第 1章. 系統安全的概要

由於我們越來越倚賴功能強大且有網路連線的電腦來幫助我們商業方面的需求以及保存 我們的個人資料,因此研發網路與電腦安全的工業也逐漸形成。 在企業中,他們會聘請 安全性的專家來審核系統並且定制出適合他們組織之操作需求的解決方案,因為大部分 公司的運作方式都是相當彈性化的,其員工會有機會在本地端或遠端地存取公司的資訊 科技資源,因此對於安全的電腦運作環境的需求變得越來越重要。

很不幸的,大部份的公司(以及個人使用者)認為安全性的議題為一種再度思考 (在增強系統效能、生產力以及預算的種種考量下,常常被忽視的一個議題)。 實作妥善的安全性設施通常都扮演一種事後檢討的角色 — 例如在發生 未經授權的入侵之後。 安全性的專家建議在將一個站台連線到非安全的網路前 (如網際網路),必須先做好適當的安全措施,這將可以有效地防止大部分的試圖入侵。

1.1. 到底什麼是電腦的安全性?

電腦的安全性是一個總括的名詞,它涵蓋了關於電腦作業以及資訊處理的一個相當廣泛的 範圍,倚賴電腦系統與網路來處理每天的商業操作與存取重要資訊的公司,他們都將資料 視為他們公司全部資產的一個相當重要的部份。 許多種專有名詞與度量資訊漸次出現在我 們每天的商業生活中,例如整體擁有成本(TCO)以及服務品質保證(QoS)。 由於這些度量資訊, 業界將會計算例如資料完整性與高存取性等層面來當作他們規劃與程序管理成本的一部分。 在某些工業,例如電子商務,資料的可存取性與可靠度甚至可用來定義成功與失敗的關鍵。

1.1.1. 電腦的安全性是如何受到大眾注意的?

許多讀者也許還記得由 Matthew Broderick 主演的電影 "Wargames",在其中他扮演一個入侵美國國防部超級電腦的高中生,並且不經意地導致核子戰爭的威脅。 在這部電影中,Broderick 使用他的數據機撥號進入國防部的電腦(稱為 WOPR),而且與控制 所有核子飛彈庫的人工智慧軟體玩遊戲。 這部電影上映的時機正值西元 1983 年美國與 蘇聯雙方的"冷戰"時期,而且當時在劇場創作上被認定為是一部相當成功的電影。 由於這部電影大受歡迎的影響,激發了許多個人與團體開始實作一些年輕的主角用來 進入受限制系統的方法,包括所謂的 war dialing — 在一個定義好的區域號碼與電話前置字元的結合下,搜尋類比數據機電話號碼的一種方法。

十多年之後,在連續四年聯邦調查局與全國的電腦專家共同攜手進行多方司法權追查下, 聲名狼藉的電腦駭客 Kevin Mitnick 被逮捕並且被判刑 25 項有關電腦與存取裝置欺詐的 罪名,導致 Nokia, NEC, Sun Microsystems, Novell, Fujitsu 與 Motorola 等公司智慧 財產權與原始碼大約美金八千萬美元的損失。 在當時 FBI 認定這是美國歷史有史以來最大 的電腦相關罪行。 他認罪並且總共被判刑囚禁 68 個月,因此他在監獄中被囚禁了 60 個月 然後於 2000 年 1 月 21 日假釋出獄。 不過在 2003 年之前,他仍然被禁止使用電腦或者 是從事與電腦相關的顧問工作,從事調查的人員表示 Mitnick 是『社交工程』 方面的專家 — 利用一般人來藉由使用錯誤的憑證獲取密碼與系統的存取權限。

由於近年來逐漸仰賴公眾網路來公開個人、財務與其他受限制的資訊,資訊的安全性的漸漸地受到大眾的重視,有許多例如 Mitnick 與 Vladamir Levin 等的案例(請參考 第 1.1.2 節 以取得更多資訊)來提醒所有工業的組織重新思考他們處理資訊傳輸與公開的方式,網際網路的受歡迎程度是讓所有人費心加強資料安全性的最重要發展因素之一。

越來越多人使用他們的個人電腦來存取網際網路所提供的資源,泛從資訊的搜尋與取得, 到電子郵件與電子商務的處理,網際網路已經被認定為二十世紀一項最重要的研究發展。

然而網際網路以及它較早的協定是被開發來當作一個『信賴為基礎的』 系統,也就是說網際網路通訊協定的本身並沒有加上安全性設計的,也沒有任何通過認證的 安全性標準嵌入在 TCP/IP 的傳輸堆疊中,這將會向網路中潛在的惡意使用者與程序開啟 一扇大門。 當代的開發已經使得網際網路的通訊更加地安全,不過仍然有許多獲取全國性 注意的事件發生以警告我們沒有任何事情是絕對安全的。

1.1.2. 電腦安全性的時間軸

許多重要的事件引發電腦安全性的起源與受人重視,以下列出一些曾經引起大眾注意的電腦與 資訊安全性的重大事件,以及它對今日的影響。

1.1.2.1. 1960 年代

  • 麻省理工學院(MIT)的學生組成 Tech Model Railroad Club (TMRC),並且開始探索與進行 學校 PDP-1 大型主機系統的程式編輯,最終這個群組使得今日我們使用名詞『駭客』在日 常生活中。

