預計在今年2月29日~3月4日於美國舊金山舉辦的RSA會議,在日前公布重要的Keynote主講者人選,其中,有一組擔任 CSI: Cyber panel 演講人選在社交網路Twitter上,遭到很多資安圈內人的吐槽,因為這組人選就是美國影集CSI:Cyber(CSI:網路犯罪)扮演兩位具有超強駭客技能的演員,分別是:扮演FBI特別探員的Daniel Krumitz(克魯米茲)和駭客出身的FBI分析師Brody Nelson(尼爾森),以及節目製作人Anthony E. Zuiker擔任分場的主講者。
資安圈認為CSI:Cyber演員沒資格在RSA大會演講資安主題
對於資安圈的技術人員而言,當然會很不屑這些只會照著劇本演出的演員,心中想的當然是,這些演員怎麼可能具備任何駭客技能,又怎麼可能真正懂得資安產業,更遑論,許多在影片中所展示的「駭客技巧」,更多是誇張的手法。
其中,便有人舉例,克魯米茲有一次在查看惡意程式代碼時,畫面上出現顯示紅色的惡意程式代碼以及綠色的正常程式。對於這些資安人員而言,不論是電影或電視上誇張的演出,有些時候更凸顯現實生活中這些資安專家們的「無能」。而這也難怪,看到這些誇張的演出,都會讓這些真正的資安專家們產生許多憤憤不平之鳴。
目前,因為沒有看到更多的RSA演講者的細節,也不是很確定到時候這一場分場演講,會是怎麼進行的,但說真格的,這樣因應時事、專注在各種網路犯罪手法揭露的影集,真的沒有任何教育和宣導的效果嗎?難道,不具備專業的駭客技能的演講者,就沒有資格陳述他們對資安領域的觀察嗎?我並不這樣認為。
眾所皆知,許多電視或電影的表現手法,往往會是超越現實狀況,不僅是一種戲劇效果,更時候則是劇作家透過他們的想像力,在戲劇中呈現了他們對於未來世界的想像,不可諱言,很多時候,這個世界的發展就越來越像戲劇中的世界一樣。
像是我小時候很迷的星艦迷航記(Star Trek),任何人只要到傳送室喊一聲「傳送(Transfer)」,傳送設備就可以將你傳送到設備可傳送範圍內的任何地方,在各種物理學的進步下,這樣的傳送方式,在未來有一天也將不是夢。或者是小時候覺得和霹靂遊俠李麥克合作的無人車「伙計」很酷,而現在隨著各種無人車計畫和機器學習的進步,現在有可能出現伙計的雛形車。甚至於,基奴李維在駭客任務(The Matrix)中看到母體對於人類的掌控,隨著各種物聯網的蓬勃發展,未來人們難道不會成為「母體」中的一份子嗎?對於專家而言,誇張的戲劇演出或許是一種荒謬,但這又何嘗不是一種人們對於科技進步的另外一種想像呢?
坦白說,如果,今天已經有一項源碼檢測的工具,已經聰明到,可以自動化顯示紅色的程式碼是惡意程式、綠色的程式碼是正常程式,資安專家們不會想用嗎?這對於研發源碼檢測工具的業者們,難道不也是一種可以思考的發展方向嗎?
