快訊

「管爺」玩臉書社團聲量漲 變外送平台優惠碼逗樂師生

《零時差攻擊》當有攻擊者要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒用?

書名:《零時差攻擊:一秒癱瘓世界!》 
作者:妮可·柏勒斯 (Nicole Perlroth) 
出版社:麥田出版/城邦文化 
出版時間:2021年10月02日
書名:《零時差攻擊:一秒癱瘓世界!》
作者:妮可·柏勒斯 (Nicole Perlroth)
出版社:麥田出版/城邦文化
出版時間:2021年10月02日

資安攻防的兩個零—零時差與零信任

文/吳其勳(iThome總編輯、臺灣資安大會主席)

十年前我採訪資安新聞時,曾有一位白帽駭客專家對我說:「如果攻擊者真要入侵你的電腦,不管你裝了什麼樣的防毒軟體都沒有用,裝了等於沒裝。」

我原以為這只是他藉機嘲諷防毒軟體廠商的一句玩笑話,畢竟當時一般個人電腦的資安防護,主要就是靠防毒軟體過濾電腦病毒,以避免電腦中毒。所以我很納悶地問:「裝了防毒軟體也無效!難道可以不採取任何防護措施嗎?」

這位白帽駭客進一步說道:「如果中國網軍鎖定要入侵你的電腦,他們會利用世人都還不知道的軟體漏洞,開發出連防毒軟體都無法辨識的新型攻擊程式,直接就穿越防毒軟體,堂而皇之的入侵電腦。」

後來我才逐漸理解,他的本意並非要我解除防毒軟體,而是提醒零時差漏洞這種資安威脅的存在與其嚴重性。

(圖/Pexels)
(圖/Pexels)

●什麼是零時差漏洞?

所謂的零時差漏洞,是指軟體存在可被利用的安全漏洞,然而多數人、包括該軟體開發者與供應商卻對漏洞的存在一無所悉。從零時差漏洞的生命週期來看,一開始軟體開發者寫好了程式,而程式碼存在一些錯誤(這其實是尋常的事);然而這些錯誤並不影響程式運作,因此連程式開發者自己都未察覺,可想而知,使用者更不會知道這些漏洞的存在。

但是,可能在某一天,這個軟體錯誤被人發現了,心存善意的發現者,會通知軟體開發者,以提供使用者修補更新程式。但若是遇到心懷不軌的人,例如別有居心的網軍、黑帽駭客或網路犯罪組織,他們就可能投入研究該漏洞是否有機可乘,一旦發現利用價值很高,例如可藉此入侵大多數人使用的微軟視窗作業系統或蘋果iOS作業系統,駭客便會進一步設計攻擊程式,利用這個漏洞入侵電腦。而只要這個漏洞尚未曝光,網路攻擊便能持續進行,這就是零時差漏洞

●恐將引發戰爭的核彈級武器

駭客擁有零時差漏洞就可以神不知鬼不覺地進出電腦,控制被駭的電腦,可能長期潛伏在電腦裏監聽使用者的一舉一動、持續竊取電腦裏的機密資料,或是挾持電腦作為發動其它攻擊的傀儡工具,甚至是綁架檔案進行勒索,或摧毀整臺電腦的檔案。而這一切攻擊,都要等到有人也發現了這個程式漏洞,提報給軟體開發者,待修補程式釋出後,針對這個漏洞的攻擊才會失效。然而若使用者不予理會或不知道要安裝修補程式,那麼駭客的攻擊仍然會繼續得逞。

隨著最近幾年資安攻擊事件層出不窮,攻擊手法也日益詭譎多變,我才逐漸理解十年前這位白帽駭客沒有直接點明的事:利用軟體漏洞可以發展出網路武器,而網路武器庫裏的核彈級武器,就是零時差漏洞。

(圖/Pexels)
(圖/Pexels)

網路戰爭的型態有別於傳統戰爭,傳統戰爭的攻擊武器主要是破壞實體,但網路攻擊武器卻是利用軟體漏洞入侵與控制電腦,進而控制與破壞仰賴電腦運作的設備與系統。現今我們生活周遭,從食衣住行育樂到國防軍事,從宇宙的衛星太空船到人手一機的智慧型手機,無一不是依靠晶片、軟體與網路在運行,而這些都是網路武器可以悄然無聲攻擊的目標。近年來,天天目睹網路攻擊與地下漏洞交易的資安專家,紛紛敲響警鐘:網路戰爭即將觸發第三次世界大戰。然而就如同我過往的經驗一樣,當我們每天尚能如常上網、聊天、追劇,未曾親身感受到網路攻擊的威脅,其實很難想像零時差漏洞會對未來的生活造成多大的影響。

值此之際,《零時差攻擊》一書的問世,以第一手調查報導揭露零時差漏洞的地下經濟,帶我們正視零時差攻擊可能對世界造成不可逆轉的衝擊,就顯得格外重要。

●遵奉零信任原則

紐約時報資深資安記者妮可.柏勒斯懷著她對零時差漏洞的好奇,發揮記者追查真相的天性,以長達七年的時間追蹤零時差漏洞市場。期間她採訪超過三百位專家學者、駭客、零時差漏洞掮客與國安官員等,更走遍全世界好幾個國家,一點一滴挖掘出原本難以窺視的零時差地下經濟,不僅讓世人得以一窺神祕的零時差漏洞市場,更帶領讀者探究許多國家為了掌握網路戰場的致勝優勢,而不惜斥資收購與儲備零時差漏洞的現象。這種種作為到底真正保障了國家安全,還是反而助長零時差攻擊走向更偏激的道路?

此外,本書內容的驚悚程度,絕對有助於喚醒大眾對於零時差漏洞日漸失控的警覺,然而驚嚇之餘不免感嘆,難道我們的未來只能任由零時差攻擊擺布嗎?

