隨著3G/4G無線通訊技術的普及,舉凡學生、上班族乃甚公務人員,擁有智慧型手機的比例正逐漸攀升,在資費可被接受下,利用手機上網已成為生活的一部份。甚至已經有人出現「邊緣化恐懼症」,深怕朋友忽視自己的存在而隨時上網回報目前所在位置,這是人際關係的危機,也是資安教育的一個警鐘。
無所不在的惡意使用者
2011年11月,有民眾向媒體報料,正副總統隨扈在工作時,經常利用手機上Facebook打卡,恐有暴露總統行程之風險。身為維安人員,此種行徑的確非常不專業,這除了凸顯出主管機關對安全人員遴選可能不恰當的問題外,更隱含另一個值得深思的問題,是不是必需透過安全人員隨時上臉書打卡,始能知道總統行蹤?答案恐怕令人詫異。現今許多年輕人的交友平台來自「網路」,彼此在網路上相識之前,對另一方根本一無所知,因此隨時將自己所在位置暴露給網友知悉,除有引賊入室之疑慮外,如果是公務機關還可能涉及機密外洩等問題。許多在公務機關上班的讀者應該知道,多數機關的資訊室(或統計室)會要求所屬人員不得攜帶筆記型電腦或隨身碟入內,以防機密資料外洩。
但現行這種規定已不合時宜,因為帶不帶筆記型電腦或隨身碟根本不是重點,只要智慧型手機有上網功能,一樣可以把資料帶走,要防止員工惡意竊取機密根本防不勝防。更糟糕的是,許多智慧型手機內建行動路由器功能,筆記型電腦只要利用USB連線到手機,即可經由3G/4G上網,不需要使用機關內部網路,過往監控內網連線狀態及設置防火牆阻擋惡意連線的做法,已經無法發揮作用,必須另外想方法才能有效偵防。
上述種種問題凸顯出一個現象,智慧型手機確實改變了人們使用資訊的形態,也讓資安成為更令人擔憂的問題。公務人員利用手機上網無非不可,但若因此洩漏國家機密或機關機密,則非吾人所樂見,更甚者,有些手機製造商在手機中安裝追蹤程式,舉著提昇商品服務的大旗,行的卻是侵害第三人隱私之實,另外還有一種追蹤竊取隱私的情況,乃屬使用者下載了後門程式所致。在這種情況下,惡意使用者對受害者手機的資訊竊取可就一點也不客氣了,為避免被發現,惡意使用者通常一次下載所有手機內存資訊,以減少連線需求,尤其當3G/4G手機日益普及時,因其與IP網路結合越來越密切,許多IP網路應用功能可直接移植到手機上使用,加上一般人對手機防毒觀念的不足,促使智慧型手機成為竊取資訊的最大溫床,相關資訊可參考行動網路聯盟(OMA)網站。
為了讓智慧型手機納入IP網路資訊防護的安全網,各國無不加緊腳步研發數位網路追蹤與審核機制,美國甚至欲將此類技術立法,比照資訊加密器(ciphers)的安全等級,作為某些國家的禁止輸出項目,可見美國已將此類技術視為等同於軍事武器的安全等級。目前此類技術的發展尚未普及到個人層級,僅限於國家機關或大型軍事機構使用,除成本考量之外,還涉及到侵犯他人隱私的問題,故許多國家將此類追訴權指定專屬機構負責。
深度解析網路追蹤技術
目前常見的網路追蹤技術研究可以分成三種類型:一種稱為IP追蹤技術(IP traceback),另一種稱為跳躍式的追蹤技術(traceback across stepping-stones)或非連結鏈(aconnection chain)追蹤技術,第三種則是網路蟲追蹤技術(worm traceback)。因網路蟲追蹤技術有點類似使用後門程式作為追蹤手段,屬於社交工程攻擊的一種,在此不納入討論,僅探討前兩種泛用型追蹤技術。
IP追蹤 VS. 跳躍式追蹤系統
IP追蹤技術,著重於鑑別那些IP位置被冒用的封包「真正原始來源」,例如:網路流量攻擊封包,這種技術的操作層級通常在國際標準化組織(ISO)網路模型的網路層,故需要Router與Gateway的協助。之前我們談過此類技術涉及協同合作層面相當廣泛,若沒有政府以法律為依據強制業者合作,一般人根本難以作到。至於跳躍式追蹤技術,則利用連結鏈來追蹤識別那些隱藏自己真正來源的攻擊者所在,這種追蹤技術的操作層級在應用層而非網路層。
