Pages

Thursday, 25 April 2013

《WIRED》記者受「駭」啟示錄(上)- ㄧ場足以摧毀你生活的「關鍵密碼戰」

去年夏天,在一個小時內被駭客入侵帳號,導亂整個生活的「苦主」 Mat Honan。 Photo: Ethan Hill

 

你心中是否有個秘密?而且,這個秘密足以摧毀你的生活!

其實這個秘密不太神秘,只是一串英數符號,短則6碼、長則16碼,端視各位的謹慎程度而定,但,它守衛著你的一切。

電子郵件、銀行帳戶、地址、信用卡號碼、子女照片,甚至是個人裸照,以及你在閱讀這些文字時的確切位置……自從進入資訊時代,我們總認為只要精心設計密碼,就足以保護這些貴重資料。但時至今日,這種想法卻淪為謬誤、幻想,也早已過時。任何人若還墨守成規,只是更容易受騙上當。

密碼無論多複雜、多獨特,都無力再保護你

各種資訊外流事件屢見不鮮,駭客入侵電腦系統後,公布無數帳號及密碼。許多人將電子郵件地址重複兩次,做為通用密碼,形成了容易突破的缺口,引發諸多不堪後果。由於大量個人資訊均儲存於雲端,欺騙客服人員重新設定密碼變得更加輕而易舉,駭客只消運用單一服務公布的個人資訊,即可輕鬆進入另一項服務。

去年夏天,短短一小時內,駭客就完全摧毀我的網路生活,我的蘋果、Twitter、Gmail密碼分別有7、10、19碼,全都應聲倒地。因為三個帳號彼此相連,駭客一旦破解一項,其餘便唾手可得。

他們其實只想奪走我的Twitter帳號@mat,因為只有三個字母,顯得格外珍貴。駭客為了拖延我取回帳號掌控權的時間,利用我的蘋果帳號,刪除我在手機、平板電腦及筆記型電腦內所有資訊、所有訊息及文件,也刪除我為一歲半女兒拍攝的每一張照片。

經過悲慘的一天後,我決心認識網路安全世界,而所見所聞令人震懾!你我的數位生活真的很容易崩潰。

密碼號號相連,20分鐘擊潰網路堡壘

若我想闖入你的電子郵件信箱,而你正好有使用AOL的服務,我只需要在網站上提供你的姓名,或許再加上你的出生地,這些資訊上網搜尋輕而易舉,如此AOL就能讓我重新設定密碼,我就能假扮是你登入帳號。

登入之後,我立刻搜尋「銀行」一詞,找出你使用哪家網路銀行,連結至銀行網站後,點擊「遺忘密碼」一欄,即可重新設定密碼,並寄到你的電子郵件信箱,這時我就握有你的存款帳戶及電子郵件。

去年夏天,我學會闖入各種網路服務,只要花費兩分鐘與四美元,我就能從某個簡陋的外國網站上,獲得你的信用卡號、手機號碼、社會安全碼、住家地址。

若再多給我五分鐘,就能入侵你的Amazon、Best Buy、Hulu、Microsoft、Netflix帳戶;假如再給我十分鐘,就可接管你的AT&T、Comcast、Verizon帳號;總共只需20分鐘,你的PayPal帳戶也會落入我手中。這些安全漏洞有些已修補完畢,但並未萬無一失,而且每天都會發現新的缺口。

密碼時代已經終結,我們尚未明白此事

這些服務的共通弱點皆為:密碼。密碼是電腦尚未緊密相連時期的產物,可是今日無論各位採取任何措施,無論密碼長短或複雜與否,都無法阻擋有心人士刻意破解。密碼時代已經終結,只是我們尚未明白此事。

美國麻省理工學院於1961年開發「相容分時系統」(CTSS),可能是世上首批使用密碼的電腦。為了限制個別用戶使用系統的時間,CTSS藉由登入功能管控。隔年,名叫施勒(Allan Scherr)的博士生覺得一天四小時不夠用,便使用簡易方式破解登入障礙,找到儲存密碼的檔案後,全部列印下來,之後一天想用幾小時都不受限。

在網路形成初期,密碼尚可發揮功能,因為需要保護的資料量很少,需要密碼的應用程式也有限,再加上雲端上幾乎沒有個人資訊,侵入他人帳號沒什麼意義,駭客只對大企業系統感興趣。

許多人因此降低警戒心,以電子郵件地址做為通用帳號,縱然帳戶數量後來暴增,不少人習慣不改。

網路電子郵件成為眾多雲端應用程式的入口,民眾開始在雲端處理金融業務,在雲端記錄財務狀況,在雲端計算稅務,無數照片、文件、資料也全都置於雲端。後來大規模駭客事件日增,我們養成所謂「複雜密碼」的奇妙心態。

