10月21號所發生的網路攻擊,讓推特(Twitter)、支付平台PayPal與影音串流平台Netflix等熱門網站相繼癱瘓,這對於網路世界來說無非是一大警訊。來自於新罕布夏州曼徹斯特市(Manchester, N.H.)的網域名稱服務商Dyn(Dynamic Network Services)在遭受網路攻擊後,突顯了消費者教育、為網路設備商立法規定安裝安全軟體,與網路公司必須提升網路安全管理層級的重要性。
這場攻擊是透過孩童監視器或網路攝影機等居家裝置來發動,每秒攻擊流量達1.2兆位元,使得Dyn的系統服務癱瘓。Dyn透過比對網站的網址和用來識別使用者電腦的IP位址,讓使用者能夠連接到他們所選擇的網頁。雖然Dyn在一天內就已經控制住攻擊情勢,但它仍相當訝異會產生如此龐大規模的攻擊。
Dyn策略部門總裁Kyle York對於這次分散式阻斷服務(Ddistributed Ddenial of Service, DDoS)攻擊表示,“這場攻擊相當複雜且發動來源也很分散,共有數以千萬計的IP位址牽涉其中”。當DDoS攻擊發生時,大量的網路裝置向DNS服務商發送巨量的資料請求,導致原有的服務無法順利進行。
新世界駭客(New World Hackers)宣稱Dyn攻擊事件是他們所為,並於隔天在推特表示,“我們只是打破了先前幾個攻擊記錄,並作出一些記錄能夠再被打破的事情”。新世界駭客並沒有再次攻擊的意願,並說著“我們已經完成目標,退休將成為我們優先考慮的方向”。
充滿挑戰的未來
然而一些專家並不認為新世界駭客會這麼快就收手。但他們的訊息十分明確。馬里蘭大學健康與國土安全中心(University of Maryland Center for Health and Homeland Security)的創辦人兼主任,同時也是法律學院教授的Michael Greenberger表示,“駭客們證明了攻擊可以帶來多大的破壞力。而這也突顯我們有多麼地脆弱”。這無疑是一個警訊,他並指出未來的攻擊將可能擴展到會危及性命的救護系統或是輸電網路。這不是問題的終點,而是一場全新挑戰的開端”。
喬治華盛頓大學資訊基礎建設保護學院(Institute for Information Infrastructure Protection)的執行長兼主席,同時也是人類與組織學習的教授Diana Burley表示,“網路使用者必須小心自己的使用行為,也可以向設備製造商施加壓力,讓它們安裝必要的安全防護軟體”。
Burley表示,“現今,消費者關心的是方便性,以及如何才能以最快速且最有效率的方法達成他們的目標,卻忽略了使用他們的裝置時雖然方便快速,但卻曝露出了潛藏的弱點。如果消費者注意使用上的安全問題,而且他們也知道要如何安全地使用這些裝置,他們就會開始向網路設備廠施加壓力,這些需求將有機會納入產品開發的週期”。
使用者必須留意的地方
Greenberger也表示,“電腦安全是個重要的議題”。他指出,孩童監控系統、網路攝影機與數位記錄器等居家網路裝置,通常採用預設密碼,而這就成為駭客入侵的最佳管道。
Greenberger進一步表示,“當使用者沒有更改預設密碼,駭客就可以很輕易地接管這些裝置,並成為發動攻擊的IP位址之一。他們所掌管的裝置,變成一個個攻擊的武器”。Burley補充指出,“我們或許並不認為數位監控系統、汽車或相機是電腦,但只要可以連接網路就屬於電腦裝置。我們無法輕鬆地使用一台老舊且無法連接網路的裝置”。
Greenberger表示,網路設備製造商必須清楚向使用者說明,更改密碼的必要性。Burley也表示,網路設備商必須留意推出產品的方式。“然而,它們只在乎推出物聯網產品的速度,未全然檢視這些裝置是否安全”。
網路安全責任的歸屬
Greenberger表示,網路設備商應該比消費者承當更多安全責任。“產品必須以不易受到攻擊的方式來開發。他並指出,疏忽理論或我們所說的侵權法,已經開始發展。如果製造商對於沒有向消費者清楚說明更換密碼這件事,他們可能會被認為要負起“任何損害的過失責任”。他補充,這項責任若交由公司承擔,可能會讓它們更加留意必須確保產品安全的義務”。
Greenberger表示,早些時候,公司管理階層將網路安全歸於IT部門的管轄範圍。然而,現在越來越多的高階主管必須處理各個面向的議題,也讓網路安全問題開始受到矚目。然而網路安全所牽涉的範圍相當廣泛,隨之而來的挑戰更是難以想像。Greenberger表示,據統計,目前只有25%的公司有電腦專家可以處理這問題。
Burley表示,辨別責任的歸屬,是一件很重要的事情。她指出,軟體開發的過程相當地複雜,設備製造商必須彙整來自各供應商的不同類型的軟體程式碼。
Burley指出,雖然最近網路攻擊的受災地是在美國東岸,但影響層面遠遠不止如此。“這是全球性的問題,網路是沒有國界的”。
行動議程
Greenberger表示,我們應該要更在意這些網路安全管理上的問題。聯邦政府與許多州政府已經向設備製造商“請求”,必須將它們自己的產品做最好的把關。因為多達85%的網路設備商,都屬於私人公司。他表示“我們會向人們請求做正確的事,並集中更多的注意力來檢視產品審核的結果。就像是藥廠推出藥品,而我們卻沒有要求藥廠應該要安全地製造一樣。在網路安全領域我們也遇到同樣的問題”。
Greenberger也對居家裝置連接網路的效益感到懷疑,就成本效益的分析層面來看,居家裝置連接網路的成效對消費者來說顯然是不足的。這些裝置連接網路的效益,和它可能造成的損失相較,並不值得。
Burley表示,網路裝置的安全性問題,必須由消費者、政府與產品製造商共同承擔的。“這不是單方的責任歸屬問題,而是共同的責任”。
然而,Burley認為唯有衝擊性的事情發生,才有驅動改變的可能;並表示著“我們只會在醫療裝置或其他事情會造成生命危害的時候,才會開始在乎、重視。你並不會想看到災難性的事件,但它奪取注意力的效果卻超乎想像”。
Greenberger對此也同意並表示,“最終,我們還是得經歷像911攻擊那般震撼的衝擊,才能喚醒人們對網路安全的重視”。(編譯/Bevis)
《K@W》授權轉載