孫維德觀點:
中國的資訊戰騷擾,
也許是數位升級的絕佳契機
孫維德 *作者為台灣金融研訓院特聘外籍研究員;譯者為劉維人。
資訊戰無處不在。(xresch@pixabay)
台灣必須從價值鏈底部開始發展資安能力,而且軍方所需的人才資源,在私營企業應該也很有用。強化資安的過程會經歷好幾個不同階段,無論哪個領域的進步,最後都有助於提升整個國家實力。
美國眾議院議長裴洛西(Nancy Patricia Pelosi)8月訪台之後,中國發動攻擊威脅台灣與盟友,它發射導彈穿越台北上空,並在台灣周圍海域進行軍事演習,但這些行動在物理上都距離台灣人民的生活相當遙遠,因此,中國也同時騷擾台灣的政府網站、銀行等各種基礎建設網絡,試圖給台灣的公民社會一個下馬威。
在不久的未來,這種「灰色地帶」攻擊大概會越來越常見,而且越來越激烈。一般來說,這類騷擾都只是因為中國看台灣的政治傾向不爽而已,並非真正要進行吞併。因為要靠灰色地帶的騷擾來協助軍事吞併,主要方法就是聲東擊西,必須一邊進行騷擾,一邊準備全面入侵。但全面入侵的兵力需求實在太大,所以資源上很可能無法持久。
當然,房間裡的人可能真的在密謀什麼東西;但至少目前為止爆出的網路攻擊,都不是真的要破壞社會或軍隊,而只是要做做樣子打擊士氣,讓台灣民眾相信中國能夠進行更多攻擊。不過,如果全面入侵變得夠划算,中國就真的會動手,所以台灣不應該繼續被動應變,而是應該利用中國騷擾的機會,來解決系統安全的問題。而且在諸多有待改善的目標當中,資安是很有賺頭的領域。只是在實際發展資安之前,台灣得先決定自己要解決什麼問題。
從程式的寫法開始
當然,這說得簡單,做起來難。在網路時代,「資安」幾乎涵蓋了世界上的所有層面。一般人討論資安的時候,通常都想抄捷徑,於是把手段跟目標混為一談,談起防治網路釣魚或者保護個資等。而且資安層面真的太廣,所以要真正找出重點,也許直接扔掉這個詞,從其他地方開始,反而比較實在。
不懂程式的人談到資安,都很容易想到演算法。演算法的確是計算機科學的核心;是軟體公司徵才時要求的基本能力;而且演算法和資安,在密碼學上也有很多重疊之處。但現實中的資安破口,大概都離演算法十萬八千里。
要了解這件事,我們可以看看程式語言在歷史上究竟如何發展。在計算機科學的演進中,安全變得越來越重要。在第一隻電腦病毒出現的5年之後,Python在1991年問世。它的設計理念是「與其事先報備,不如事後道歉」(Better to ask for forgiveness than permission),試圖解決C語言這類老舊程式語言既難用又不安全的問題。當然,在Python越來越普及之後,這種設計理念的缺陷也越來越明顯,而且只要有點法律背景的人,大概都可以一眼看出問題在哪裡。
近年來出現了一些程式語言以相反的理念設計,其中一個最近很紅,叫作Rust。在Rust的設計觀念中,最重要的一項就是防錯管理(Error Management),而要管理的「錯誤」,其實就是那些不是寫給機器跑,而是寫給設計師、其他部門的人,甚至終端使用者看的註解字串。
光看這個例子應該就知道,軟體開發過程中有很多問題都不只是程式問題,而是組織管理的問題。所以即使你完全不懂程式,也不用對資安問題退避三舍,並且可以從這些層面去檢查使用與管理軟體的方式會產生哪些安全漏洞。
認識你的入侵者
大部分的程式錯誤,最多都只會拖慢程式,只有一小部分能夠成為資安破口,所以從整體國家的角度來看,改善資安的第一要務,就是自己打造健全的軟體產業。自己能夠生產安全軟體之後,也就更會知道如何正確使用來自外部的軟體,因為無論是什麼組織,平常使用的軟體大部分都是從外面買來的,而大部分的破口都來自這些外部軟體。再者,絕大多數公司只要真正了解自己需要怎樣的資安環境,都可以直接購買產業中頂尖軟體業製作的系統,來儲存密碼之類的敏感資料。所以只要這個軟體業更加蓬勃,勢必能改善台灣依賴過時軟體和危險作業系統的迫切問題。