網路公司藉由這種說法,持續吸引民眾註冊及提供資料,但這種急救措施無法阻擋血流不止。

犧牲「便利」與「隱私」才能保證安全

在現實世界裡,安全架構若要運作,都得犧牲兩項要素:一為便利性,若存取極為困難,再安全的系統也難令人滿意,採用共256個符號的16進位法密碼或許能確保資料安全,但用戶本身恐怕也難以存取帳號,只要讓用戶大為不便,即可輕鬆提升安全性,但實際上無法達成。

二為隱私,若系統設計是為保密,用戶根本不願意讓安全系統在過程中洩露隱私,試想你家臥室裡有個神奇保險箱,不需鑰匙或密碼,因為防盜科技已架設在房裡,隨時監控,只有看到你本人才會開啟。但聽起來不甚理想,若無隱私,就能徹底安全?沒有人會願意接受這種系統。

數十年來,網路公司都很害怕犧牲這兩件事,希望藉由登入程序,讓服務看似既簡單又能充分保密。但如此根本不可能達到足夠的安全層級,因此以「複雜密碼」權充解決之道,只要密碼夠長,摻雜大寫字與數字,再加上驚嘆號,以為一切就沒問題了。

但多年來一切很有問題,今日筆記型電腦運算處理能力高於十年前的高級工作站,要破解長串密碼只是需時長短之別。這還不包括新式駭客技術裡,直接竊取密碼或完全繞過密碼流程,這些均非密碼長短或複雜程度就能夠招架。

2011年,美國資料外流案件數增加67%,每次重大案件也造成鉅額損失。新力PlayStation帳號資料庫於2011年遭駭之後,該公司花費1.71億美元重建網絡,並協助用戶防堵身分遭竊,若再加上業務流失等成本,單次駭客入侵事件損失逾10億美元。

網路密碼比你想的容易淪陷

網路密碼淪陷方式眾多,包括猜測、傾印密碼、強行破解、以側錄軟體竊取,甚至完全癱瘓公司客服部門,重新設定所有密碼。

以最簡單的「猜測」為例,「漫不經心」就是最大安全危機。許多人仍使用可輕易猜到的簡單密碼,安全顧問柏奈特(Mark Burnett)從各種隨手可得的來源中,整理出民眾最常使用的萬種密碼,第一名正是「password」(密碼)一詞,第二名則是「123456」,若使用這類密碼,要進入各位的帳戶易如反掌。

Cain and Abel、John the Ripper等免費工具皆可自動推敲密碼,只需網路連線及常用密碼清單,即可闖入無數人的帳戶,且清單早已有人公布在網路上,還製作為方便資料庫使用的格式。

民眾仍使用這類簡易密碼令人意外,但企業仍允許此類密碼繼續使用更令人震驚!常用密碼清單除了可用於破解帳戶資料,亦可用來阻止用戶設定此類密碼,不過光是防堵民眾的壞習慣,也不足以挽救密碼安全機制。

另一項常見錯誤為使用舊密碼,過去兩年間,網路上已公布超過2.8億筆容易破解的密碼。LinkedIn、Yahoo、Gawker、eHarmony等網站均曾發生大規模資料外洩事件,無數帳號與密碼遭竊,公諸在網路上。比對兩批資料後發現,49%的民眾在這些遭入侵的網站中,仍重複使用舊帳號及密碼。

Google軟體工程師斯梅特(Diana Smetters),負責開發認證系統,她指出,「密碼重覆使用最危險,因為此類資訊流通非常迅速。」駭客若將清單公布在網路上,還算是好的;要是壞人竊取密碼後,會默默在黑市轉售,以致你的密碼早已遭破解而不自知,直到那個帳號被完全摧毀。

假網頁「釣魚」上勾,詐騙集團輕鬆得手

駭客也會騙取密碼,其中以網路釣魚最為著名,仿建類似網站後,要求用戶提供登入資訊,美國賓州Shipley Energy公司科技長道尼(Steven Downey)曾在去年春天,描述該公司董事網路帳號如何遭到癱瘓,該名董事使用複雜的英數字混合密碼,保護自己的AOL電子郵件信箱,但如果能說服用戶自願交出密碼,根本毋需耗費一分一毫。

駭客採用網路釣魚技倆,寄送電子郵件給她,連結至偽造AOL頁面,其中要求這位董事提供密碼,她也照實輸入。起初,駭客只是埋伏,閱讀所有訊息及認識用戶,得知董事往來的銀行,還有會計處理財務問題。

駭客甚至還學習董事寫信的慣常用語及格式,之後偽裝成董事致函給會計,要求分三筆匯款至澳洲一家銀行,總數約12萬美元,銀行匯出8.9萬美元後,才驚覺是詐騙案件。



from WIRED.tw http://wired.tw/2013/04/25/ff-mat-honan-password-hacker/index.html