張耀中 Lennon Chang /香港城市大學應用社會科學系
◎臺灣是散播網路惡意程式的核心國家?
近日來,全球網路攻擊新聞頻傳,讓全球興了一股檢討網路安全的風潮。南韓在今(2013)年3月20日遭受到駭客惡意的攻擊,電視台、金融機構及企業受到大規模癱瘓式的惡意攻擊,遇襲企業的作業電腦螢幕呈現空白,或出現錯誤訊息,或有骷顱頭像,甚至部分企業網路全面癱瘓高達四小時。新聞因此中斷,部分金融機構因為網路當機,許多民眾無法透過信用卡或簽帳卡進行付款,也無法透過ATM領到現金。幾日後,全球偵測、過濾垃圾郵件的歐洲組織Spamhaus也遭到駭客利用殭屍網路網路(Botnet)進行阻斷性攻擊(Distributed Denial of Service attack, DDoS),導日全球網路連線速度明顯變慢,全球數億網路用戶均受到明顯的影響。
【台灣總統府被建中學生駭入留言】
談到全球網路惡意程式的活動,臺灣一直網路惡意程式活動盛行的國家。它不僅是亞洲地區經常受到攻擊最多的國家之一,同時也是進行攻擊的國家之一。由於臺灣資訊與通訊的發達,目前台灣網路使用者幾乎達全部人口的80%。臺灣電腦受到殭屍網路控制的數目,已經連續幾年在亞洲地區位居前位,許多有心的攻擊者均可以將臺灣的網路當作跳板,透過臺灣受控制的電腦發動網路攻擊。舉例來說,在2010年所發生之中國Google受到大規模攻擊的國際事件中,許多臺灣的電腦均扮演了攻擊者的角色。
◎攏系阿共仔的陰謀?
傳統的軍事或恐怖攻擊可以清楚地找到攻擊的來源,甚或是受到那些國家支持,但是網路上的攻擊,通常很難找到幕後的黑手。當美國與台灣被網路攻擊時,中華人民共和國往往是第一個被指控的國家。南韓受到攻擊時,透過網路攻擊位址的追查,發現攻擊IP來自於中國,因而控訴中國政府發動攻擊。然在幾日後,南韓政府又發出一份聲明,表示攻擊IP位址是來自美國與歐洲共四個國家,並非最早追查的中國。
這種透過攻擊來源而指控某一政府或國家發動或支持網路攻擊,實際上相當危險,若處理不好則可能造成國家的敵對產生,進而產生對社會更大的損害。如前所述,目前許多攻擊是透過殭屍網路所控制的電腦進行攻擊,究竟是否如同美國與台灣的控訴,認為都是「阿共仔的陰謀」,仍有待商榷。Google在中國曾受到大規模攻擊,根據調查,其中有不少的攻擊是來自臺灣,若沒有仔細追查了解這些電腦的情況,那麼就可能從「攏系阿共仔的陰謀」變成「攏系阿共仔聯合臺灣國民黨的陰謀」。
目前我們大概只能找出那些電腦進行攻擊,但要真正找出攻擊的起源,需多國合作進行犯罪調查與資料交換。圖一模擬了殭屍網路攻擊,若位於B國的電腦網路受到攻擊,要找出真正的攻擊發起者,B國家的執法人員必須與上一層發動攻擊的電腦所在國合作,找出控制這一層殭屍電腦的控制電腦所在國。其後,B國家的執法人員必須與這些所在國的執法人員合作,找出真正的攻擊者所在地。
【假想殭屍網路攻擊模式】
◎全球網路犯罪公約的制定與局限
根據統計,目前殭屍網路所控制的電腦樹可以高達上百萬台,遠比圖一所模擬的情況複雜許多。此外,各國執法人員能力良莠不齊,對於此類犯罪的重視程度也不同,使得這種跨境的網路犯罪偵查有很高的難度。
