,暴露了 2150 萬人的背景資料,以及 560 萬組指紋。稍後,加拿大社交網站 Ashley Madison 遭駭,3700 萬訪客的真實郵址與個人資料暴露。最教人心驚的是華爾街摩根大通 (J.P. Morgan) 的 8300 萬客戶資料遭竊,傳說三名駭客想要控制股市。網路駭客的破壞能力,不亞於恐怖攻擊。
(圖片取自網路)
索尼事件是個分水嶺,以前的規模較小,從此範圍加大,每次的代價都相對提高,已經提升到影響經濟發展的層級。網路是幾十年設計的,安全考量當時並未列入重點,大家開始使用也不頻繁,並未覺得有什麼不妥。即至使用愈為頻繁,儲存的資料越來越多也越寶貴,對網路的依賴過高,才逐漸考慮到安全,一旦遭受攻擊,突然發現網路安全如此脆弱。當然近年的龐大投資,已經使網路安全提升不少,但基本問題並未解決。
網路系統是由人設計的,運轉的軟體是由人寫的,而人會犯錯。系統設計與軟體,雖然可以由工具自動轉換擴大,但工具的軟體還是人寫的,當初一個錯誤,經過擴大,就成為很多錯誤。電腦科學家早年就說,最好的軟體是簡單的軟體,因為人僅能處理簡單的問題,現在一件工作都可能用到數以百萬計的指令,不再簡單。電腦軟體的平均錯誤率,是每 1000 行編碼,就有一個俗稱「臭蟲」(Bug) 的錯處,少數錯處或許不會影響整體系統,但累積過多就可能產生系統裂縫,成為脆弱的地方。
Wired 雜誌資深記者 Andy Greenberg,在美國聖路易高速公路以時速 100 公里行駛,通風口突然張開,大量冷空氣吹進來,然後收音機自動響起來,以最大音量播放當地搖滾樂電台,窗外的雨刷也動起來,一邊噴水一邊來回擺動,嚴重擋住視線,儀表盤數字亂跳,全部按鈕失控。這時候手機響了,對方說不必驚慌,不會讓你有生命危險。
這不是靈異、也不是電影,是這位記者與兩位網路安全研究員設計的「駭汽車」,這兩位假駭客在十里之外用筆記型電腦遙控,就把這位記者嚇得驚慌失措,因為事先只告訴把車開上高速公路,沒有說怎麼駭。事後告訴記者他們同樣可以控制機電系統,引擎、煞車、方向盤,當然這些都足以致命。研究員把結果與對哪一部份軟體下手告訴了汽車廠,現在已經彌補了缺口。