IPTS系統(IP-traceback system)的研究發展,始於1999年大規模分散式阻斷服務攻擊(DDOS),當時有數種方法被提出來討論,其中一種常被使用的IPTS系統乃隨機性IP標記技術,藉由路由器對隨機封包進行路徑資訊的註記,以便受害電腦可以利用這些註記封包進行攻擊封包路徑的重建工程。但這種技術極度仰賴路由器,不但需要業者配合,也會增加路由器工作負擔,而且要達到一定封包量才能重建攻擊路徑,實際執行上並不容易。
除隨機封包標記技術外,在早期H.Y. Chang與R. Narayan亦曾提出DECIDUOUS系統,其利用IPSec的技術,建立一個動態的認證通道,可以用於追蹤攻擊者所在。後來S. M. Bellovin提出了另一種ICMP的追蹤技術稱為iTrace,這種技術可以藉由路由器所產生的iTrace訊息,幫助受害電腦或其上游ISP業者,識別偽造IP封包的來源。另有D. Dean及M. Franklin等學者利用代數方法,將IP追蹤技術轉換為多項式重建問題(polynomial reconstruction problem),並利用代數編碼理論(algebraic coding theory)中的技術找到偽冒封包的真正原始來源。
不過IP追蹤技術有其限制,而且很難揪出發送偽冒IP封包的幕後主機,倘若攻擊者以跳躍或分散式來攻擊受害者電腦,掌握原始IP封包來源並不足以釐清攻擊者所應擔負的損害賠償責任,基此,其後又發展出跳躍式的追蹤技術(traceback across stepping-stones),利用連結訊號來追蹤IP封包,所依據的是封包內的追蹤訊息(tracing information)。
跳躍式追蹤系統的類形大致如圖1所示,主要分成兩大類:主機式(hots-based)追蹤訊息、網路式(network-based)追蹤訊息。但若依據網路流量的追蹤方式來做區分,其追蹤方法又可進一步細分為主動式(active)與被動式(passive)。被動式的追蹤方法乃利用同時比較與監控所有網路流量,因此無法做到只追蹤特定網路流量,相反的,主動式追蹤技術乃利用「客製化行程(customized processing)」進行網路流量的塑形與動態控制,故可以被用於追蹤特定流量上面。
圖1、跳躍式追蹤系統類形
.JPG)
資料來源:本文作者整理,2011/1。
主機式的跳躍式追蹤系統
H. Jung與S. Snapp等人提出的呼叫者識別系統(CIS, Caller Identification System)及分散式入侵偵測系統(DIDS, Distributed Intrusion Detection System),可說是最典型的被動式跳躍式追蹤技術。DIDS利用前攝條件來追蹤所有網路上的使用者,並計算網路上所有運作中的入侵偵測系統數量。為了瞭解目前網路流量的審計資料,每個分散式入侵偵測系統均會蒐集自家領域內網路流量的相關資料(audit trails),作成摘要後,傳送到分散式入侵偵測作業系統的主要主機進行資料分析,由於資料量非常龐大,這種作法並不適用於大型網際網路中。
CIS則是利用真實性分散模型(truly distributed model),取代傳統中心式的控制機制,美國空軍便曾使用這種追蹤技術。在CIS機制裡面,每個網路主機均有其登入(login)序號,如果攻擊者打破這個序號進入其中一部主機,我們便可以利用反序追蹤方式找出攻擊者所在。
主機式追蹤技術的問題是,非常依賴每一個主機的連結資訊,只要其中一部主機出現錯誤,整個追蹤系統就無法有效正確的運作。不幸的是,網路上資訊遺失(封包遺失)乃屬常態,要在網路上使用嚴謹的資訊倚靠性追蹤法,困難度顯然相當高,相反的,網路式追蹤方法,並不需要監控主機的參與,其追蹤技術使用的通常是網路連結屬性,變動性較低,例如:應用層的屬性在連結鏈中是不會被改變的。
網路式的跳躍式追蹤系統
早期,網路式追蹤技術使用的幾乎都是被動式技術,較為有名的像是:計時策略(timing-based scheme)、拇指指紋法(thumbprint)以及偏差統計法(deviation-based approach)…等。計時策略,乃利用不同網路互動流量的時間計時特徵作為追蹤來源的依據,而不管連結之內容為何,且不需要與時脈的同步化有所緊密連結,因此在應付封包重傳的變異上,頗有不錯表現,這種技術也是新式關連式編碼連結(correlating encrypted connections)的啟蒙技術。
