F-Security CRO:Sony 影視被駭並非北韓所為

作者 | 發布日期 2014 年 12 月 18 日 14:38 | 分類 資訊安全
F-security-Mikko

除了愛國駭客,會為了國家尊嚴、為了一口氣而戰以外,其他駭客侵入別人電腦,多半是為了金錢上的報酬。今年資安事件頻傳,對於最近 Sony 影業被駭事件,芬安全(F-Security)首席研究長(Chief Research Officer)Mikko Hyppönen 認為, Sony 這次事件並非北韓駭客所為,而是犯罪集團在背後,想要贖金賺錢。




芬安全研究總監 Mikko,赴芬安全首次在台舉辦的資安競賽-獵駭行動時,對媒體表示,資安的重點在於,讓你要保護的東西比其他東西相對安全,就成功了。醫療儀器和行動裝罝,已經比一般裝置安全了。不過,行動裝置由於體積小,很容易掉,增加防護成為需考量的因素。

相對現今的駭客泰半是為了金錢研發惡意軟體,政府研發惡意軟體,則多半是為了情報目的。除非自己承認,一般國家力量支持的駭客攻擊,其實難以確認是誰所為,只能大概推測是誰做的。這次的 Sony 被駭事件,他們留下的韓文蹤跡,根據語言學家分析,覺得他們韓文語言能力很差,就像模仿非英語為母語的人講的拙劣英文。

先前 Mikko 在 TedXGlobal 的演講提到,現在為了好玩寫病毒的駭客已經不多見,多半是犯罪集團為了經濟利益而駭別人電腦,想辦法側錄用戶的信用卡資訊。他們的犯罪所得之多,甚至還能雇用專家,投入資源研發惡意程式。美國警方凍結 Shaileshkumar Jain 在瑞士的帳戶,發現裡面就有 1,490 萬美元。這件事情顯示犯罪所得相當多,也出得起錢請專家人研發和測試惡意程式。

物聯網防駭還不夠有價值

Mikko 對最近火紅的 IoT 議題,目前資安產業還沒有什麼可以著力的地方。對於駭客來說,駭 IoT 裝置,讓這些電器像鬼片那樣忽明忽亮嚇人,除了惡作劇的用途,對金錢動機的人來說還沒有誘因,沒辦法從中獲利。因此保護這些 IoT 裝置的方案,由於還沒有急迫保護的需求,因此還沒有出現。IoT 裝置宣稱的 Smart device,在他眼中是 Exploit device,能連線操控的狀置,連線過去能做好事,意味著壞事也能幹。

相較傳統的駭客監視被害人的敏感個資,IoT 時代的資安威脅會是不同的形式,如偷裝置的運算資源。以今年四、五月的案例,有 8,000 多台的 CCTV 被駭,駭客拿這些裝置的運算測,拿去挖虛擬貨幣 Litecoin。

1999 年 Mikko 曾說,智慧型手機不久會遭到惡意程式攻擊,結果十年之後,手機惡意程式才開始猖獗。Mikko 也不敢說 IoT 何時會成為有價值目標而因此攻擊頻傳。

至於資安公司在行動裝置普及的時代能做什麼,Mikko 覺得,行動平台的資源受到限制,不太能做像是寫程式這種事情。Android 雖然是 Linux 核心,但由於 Android 能調控的選項相當多,相關協力廠商能夠高度客製化整個手機,因此安全性不若 Windows Phone 或者 iPhone 安全。智慧型手機上的安全威脅多是安裝惡意 App,而不是用傳訊軟體用社交工程手法騙用戶點擊惡意連結。

爆料者的黃金時代

在這個年代,除了資安漏洞,內部的洩密者常常是敏感資料外洩的主因,而且洩密越來越容易了。但有不少的洩密者是吹哨者,為了自己的良心而揭發一些事蹟。像是揭漏美國政府大規模監視人民人的 愛德華·史諾登,Mikko 覺得他就相當勇敢,願意放棄人人稱羨的物質條件--待遇優渥的政府差事、美麗夏威夷的房子,還有女朋友的相伴。史諾登為了自己的良知,得放棄這一切,待在莫斯科遠離家人和追殺。

到目前為止,WikiLeaks 爆料的吹哨者都沒有曝光,保護的相當好。資訊時代讓吹哨者有個各種安全管道能夠安心爆料,而不會被輕易查出蹤跡。這些吹哨者的作為,讓組織的行事風格要改變,運作不得不更加道德。

 

芬安全用駭客思維訓練員工

芬安全會保護他們產品的顧客,並不預設用戶都有足夠的資安概念,因此會做好足夠保護措施,讓產品無感運作。芬安全是芬蘭公司,芬蘭的國際地位是獨立而且處於中立立場,並不是屬於俄羅斯、美國、NATO 陣營,消費者對於芬蘭出身的芬安全可以放心。

Mikko 對想要走資安領域的人,學校的教育是否足夠,學生該怎麼加強。由於資安所需要的知識相當專門,像是逆向工程,一般學校並不太著墨,因此芬安全以在職訓練的方式訓練員工。另一方面攻擊手法日新月益,手法技術很多,最重要的是資安的基本概念,還有駭客思維,設身處地,想想駭客會用什麼漏洞入侵。

不少資安機構會雇用駭客,來寫防護程式。芬安全並不認同這種作法,他們不用另一邊的人,因為這些駭客多半為了金錢而侵入系統,心態有問題。

Mikko 提及,Sony 最近在找資安專家,Mikko 的朋友,收到獵人頭訊息,直接表明是替 Sony 找資安專家。四年前 Sony 的 CIO 曾說花太多錢在資安上面,如今發生大事可謂風水輪流轉。

發表迴響