  • 美國國防部建立 Advanced Research Projects Agency Network (ARPANet), 這成為一個用作研究與學術用途之資料與資訊電子式交換的通道,它也為今日我們所知的網際網路所屬之載波網路開啟創建的源頭。

  • Ken Thompson 開發了 UNIX 作業系統,由於它可存取的開發工具與編譯器,以及支援它的 使用者社群,它被廣泛地稱為"最受駭客歡迎"的作業系統,大約在同樣的時間,Dennis Ritchie 開發了 C 程式語言,可以說是電腦歷史上最受歡迎的駭客語言。

1.1.2.2. 1970 年代

  • 一群為政府與業界工作的電腦運算研究與開發的契約工作者 - Bolt, Beranek 與 Newman, 他們聯手開發了 Telnet 通訊協定(ARPANet 的一個公眾延伸),這個協定為當時限於政府 工作者與學術研究者所使用之公眾網路向一般大眾開啟大門,然而根據許多安全性的研究專家, Telnet 也是一般認為用於公眾網路最不安全的通訊協定。

  • Steve Jobs 與 Steve Wozniak 設立『蘋果電腦』並且開始行銷『個人電腦』(PC),PC 是許多 惡意使用者用來學習遠端破壞系統之技巧的跳板,他們使用一般的 PC 通訊硬體,例如類比式 的數據機與戰爭撥號機(War Dialers)。

  • Jim Ellis 與 Tom Truscott 建立 USENET,在不同使用者之間使用電子通訊的一種佈告欄 形式的系統,USENET 很快地便成為交換電腦操作、網路連線與系統破解等意見的最受歡迎 的論壇之一。

1.1.2.3. 1980 年代

  • IBM 開發並且行銷基於 Intel 8086 微處理器的個人電腦,這種微處理器是相較之下較便宜 的架構,它可將辦公室的電腦操作帶入家庭中。 這也使得 PC 商品化以成為功能強大且簡易 好用的一般可存取的工具,而另一方面這也幫助惡意使用者在家中或辦公室中如此硬體的激增。

  • 由 Vint Cerf 所開發的傳輸控制通訊協定(TCP)已經劃分成為兩個分開的部份,網際網路通訊 協定是來自這次的劃分,而且所結合的 TCP/IP 通訊協定成為了今日所有網際網路通訊的標準。

  • 基於 phreaking 領域的開發或者探索與入侵電話系統,2600: The Hacker Quarterly 雜誌面世而且開始向較廣泛的觀眾討論例如破解電腦與 電腦網路等主題。

  • 在連續九天進行系統入侵與破解的喧鬧後,414 夥伴(由他們所居住以及從事破解的郵遞 區號所命名)被有關單位搜捕,他們入侵了某些最高機密地點的系統,如 Los Alamos National Laboratory,這是一個核子武器的研究單位。

  • The Legion of Doom 與 Chaos Computer Club 是兩個先驅的怪客群,就是由他們起頭入侵 電腦與電子資料網路的弱點。

  • 美國1986年由國會修正的電腦詐欺濫用法(The Computer Fraud and Abuse Act of 1986) 是基於 Ian Murphy(也被稱為 Captain Zap)的功績,他入侵了軍用的電腦、從商用公司 竊取商品訂購資料庫中的資訊,以及使用受限制的政府電話交換機來打電話。

  • 依據電腦詐欺濫用法,法院判處一位研究所的學生 Robert Morris 有罪,因散播 Morris 蠕蟲病毒到超過連線到網際網路的 6000 台有安全性弱點的電腦。 在這個法令規範下,下一 個最顯著的案例是 Herbert Zinn,一個高中的中輟學生,他破解並濫用屬於 AT&T 與 DoD 的系統。

  • 由於 Morris 蠕蟲病毒的痛苦經驗也許會重演的考量,於是創立了資訊安全緊急應變小組(CERT) 來警告電腦的使用者關於網路安全性的議題。

  • Clifford Stoll 撰寫了 The Cuckoo's Egg 一書,Stoll 著重於 調查入侵他系統的怪客。

1.1.2.4. 1990 年代

  • ARPANet 退役,這個網路的流量從此轉換到網際網路(Internet)。

  • Linus Torvalds 開發用於 GNU 作業系統的 Linux 核心,Linux 普及流傳的開發與採用大多 是由於透過網際網路聯繫的使用者與程式開發者間的共同合作。 因為它源自 UNIX,Linux 是 駭客與系統管理員最愛用的,因為使用它來建立執行在專利權(封閉原始碼)作業系統之舊式 伺服器的安全性替代品是相當好用的。

  • 圖形化的網頁瀏覽器已經面世,這也導致公眾化的網際網路存取使用的需求也逐漸嶄露頭角。

  • Vladimir Levin 以及共犯非法地破解入侵 Citibank 的中央資料庫並且轉匯一千萬元美金 到許多的帳戶,Levin 被 Interpol 所逮捕,而且幾乎所有的款項都已收回。

