駭客攻防戰

駭客攻防戰
講者／孫宏民（清大資訊系統與應用所所長）│彙整／《科學人》編輯團隊
轉載自2018.01.14〈科創講堂．ICT資通訊科技〉

大家都知道駭客，但駭客其實還分兩種。黑帽駭客是以利益為導向，專門尋找系統或程式漏洞，會入侵網站與裝置，竊取個人資料，牟取不當的利益。黑帽駭客對金錢特別有興趣，例如在2016年，台灣曾發生銀行ATM被駭事件，多台ATM在駭客操控之下自動吐鈔，讓銀行損失不貲。相對於黑帽駭客的行徑，白帽駭客則像是站在正義的一方，他們具有駭客的知識與能力，了解駭客的手法，能夠修補網站漏洞與城市漏洞，阻絕黑帽駭客的攻擊。一般而言，公司裡的系統管理員就屬於白帽駭客。相對於黑帽駭客的攻擊角色，白帽駭客扮演的是「守」的角色。

駭客手法

駭客會使用的手段很多，其一是社交工程。例如，他們會佯裝資訊人員、銀行人員、委外廠商或上級單位，藉機騙取帳號密碼。他們也可能藉由偽裝的工具檔案、圖片，或電子郵件夾檔，讓使用者點擊後安裝惡意程式碼，藉此監控你的一舉一動，趁你登入網站時竊取帳號密碼。此外，他們也會利用即時通訊軟體（如MSN或Line）佯裝成你的親友，誘騙你點選訊息中的惡意連結。

社交工程就是利用人性弱點來騙取機敏資料，有效預防方法如下：不未經確認即提供資料、不開啟來路不明的連結或檔案、不登入未經確認的網站、不下載非法軟體或檔案。

關於個資隱私，在2012年，台灣開始實施個人資料保護法，企業不得外洩個人資料，違者罰款，且可能有刑事責任。

但個資外洩在全世界都非常頻繁。例如在2012年，Dropbox有6800多萬筆帳密外洩，Yahoo在2013年承認有30億帳號與密碼被駭。在個資隱私經常遭受威脅的今天，我們如何自保呢？孫宏民建議：不使用弱密碼、不使用單一密碼、定期更換密碼、使用兩階段認證。

2017年5月12日，全球有幾十萬台電腦中了加密勒索軟體的毒，台灣成為重災區，讓國人記憶猶新。駭客利用作業系統的漏洞，入侵企業或個人電腦，進行檔案加密之後要求受害者付出比特幣當贖金。駭客精明之處在於，發動攻擊前先買了大量比特幣，這樣不僅能收到比特幣，事後還能以高價賣出，雙重獲利。

勒索軟體感染有很多途徑，即使你不做任何事也可能受到攻擊，有效防禦除了不隨便點連結，不隨便下載檔案之外，記得定期更新系統、軟體，以及備份資料。中了勒索軟體也要保持冷靜，因為有些勒索軟體即使支付贖金也拿不回資料。

新的威脅：物聯網安全

現在物聯網興起，任何連上網路的裝置都可能遭駭客覬覦，物聯網安全遂成為最新的資安課題。之前就有條新聞：台灣有上百支監視器畫面外流，全球直播看光光。

面對這樣的威脅，我們應做好預防措施：不使用來路不明的裝置、定期更新韌體、不直接連網，使用內網保護、不使用沒登入機制的裝置，以及不使用預設的帳號密碼。

研究資安，必須知己知彼、能攻能守，孫宏民主持的研究室就研發出破解勒索軟體的辦法，他也透過影片示範如何假冒GPS訊號（GPS spoofing）。孫宏民開玩笑地說，假冒GPS除了可以拿來玩寶可夢（到異地抓怪），對Amazon正在發展的無人機（drone）送貨也是項威脅。可見駭客攻防是一場必須與時俱進的戰爭。

(本文由教育部補助「AI報報─AI科普推廣計畫」取得網路轉載授權)