目前國際對於建立全球性網路犯罪公約雖有相當的共識,但是否需要制定新的公約,或採納現存的網路犯罪公約,仍有歧異。針對跨國共同打擊網路犯罪的機制,從1990年起,聯合國已經做成不少決議(Resolutions 55/63, 56/121與57/239),要求會員國須強化共同打擊網路犯罪的機制。2001年,歐洲理事會(Council of Europe)通過了第一個網路犯罪公約(Convention on Cybercrime),此一網路犯罪公約,經常被視為第一個全球網路犯罪公約,因為它受到聯合國的支持並建議會員國採用。然迄今為止,歐洲仍有部分國家尚未簽屬(如俄國),歐洲理事會以外國家,也僅有澳洲、日本、多明尼加及美國正式修正內國法以符合網路犯罪公約的要求。簡單來說,參與現行網路犯罪公約的國家僅包含全球不到一半的網路人口,大部分亞洲國家均沒有簽屬這一個公約,導致這一個公約仍呈現跛腳的情況。
2010年4月在巴西舉行的第12屆犯罪預防與刑事司法大會 (the 12th United Nations Congress on Crime Prevention and Criminal Justice),中國與俄羅斯等國試著提出新的網路犯罪公約,希望能夠在聯合國大會通過新的網路犯罪公約,以取代由歐洲理事會所制定的網路犯罪公約。然而,這一個提議遭到美國與英國等西方國家反對,西方國家認為,現行網路犯罪公約已經涵蓋足夠的規範來處理當前的網路犯罪問題。
目前跨國網路犯罪偵查網絡的建立,是個別國家之間互相建立合作關係,而非集體共同合作,這也影響了防範跨國網路犯罪的即時及有效性。基此,一些國家開始推動「公、私部門資訊分享」,設立資安事件資訊分享中心(Computer Emergency Response Team,CERT),希望透過即時分享資訊安全事件,以降低網路犯罪對社會所造成的損害。而澳洲與英國更分別在今年的1月與3月成立了反網路威脅的政府組織,提升資安事件資訊分享機制。
【許多國家都設立了CERT防制網路犯罪】
資安事件的資訊分享,簡單來說,與傳染病防治模式類似。網路上的惡意程式與攻擊,就如同真實社會中的傳染病病毒,若我們能夠及早發現,就能夠及早找出防治的模式或是對抗的方式,既使無法立即找到解決的方式,我們也可以透過封鎖受感染電腦的方法,以減少損害與避免擴散。
◎遭網路攻擊的企業=污名化的壞小孩?
雖然透過公私部門合作可以降低網路攻擊風險,但是私部門企業是否會考慮:配合政府而分享資訊安全漏洞的訊息,是否會造成名譽或營利的損失?
或許有部份的企業在受到攻擊後,會願意分享攻擊的資訊,但如同許多感染污名化疾病的人一樣,他們會擔心通報後,會開始遭受政府管制或是被貼上負面的標籤(如愛滋病患),因此並不願意在事件發生後分享相關資訊。基於擔心會受到懲罰或造成公司聲譽上的損害,他們往往都會拖到事件蓋不住的時候,才願意通報。
舉例來說,當一個網路銀行受到網路攻擊,導致癱瘓或資料外洩時,由於擔心顧客的流失,以及可能衍生的金管會稽核與懲罰,他們往往不會主動分享資訊。部分金融業者指出,主動通報的經常會被當成壞小孩,反而是那些後來被發現同樣受到攻擊但沒有通報者,卻能平安過關。
為了鼓勵資安事件資訊共同分享,以防止更多的病毒感染,受通報單位應該仔細考慮,如何保護通報者以避免其公司聲譽的損失;如何避免受攻擊單位在通報後,不會遭受主管單位的稽核與懲罰;以協助或獎勵的方式來鼓勵受攻擊單位進行通報。
【小編註:對於網路犯罪有興趣的讀者,可以參考張教授出版的書籍:L.Y.C. Chang (2011). Cybercrime in the Greater China Region: Regulatory Responses and Crime Prevention across the Taiwan Strait. Cheltenham: Edward Elgar】
在〈攏系阿共仔的陰謀啦!?網路犯罪的偵查〉中有 1 則留言