ADVERTISEMENT
前些日子F-Secure的首席研究長Mikko Hypponen應翔偉資安科技之邀,來台進行為期兩天的資安論壇。在會議的空檔編輯很高興訪問到這位傳奇性人物,並提出一些疑問請Mikko Hypponen回答,他本人也對目前資安防護的未來趨勢提出一些看法。
比特幣的機會與威脅
從來沒有一種貨幣能夠像比特幣(Bitcoin)一樣,在一年內達到7600%的漲幅(現在匯率掉了一些,但依然驚人),當初率先投入的礦工們早已享受一夜致富的爽快感。比特幣是一種虛擬貨幣,具有去中心化,脫離一般金融體制控制的特性,但也是這種跳脫一般人為或政府監控的特性,讓比特幣成為有心者攻擊的對象。
比特幣的原始設計就是以強大的數學演算法,確保貨幣產生或是交易過程萬無一失,引進的加密系統也相當複雜;但雞蛋再密也有縫,「人」這種極度不可靠的生物便是最大的漏洞。雖然比特幣的加密系統複雜,但是程式產生的wallet.dat檔為電子錢包的私鑰,有心人士只需在使用者的電腦裡安裝遙控軟體,竊取此檔之後就極有可能存取電子錢包。同時,比特幣的交易匿名性也讓竊取之後的追蹤變得無計可施(比特幣的交易紀錄公開在網路上,但卻沒有辦法知道誰做了此筆交易)。
Mikko Hypponen以CryptoLocker這個惡意木馬軟體作為例子,此軟體會加密Windows作業系統中特定的檔案,要求使用者支付一定的金額後才可獲得解密金鑰,其中包含以比特幣支付的形式,可見比特幣的高度匿名性已被有心人士注意且利用。
Mikko Hypponen提出一點可供追查的方法,由於目前直接接受比特幣支付的商家還算少數,有心人士須將其轉換為國際上通用的貨幣才可以使用,因此可要求最終將比特幣換為真實貨幣的交易紀錄。
▲左為F-Secure首席研究長Mikko Hypponen,右為翔偉資安科技營運長杜世鵬。
穿戴裝置的安全問題
受到行動裝置興起的影響,手機平板的裝置與人們生活越趨密切,更為個人化的智慧型穿戴裝置也即將席捲市場,像是智慧型手表,智慧型眼鏡等。Mikko Hypponen也預測未來有心人士可能會攻擊這個部分,但因目前市場基數還不夠大,問題尚未發生。
未來發生的時間點主要還是以經濟效益為主,如果市場上對於此類的智慧型穿戴裝置的需求急速增加,那麼發生的時間點就有可能提早來臨。有心人的犯罪方式有可能是讓此類裝置的功能發生問題不易使用,或是直接側錄使用者的隱私並上傳,再勒索求支付贖金。
逐水草而居的攻擊者
Mikko Hypponen談到,現今的Windows作業系統在微軟的努力之下,可遠端遙控或入侵的漏洞已減少許多,因此有心人士將攻擊目標轉為安全性相對來說較不完善的地方,諸如Adobe Flash、.pdf檔或是Oracle Java,特別是網頁瀏覽器的外掛部分。
注意App的權限
針對目前的智慧型手機或是平板,與會中特別提到,因為手機這種裝置相對電腦來說,容易儲存更為隱私的資料,因此在談論到行動安全這一塊,我們反而要聚焦在如何防範App們將我們的資料洩漏出去。
大部分的App都是免費的,但這些開發者們也需要獲利來源,他們的獲利方式就是收集使用者的資料,將這些資料再轉賣給行銷公司或是其他的人。於是我們在使用免費App前要有個認知,免費的背後你可能要付出更大的代價,Mikko Hypponen並說了一句很重要的話:「There’s no free lunch!」。
Mikko Hypponen還舉了個Android App為例子,「Brightest Flashlight」僅是個手電筒軟體,讓手機的LED補光燈發亮而已,但是他卻要求GPS定位的權限,收集用戶資訊的意圖相當明顯。
▲Mikko Hypponen帶來了在台灣難得一見的比特幣實體硬幣(中間下方)。
雙手奉上資料-雲端空間
最近因為中國許多服務供應商的雲端空間大戰,使得此議題浮上檯面:「使用者放上去的資料安全嗎?」
當然,這些公司再三保證使用者上傳的資料絕對安全,有些甚至具有加密功能,確保只有資料的擁有者可以存取。這些當然保證都沒有問題,問題是這些資料並不直接為雲端空間供應商所存取,而是經由類似資料探勘、掃描的方式分析,再根據這些資料直接推送廣告,或是將其販賣給第三方廠商。
另外一點,當刪除這些檔案時,你真的確定他真的從伺服器裡消失了嗎?再者,一堆資料集中在伺服器上,若是業者的安全措施不完善,相當容易成為有心人士的目標。Mikko Hypponen確信這些雲端服務提供使用者相當便利的服務,但重要的資料還是必須由自己所了解並確信其安全的方式儲存。
DNS攻擊頻傳
最後小編問到了前陣子影響許多安全軟體供應商的DNS劫持事件,Mikko Hypponen則是以自身實際參與的DNSChanger事件作為例子。我們一般上網觀看網頁,網頁旁會有一部分的廣告,網站生計大多仰賴此廣告收入,而越受歡迎的網站,其廣告版面價值越高。DNSChanger可將這些廣告內容替換掉,指向此木馬開發者的廣告伺服器,開發者就可以此獲利。
在過去較難定義這類行為犯罪,後來在Mikko Hypponen協助的調查之中,查出約有7人涉案逮捕,希望藉由實際上的判刑或是付出代價,嚇阻其他的類似行為。
延伸閱讀:
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!