借鏡此刻全球對抗COVID-19的經驗,會發現零時差漏洞與新冠病毒有其共通之處。在疫苗與治療藥物尚未問世前,COVID-19如同人類的零時差病毒,那麼當時為何臺灣能夠成功抵禦病毒入侵呢?其中一個重要關鍵,就是持續落實勤洗手、戴口罩、保持社交距離,設下一道道防線。這樣的防疫觀念其實與資安業界近來積極推動的零信任(Zero Trust)理念「絕不信任,一律驗證」不謀而合。零信任資安不預設信任,針對每個用戶、每個裝置的每一次行為,唯有經過驗證,才賦予適當權限。透過縮小信任空間、增加驗證頻率,以及適時適當的授權。若我們逐步落實零信任的精神,或許就可以逐漸削弱零時差攻擊的火力,有朝一日成功抑制零時差漏洞。

資安一直被視為專業技術領域,資安書籍也往往因為技術名詞令大眾卻步。本書作者以淺顯易懂的文字與第一人稱敘述方式撰寫,雖然有些描述看在資安專家眼裏或許不夠精準,卻更能吸引一般大眾。本書將帶領讀者一步步深入不為人知的零時差市場,一頁頁揭開零時差 攻擊的神祕面紗,讓讀者宛如置身諜報電影,在不知不覺中親近資安議題,進而喚起其資安意識。

零時差攻擊作者照片|© Christian Högstedt
零時差攻擊作者照片|© Christian Högstedt

作者簡介

妮可·柏勒斯Nicole Perlroth

《紐約時報》網路安全線10年資深記者

美國財經編輯與記者協會頒發的最佳科技報導獎得主

現任《紐約時報》資深網路安全記者,曾獲美國財經編輯與記者協會頒發最佳科技報導獎。於普林斯頓大學從事政治與近東研究,並於史丹福大學取得新聞學碩士學位。目前亦是史丹福大學商學院的客座講師。

柏勒斯曾為《富比士》雜誌撰稿,二〇一一年加入《紐約時報》負責網路安全線,已致力深耕此領域超過十年,曾深度報導俄羅斯對美國核電廠、機場和選舉的網路攻擊,朝鮮對索尼影業、銀行和醫院的網路攻擊,伊朗對石油公司、銀行和美國總統選舉期間的攻擊以及數百起中國網路攻擊事件。

●本文收錄於麥田出版《零時差攻擊:一秒癱瘓世界!《紐約時報》記者追蹤7年、訪問逾300位關鍵人物,揭露21世紀數位軍火地下產業鏈的暗黑真相》推薦序。


資安 駭客 戰爭 麥田出版 閱讀風向球

延伸閱讀

破碎吧!資料。

高鐵高捷收網路炸彈恐嚇信疑有內情 朝資安事件調查

立陶宛警告小米手機資安風險 德國展開調查

老爸電腦遭駭「寫信裝可憐」殺價成功!竟還有駭後教學 網笑翻

相關新聞

廖運潘/雨後天已晴—《茶金歲月》自序

天高し 北埔洋楼 雨後の晴れ 終於散去了,北埔洋樓的陰霾,秋日天高爽。 (北埔姜家歷經榮華、苦難,廖運潘以此俳句表達買回洋樓的莫大欣慰,並分享雨後必有晴天的人生體悟)

他是恐怖情人嗎?《渣男,病態人格》教你看穿危險愛情,逃離情緒勒索!

近日,立委家暴事件震驚社會,如何辨別「恐怖情人」成為人人關注的話題。在一段戀愛關係中,難免會擔心另一半會是恐怖情人嗎?當吵架或分手後自己會受到傷害嗎? 寶瓶文化出版《渣男,病態人格》,由精神科醫生王

《貝佐斯新傳》解開亞馬遜帝國創建標竿式的企業故事

文/布萊德.史東(Brad Stone) 亞馬遜的成長絕招 要充分了解貝佐斯的上兆美元帝國,以及伴隨而來個人財富的增長,我們就必須回顧過去,了解亞馬遜的電子商務事業如何加速成長,以及隨後而至的一些

《無框身體》止痛藥這麼有效,為什麼不敢吃?

妳知道嗎?賀爾蒙細緻變化讓每個女人的身體如此與眾不同。但醫學的問題有時不是非黑即白,灰色地帶總是有許多空間,為了解釋這些不同,就衍生出各式對女性身體的迷思和禁忌。 △ 外陰要亮白又香,才值得被喜歡? △ 流產了,是不是子宮不好?身體差? △ 經痛比別人痛,是不是因為偷喝冰水?止痛藥吃太多? 還有還有更多疑問…… △ 妳的血量跟別人不一樣,是不是月經失調? △ 打COVID-19疫苗會影響月經? △ 生育率低和少子化,讓妳的身體不是妳的身體?不生小孩就是人生失敗? △ 吃避孕藥和止痛藥會傷身體? △ 月經來為什麼還要運動? △ 妳該養卵和養子宮?真有這回事? △ 婦產科

親訪耆老、驗證文獻!《拉流斗霸》挖掘三峽大豹社歷史及遺族命運

新店三峽的大豹溪流域,過去曾經是泰雅族大豹社的聚居地,在理蕃政策下,日本統治者藉由「隘勇線」與現代化的戰爭技術,切割、殲滅山林裡的大豹社,隨後引進「三井合名會社」進行標準的資本主義式經營。 「拉流斗

唯品風尚集團執行長周品均 教你分辨慣老闆特質

如果真要說到什麼是不好的老闆,我來提出幾種類型,大家也可以試著釐清,你目前的老闆到底是不是慣老闆?

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。