戲劇其實是真實世界的投影,真實反應各種網路犯罪威脅
這部CSI:Cyber網路犯罪的影集是來自於網路犯罪心理學家梅莉·艾肯(Mary Aiken)的啟發,而製作人為了更貼近真實的網路犯罪專業領域,也曾和資安公司賽門鐵克有相關的合作,而從第一季到第二季所揭櫫的各種網路犯罪手法,即便手法有些或許比較匪夷所思,卻也都是現實社會中值得關注的網路犯罪威脅。
在本週臺灣所播放的CSI:Cyber網路犯罪影集中,就特別提到有越來越多醫療設備和網路連線後,這也成為駭客可以攻擊鎖定的標的。而醫院受駭的風險,也同樣在行政院國土安全辦公室對關鍵基礎設施的分類中呈現,關鍵基礎設施共計8類,分別是:能源、水資源、資通訊、交通、銀行與金融、緊急救援與醫院、中央政府及主要部會、高科技園區等。
醫院的設備連網,從電子病歷開始,串接每一個病人的個人資料與病史,連每個人的用藥記錄,對於哪些藥物過敏等,都如實的呈現在每個人的電子病歷中。影集中,假冒駭客的醫生透過竄改電子病歷,讓病人使用過敏的藥物導致休克死亡;而所有連網的醫療設備,都被植入惡意程式,甚至,一旦試圖刪除惡意程式,這個惡意程式則透過連網方式,關閉病人的呼吸設備讓病人死亡。
而有趣的一點則是,影集中假冒駭客組織的醫生,其實只是購買了威力強大的惡意程式,直接透過在醫院內部網路植入惡意程式,包括連網的智慧電視,也都是整個網路犯罪的一個環節;而被假冒的駭客組織也會跳出來否認他們沒有做這些事情,也和現實生活中的駭客活動情況相似。
如果,你覺得影集中這樣駭入醫院連網醫療裝置的手法其實是無稽之談時,掌管美國食品與藥物安全的食品暨藥物管理局(Food and Drug Administration,FDA)則在一月中旬,發布了醫療裝置上市後的網路安全管理安全準則草案,目的就是希望透過嚴謹的規範,建議醫療裝置製造業者應該要主動提出方案來評估網路安全漏洞、協助解決網路安全的風險,進行資訊分享,建立系統化及結構化的網路安全風險管理方案,做到保護病患的安全與公共健康;即便在產品上市後,相關的醫療裝置製造業者也要做到持續監控、辨識和修補相關醫療設備的安全性漏洞,避免病患遭到網路威脅。
醫療裝置因為大部分是專屬設備,和金融以及工控系統一樣,許多軟硬體升級或者是安全性的漏洞修補等,都必須仰賴原廠提供服務,使用者的IT部門人員不見得有插手的空間。而這些原廠對於相關的漏洞修補速度往往很慢。
以往,在醫院多數裝置並沒有透過網路連線時,甚至都是透過專線做病人的各種病歷資料傳輸時,醫療裝置原廠還有時間慢慢修補漏洞,但是,當現在有越來越多重要的醫療裝置,都透過網路做資料傳輸時,形同於已經暴露在公開的網路上,而每一個醫療裝置甚至有自己的IP位址時,醫療裝置原廠就必須要加速各種漏洞修補的速度,否則,一個不小心,沒有修補好的漏洞可能就會導致醫療裝置出包,更嚴重時,甚至可能損失一條人命。
戲劇往往是真實世界的縮影,當我們認為戲劇往往都是誇大反應一些威脅時,我們或許不知道,已經有類似的威脅開始在真實世界中醞釀。一齣好的戲劇為了吸引觀眾,難免有誇大的手法,但是,透過觀看影集知道現在可能發生的各種網路威脅時,也未嘗不是一種好的資安意識的提升呢?
最後,則跟大家推薦許多資安圈專家們都已經看過的韓劇「幽靈」,若不管中間誇張的變臉情節和情感戲外,劇中提到的各種網路威脅的時間點都符合現實,劇中主角在警校遭遇到的臺灣最強的CIH(車諾比)病毒的時間點就是真實發生的1998年;透過防毒軟體派送惡意程式的手法,也和2013年3月20日黑暗首爾(Dark Seoul)的攻擊手法相近,更遑論,韓國不愧是在網路安全有投資的國家,所有劇中使用的網路偵查工具和情境,都是真實世界常用的Encase、wireshark、OllyDbg、Process、nmap、DDOS、WinHEX、bt5等。在這,也推薦「幽靈」給對資安領域有興趣的IT人觀賞。
本周(1/17~1/23)重要資安事件回顧:
※Google修補Android上的Linux漏洞,指受影響的裝置沒那麼多
※JavaScript之父Brendan Eich發表禁止追蹤的瀏覽器Brave
※Fireeye以2億美元併購威脅情資公司 iSIGHT Partners
※Linux核心含有零時差漏洞,恐影響數千萬Linux電腦/伺服器,6成以上Android裝置也遭殃
※為培養新生代網軍,英國開辦網路007夏令營,每周還有250英鎊薪水
※蘋果Mac OS的Gatekeeper安全漏洞被爆未修補完全
※凱悅飯店惡意程式入侵事件殃及全球250家飯店,台北君悅也受波及