Pages

Thursday, 25 April 2013

《WIRED》記者受「駭」啟示錄(中)- 「社交工程陷阱」正向駭客招手

Cosmo是美國加州的一個青少年駭客,用「社交工程陷阱」突破了 Amazon、AOL、AT&T、Microsoft、Netflix、PayPal還有更多的帳號。Photo: Sandra Garcia

 

惡意軟體猖獗,中小型企業深受其「駭」

若使用惡意軟體竊取密碼更加可惡,這些程式潛入電腦後,將資料送給他人,你卻渾然不知。

Verizon一份報告指出,惡意軟體攻擊在2011年資料外流事件占69%,在Windows系統相當盛行,在Android系統也與日俱增。惡意軟體最常安裝側錄程式或其他偵察軟體,監控打字記錄與瀏覽頁面,目標通常是大型組織,而目的不是為了竊取幾千件密碼,而是要攻占整套系統。

以2007年首次現身的惡意軟體ZeuS為例,只要點擊釣魚電子郵件裡的連結,就會在電腦中安裝軟體,之後就等著用戶登入某個網路銀行帳號,立刻儲存密碼後,送回駭客手中的伺服器。

2010年一起案件中,美國聯邦調查局協助在烏克蘭逮捕五人,歹徒利用ZeuS,向390位被害單位竊取共7000萬美元,其中多為美國小型企業。

此類公司是相當常見的下手對象,美國商務部「國家網路身分認證策略」主管格蘭特(Jeremy Grant)表示,「愈來愈多駭客針對小公司攻擊,因為財力勝過個人,但防護不如大企業。」該部門也正在研究,如何讓世界脫離密碼制度。

若密碼問題僅止於此,系統或許還有得救,只要禁止簡易密碼,並強調棄用舊密碼即可,再加上訓練民眾分辨釣魚詭計(仔細察看任何需輸入密碼的網址),也可以藉由防毒程式根除惡意軟體。

人類的記憶力,才是密碼的最大弱點

但,人類記憶才是最大弱點。密碼必須複雜,才能避免一再遭到破解或被猜到,可是密碼若愈複雜,若未拿紙筆記下,就愈可能遺忘。因此每套需藉密碼存取的系統裡,密碼重設功能都不可或缺。

為了在安全、隱私、便利之間取捨,重設密碼的程序不能太麻煩,導致「社交工程陷阱」(social engineering)很容易奪走你的帳號。美國政府在2011年記錄的駭客入侵案件中,這種技術雖然只占7%,但竊取的資料量卻占37%。

我的蘋果帳號去年夏天就是敗在「社交工程陷阱」中。我的經歷公告周知之後,蘋果改變了作業程序,暫時停止透過電話重設密碼的服務,但網路重設功能不變;一個月後,《紐約時報》科技專欄作家波格(David Pogue)也受害,這次駭客直接突破「驗證問題」,更改他的網路密碼。

一般而言,若是遺忘帳號或密碼,用戶必須回答(理論上)只有本人知道答案的問題。

網網相連,密碼提示=破解鑰匙

波格在蘋果帳號上設定的問題包括:人生第一部車的型號、最喜愛的車型、本人在2000年元旦身在何處。他曾寫過自己第一輛車是Corolla,最近也讚美豐田Prius,而對於第三項問題,駭客只是隨意猜測,結果波格與無數人相同,都在「派對」上度過千禧年第一個早晨。

駭客就這樣進入帳號,取得所有朋友的聯絡方式,還讓波格無法登入。

各位或許覺得,自己不若波格出名,這件事不可能發生在自己身上。不過各位是否曾思考過自己的LinkedIn帳號、Facebook頁面、子女或親友的頁面?

若各位在網路上活動頻繁,要找出標準驗證問題的答案只是小事一椿,母親的中間名記載在Ancestry.com上、中學吉祥物記載在Classmates上、個人生日出現在Facebook上,好友姓名亦然,只是需要多試幾次。

總而言之,密碼關卡很容易淪陷,可能遭遇各種攻擊,在今日的安全系統裡,我們希望密碼好記,能夠採行動登入;希望密碼靈活,個別網站都不同;希望密碼方便,可輕鬆重設;希望密碼安全,能抵抗強力入侵。但真的無法面面俱到。

犯罪集團與無聊青少年共通的可怕興趣

這些駭客究竟是誰?誰想盡辦法摧毀你我生活?這些人士大抵可分為兩類,且同樣很可怕:海外犯罪集團與無聊青少年。

犯罪集團行動效率極高,攻擊事件層出不窮,有些駭客過去編寫惡意程式或病毒,純粹只是為了個人樂趣,想要驗證概念可行,如今卻非這麼回事。

自七、八年前開始,犯罪組織涉入其中,今日,病毒來源比較可能是某個前蘇聯國家幫派成員,而非美國波士頓某間宿舍的年輕人,原因無他,都是為了錢。

2011年,光是俄語系駭客的網路犯罪所得總額約達45億美元,無怪於今網路犯罪規模日增、組織龐大、行為暴力,對象也不再限於企業與金融機構,連個人都不放過。

但是青少年更加可怕,因為他們無法捉摸,攻擊我與波格的網路團體裡,有一名共同成員:代號為Dictate的14歲青少年,他並非傳統駭客,只是在尋找同伴、在網路上聊天、嘗試重設密碼,不過威力同樣驚人。

這些孩子犯案動機為何?多數只是為了好玩,天翻地覆之後,再隔岸觀火,或是利用個人帳號,張貼種族主義等激烈言論,企圖激怒他人。

Dictate表示,「種族主義引起的反應比較好笑,人們不太在意普通駭客入侵的行徑。我們在2010年盜用青少女歌手羅絲(Jenna Rose)的Twitter帳號@jennarose3xo,起初發布公告,讓大家知道帳號被入侵,人們一片靜默,後來上傳黑人影片,並偽裝成畫面主角,大家才開始有反應。」如此反社會人格顯然能掀起波浪。

「社交工程」漏洞,向駭客親切招手

許多孩子的駭客經驗源自Xbox,因為彼此連線競爭,間接鼓勵孩子學會作弊,藉以達成目標,尤其是想辦法竊取他人較簡短的代號,例如Dictate就比Dictate27098顯得珍貴。

駭客Cosmo很早就發現「社交工程陷阱」可利用的漏洞,如亞馬遜商城、PayPal等,幾個月前,我在Cosmo位於南加州的祖母家與他見面,他很自豪地表示,「一切就自動出現在我眼前」。

2012年初,Cosmo參與的團體UGNazi擊潰許多網站,包括納斯達克、中央情報局、4chan等,取得多位名人的個人資料,包括紐約市長彭博、總統歐巴馬、電視主持人歐普拉等,後來聯邦調查局終於在六月逮到Cosmo,發現他年僅15歲;我和他見面時,Cosmo也還沒滿16歲。

正因為Dictate、Cosmo等青少年的行為,密碼制度永遠沒救,警察不可能逮捕所有人,縱然能一網打盡,新駭客也會前仆後繼地出現,密碼重設系統若要符合65歲用戶的需求,就會在幾秒內遭14歲駭客破解。



from WIRED.tw http://wired.tw/2013/04/25/ff-mat-honan-password-hacker2/index.html