安全与隐私

黑客攻防战

字号+ 作者:撰文/整理/科学人 来源:ylib 2019-07-17 23:02

大家都知道黑客,但黑客其实还分两种。黑帽黑客是以利益为导向,专门寻找系统或程序漏洞,会入侵网站与装置,窃取个人资料,牟取不当的利益


图片来源:
pixabay


大家都知道黑客,但黑客其实还分两种。黑帽黑客是以利益为导向,专门寻找系统或程序漏洞,会入侵网站与装置,窃取个人资料,牟取不当的利益。黑帽黑客对金钱特别有兴趣,例如在2016年,台湾地区曾发生银行ATM被骇事件,多台ATM在黑客操控之下自动吐钞,让银行损失不少。
 
相对于黑帽黑客的行径,孙宏民比喻,白帽黑客像是“站在正义的一方”,他们具有黑客的知识与能力,了解黑客的手法,能够修补网站漏洞与程序漏洞,阻绝黑帽黑客的攻击。一般而言,公司里的系统管理员就属于白帽黑客。相对于黑帽黑客的攻击角色,白帽黑客扮演的是“守”的角色。
 
黑客手法推陈出新
 
黑客会使用的手段很多,其一是社交工程。例如,他们会佯装信息人员、银行人员、委外厂商或上级单位,借机骗取账号密码。他们也可能借助伪装的工具档案、图片,或电子邮件夹文件,让使用者点击后安装恶意代码,借此监控你的一举一动,趁你登入网站时窃取账号密码。此外,他们也会利用实时通讯软件(如MSN或Line)佯装成你的亲友,诱骗你点选讯息中的恶意链接。
 
社交工程就是利用人性弱点来骗取机敏数据,有效预防方法如下:不未经确认即提供数据、不开启来路不明的连结或档案、不登入未经确认的网站、不下载非法软件或档案。
 
关于个人资料隐私,台湾地区在2012年开始实施个人资料保护法,企业不得外泄个人资料,违者罚款,且可能有刑事责任。但个人资料外泄在全世界都非常频繁。例如在2012年,Dropbox有6800多万笔帐密外泄,Yahoo在2013年承认有30亿账号与密码被骇。在个人资料隐私经常遭受威胁的今天,我们如何自保呢?孙宏民建议:不使用弱密码、不使用单一密码、定期更换密码、使用两阶段认证。
 
2017年5月12日,全球有几十万台计算机中了加密勒索软件的毒,台湾地区成为重灾区,让我们记忆犹新。黑客利用操作系统的漏洞,入侵企业或个人计算机,进行档案加密之后要求受害者付出比特币当赎金。孙宏民说:“黑客精明之处在于,发动攻击前先买了大量比特币,再趁受害者购买时以高价卖出,之后又收到比特币赎金后,双重获利。”
 
勒索软件有很多感染途径,即使你不做任何事也可能受到攻击,有效防御除了不随便点连结,不随便下载文件之外,记得定期更新系统、软件,以及备份数据。中了勒索软件也要保持冷静,因为有些勒索软件即使支付赎金也拿不回数据。
 
下一个目标:物联网
 
现在物联网兴起,任何连上网络的装置都可能遭黑客觊觎,物联网安全遂成为最新的安全课题。
 
 
面对这样的威胁,我们应做好预防措施:不使用来路不明的装置、定期更新固件、不直接连网,使用内网保护、不使用没登入机制的装置,以及不使用默认的账号密码。
 
研究安全,必须知己知彼、能攻能守,孙宏民主持的研究室就研发出破解勒索软件的办法,他透过影片示范如何假冒GPS讯号(GPS spoofing)。孙宏民开玩笑地说,假冒GPS除了可以拿来玩宝可梦(到异地抓怪),对Amazon正在发展的无人机(drone)送货也是项威胁。可见黑客攻防是一场必须与时俱进的战争。




 


相关文章
  • 物联网安全性市场与案例

    物联网安全性市场与案例

    2019-07-30 22:06

  • 物联网装置也要小心被网络攻击!恶意软件Mirai有新变种

    物联网装置也要小心被网络攻击!恶意软件Mirai有新变种

    2019-07-29 22:37

  • 科幻小说?万物联网的资料市集即将到来!

    科幻小说?万物联网的资料市集即将到来!

    2019-07-29 15:50

  • 你的物联网设备是否在偷偷挖掘加密货币?

    你的物联网设备是否在偷偷挖掘加密货币?

    2019-07-25 22:02