民團「經濟民主連合」(經民連)召開記者會,示警中國「資訊戰爭」已經開打。(經民連提供)
當然,台灣的最終目標並非軟體開發,而是要能夠抵禦國家級攻擊。所以不能只靠程式設計,而是得從公開來源情報(OSINT)解決問題。這個領域相當廣泛,其中守護資安的方法,就是用蒐證偵緝的方式,了解潛在入侵者面貌,盡量建立一個完整的威脅模型。
《網路戰兵法》(The Art of Cyberwarfare)的作者Jon DiMaggio,曾在某次訪談中指出幫入侵者分類的重要性。「高級威脅的主要特徵……就是入侵者的目標都相當明確。在入侵孟加拉銀行之前,北韓就花了一整年時間來準備,然後才真正發動假交易。一整年!你平常看到的網路犯罪或機器騷擾,別說要準備一年,大概連準備一天都不願意吧。」
DiMaggio認為,這種高級威脅不會消失。「即使他們駭不進你的網路……也會做出其他破壞。這種攻擊一定會同時設定好幾個目標。只要是面臨某個高級威脅,你就一定會同時受到好幾種攻擊。」此外,這類威脅除了瞄準組織,也會同時攻擊個人,所以必須先了解敵軍的意圖,才能設法回應。
一個國家的情報能力(Intelligence)就跟一個人的智力(Intelligence)一樣具有很多層面。民間與軍方的情報能力往往可以相輔相成,與其他國家建立情報共享協定也會有用。除此之外,「公開情報來源」這個領域正在快速發展,其中有很多功能,例如強制執行等都與民間相關,民間公司可以做出許多貢獻。在這個領域工作,需要強大的邏輯能力和豐富的軟體生態系知識,但工作方式與單純的軟體開發大異其趣。台灣可以發展這方面的資安防護能力,並化為巨大商機,畢竟應該有很多國家的人,都對中國入侵者很感興趣,他們需要一些真正了解中國語言文化的人從旁協助。
邁向東方以色列
無論是軟體開發、情報,還是密碼學,最關鍵的瓶頸都是人力資源。這個問題有點麻煩,因為這類技能大部分都只能邊做邊學,無法直接在大學課堂裡教。不過倒是有個類似的小國,在一段時間的經營之後,將孤立無援的國際局勢成功轉換為優勢,這個國家就是以色列。
如今以色列可說是個軟體大國。該國人口只有900萬,幾10年前歷經各種抵制、撤資、旅遊限制;但現在谷歌、臉書、微軟、英特爾卻都將許多業務設在以色列執行。此外,以色列的資安防護產業也是世界一流,間諜軟體飛馬(Pegasus)不僅賺進數億美元,更成為外交政策的重要工具。著名的震網(Stuxnet)病毒據說也是來自以色列,該病毒成功破壞了沒有上網的伊朗核電廠電腦系統,即使在10多年後依然是業界傳奇。
以色列強大的軟體業,跟密集的兵役訓練很有關係。該國大部分年輕人都打過仗,經常會把相關經驗帶進公司。以色列的8200網戰部隊(Unit8200),則素有IT創業搖籃的美名,是軍民結合的著名範例。美國也有類似的體制,例如世界頂尖的研究型大學體系,以及矽谷企業圈。這兩個國家都用相關體制,發展出數論(Number Theory)這種可以用來破解古典密碼的數學領域知識,例如8200網戰部隊的研究範圍之一,就是訊號解碼(SIGINT)。不過短期內這些條件台灣都難以複製。
台灣短期內最可能的方向,是快速培植軟體業。如果制定嚴格的網路安全法律,市場上可能就會出現大量的相關需求。當然,這些需求很可能都是為了應付公事,不太可能觸及技術最前線;但密碼學領域最先進的攻擊其實大半都只是紙上談兵,理論上非常強大,卻不太可能實際執行。現實中的攻擊往往都很低階,像之前入侵7-Eleven電子看板的方式,大概就不會多複雜。
台灣必須從價值鏈底部開始發展資安能力,而且軍方所需的人才資源,在私營企業應該也很有用。強化資安的過程會經歷好幾個不同階段,無論哪個領域的進步,最後都有助於提升整個國家實力。中國祭出大量高級威脅,其實可謂是給台灣送上一份大禮。
留言列表