  • 所有怪客中最為人知的也許就是 Kevin Mitnick,他破解進入許多公司的系統,他竊取的 東西泛從名人的個人資訊到超過兩萬個信用卡號碼以及專利權軟體的原始碼。 他隨即被逮捕 並且被判處網路濫用的罪名,而且在監獄中被監禁了五年。

  • Kevin Poulsen 與一名不知名的同夥裝配廣播電台的電話系統來贏得車子以及現金的大獎, 他被判處電腦與網路濫用罪名並且被罰監禁五年。

  • 系統與電話系統的破解已經成為一種傳奇性的故事,而且許多將來的怪客會在每年的 DefCon 大會聚集,以慶祝破解的成功以及彼此間交換意見。

  • 一個 19 歲的以色列學生被逮捕而且被判刑,由於他主導在波斯灣戰爭期間許多對美國政府 系統的入侵,軍方的人員表示這是美國歷史上對政府的系統"最具組織且最有系統性的攻擊"。

  • 美國的司法部長 Janet Reno 對政府系統逐漸升高的安全性缺失做出回應,並且設立 國家基礎建設安全防護中心(National Infrastructure Protection Center -- NIPC)。

  • 英國的通訊衛星被不知名人氏接管且勒索贖金,最終該衛星還是歸於英國政府掌控。

1.1.3. 今日的安全性議題

在公元兩千年二月,網際網路上許多網路流量相當繁忙的站台遭受到分散式阻絕服務的攻擊 (DDoS),這次的攻擊使得一般的使用者根本無法存取 yahoo.com, cnn.com, amazon.com, fbi.gov 以及許多其他的站台,因為它使用大位元的 ICMP 封包傳送來阻斷路由器達數小時之久 (這也稱為ping flood)。 這個攻擊是由不知名的攻擊者所發起, 他使用特殊建立且可廣泛取得的程式用來掃描有安全性弱點的網路伺服器,並且安裝稱為 『木馬程式』的用戶端應用程式在伺服器上,然後在每一部遭入侵 的伺服器上預定一個攻擊,以癱瘓無辜的站台並且使得它們無法被使用者存取,由於這次的 攻擊,許多人對路由器與所使用的通訊協定運作方式的根本缺失很詬病,因為它們基本上都 接受所有流入的資料,不管封包是從何處或者是以何種目的來傳送的。

這將帶我們進入新的世紀,此時全球有大約四億的人正在使用或使用過網際網路,同時間:

  • 在任何一天,估計有大約 225 件主要的安全性缺失事件回報給位於卡內基梅隆大學的 CERT 協調中心。 [消息來源: http://www.cert.org]

  • 在 2002 年,回報給 CERT 的事件從 2001 年的 52,658 件躍升至 82,094 件,在撰寫此書 的同時(2003 年的第一季),所回報的事件已經是 42,586 件。 [消息來源: http://www.cert.org]

  • 在前兩年中,由三個最危險的網際網路病毒所造成的全世界經濟衝擊,損失估計為一千三百 二十億美金。[消息來源: http://www.newsfactor.com/perl/story/16407.html]

電腦的安全性已經成為所有 IT 預算一項可以計量且必要的支出,需要資料完整性與高存取 性的組織藉由系統管理員程式開發者與工程師的技術來確保他們系統、服務與資訊可以全天 候地被使用與存取。 惡意的使用者、程序或有組織性的攻擊對企業的成功有相當直接的威脅。

很不幸的,系統與網路的安全性可是一項很困難的主題,需要了解一個組織如何認定、使用、 處理與傳送資訊的複雜知識,了解一個組織(與組成這個組織的個人)所運作生意的方式對 實作一個恰當的安全性規劃是很重要的。

1.1.4. 安全性標準化

每一種工業的企業仰賴如美國醫學學會(AMA)或美國電子電機工程師學會(IEEE)等標準制定 機構所訂定的條例與規章,資訊安全也是如此,許多安全性的顧問師與販售商同意遵循名為 CIA(Confidentiality, Integrity 與 Availability)的標準安全 性規範,這個三層的模型是用來評估重要資訊的風險以及設立安全性政策的一般可接受的 要件。 以下將以更詳盡的方式描述 CIA 模型:

  • 機密性 — 重要的資訊僅能由一組事先定義好的個人所存取使用,而且要限制未經授權 的資訊傳輸與使用,舉例來說,資訊的機密性能確保顧客的個人或財務資訊不會被未經授權的 個人所竊取並用做非法用途,例如身份的竊取與信用的濫用。

  • 完整性 — 不應該以不完整或不正確的處理方式來更改資訊,未經授權的使用者必須 限制他們修改或毀損重要資訊的能力。

  • 可用性 — 在必要時,經授權的使用者應該在任何時間都能夠存取資訊,可用性就是 一種保證,確保在協定好的頻率與適時的情況下可以取得資訊。 這通常是以百分比來衡量, 而且正式的同意由網路服務提供者與他們的企業客戶所使用的服務層級同意書(SLAs)。