至於拇指指紋法則是關連性技術(correlation technique)的先鋒,這種技術應用在網路追蹤上,乃利用時脈同步化(clock synchronization)與連接間隔的對應來產生單一連結的來源識別。但這種方法未考慮封包重傳問題,因此如果應用在即時追蹤上可能會有某種程度的限制。另一種網路式追蹤技術是偏差統計法,這種方法使用的是兩個TCP連結最小平均值差異比較的統計技術,以偵測此兩個連結是否存在關連性。不過這種技術的最小偏差考量乃依據封包的計時特徵(timing characteristics)與TCP封包序號(TCP sequence numbers),而非TCP封包的負載區(TCP payload)。
在對付分散式攻擊方面,目前很多主動式網路跳躍式追蹤系統使用X. Wang等人及D. Schnackenberg等人所提出的技術,也就是靜默浮水印追蹤系統(SWT, Sleepy Watermark Tracing)與入侵識別與隔離協定(IDIP, Intrusion Identification and Isolation Protocol)。
靜默浮水印追蹤系統(SWT),主要應用主動式網路及浮水印的技術進行跳躍式追蹤,這種系統的好處是,在平時沒有入侵偵測的情況下,系統處在「靜默」狀態,因此不會花費太多經常性成本,一旦遭到入侵、系統開始偵測時,目標將被標記起來,進行反向連結追蹤入侵點,並啟動或喚醒入侵路徑中的路由器相關功能,以標記入侵路線。這種系統雖提供了高精確度及效能的入侵偵測,但可惜的是這種僅能用在非加密連結(unencrypted connections)上面,如果連結是經過加密的,系統偵測功能就會遭到遮蔽,此為其缺點之一。當然還有其他不同的入侵偵測模型,例如:資料最小化模型(data miningbased models)與早期D. Anderson及H.S. Javits 提出的NIDES/STAT模型或G. Vigna與R. A. Kermmerer所提議之NetSTAT等,均屬值得參考的入侵偵測方式。
至於入侵識別與隔離協定(IDIP)則是一種網路應用層的協定,可以協助系統追蹤並經由交換入侵偵測資訊來隔離入侵者,其入侵偵測效能與網路界限控制器(boundary controller)有密切相關性,因此對每個網路界限控制器的入侵偵測能力均有相同要求,只要其中有一個無法配合,這種系統運作效能就會打折扣。
如何防止追蹤與隱私資料遭竊
防止數位追蹤最簡單的方式,就是不要上網(包含網際網路及傳統電信交換網路)。但就現今社會型態來看幾乎不可能,倘若工作性質使然非得上網不可,那麼最好要有入侵偵測系統…等安全機制。其次則是簡化手機功能及養成正確使用電信裝置習慣,如此一來,就不容易產生裝置位置被追蹤的問題。
若要避免自己遭受莫名的追蹤或盜取個資,並非毫無對策,例如:手機功能越簡單越好,對重要人物或政治人物而言,「簡單原則」是使用資訊設備最好的遵循法則。許多人之所以不知道自己的隱私資料暴露,多數情況是因為不熟悉自身所使用的科技裝置功能,尤其是智慧型手機,使用者習慣是影響安全與否的重要關鍵。
為保險起見,使用者必須確保他人無法隨意存取手機內的資料,或是手機不隨意向他人發送自己不想暴露的訊息,一個作法是隨時「關閉上網功能」,並謹記「專機專用原則」,切莫一部手機集各種功能於一身(例如:提款、家中保全…等)。在使用習慣上,不使用網路時一定將網路連線功能關閉,除可降低耗電量,更重要的是讓手機暫時在網路上失去訊號,不向惡意者發送定位訊息,等需要上網時,再啟動網路連線功能。
另外還有一件很重要的事,就是不要養成隨意去不明網站下載不明軟體使用的「致命壞習慣」,以免手機遭有心人偷偷植入後門程式。如果發現自己手機會自動啟用無線網路連線,或電池消耗情形比以往更為快速時,便要提高警覺,因為有非常大的可能是「手機中毒」了,惡意者可能已經掌握手機資料與個人行蹤,倘若手機有提款功能或連結家裡保全系統,不就更方便他人去搜刮一空?!因此,使用者務必遵循時時關閉上網功能及專機專用原則,一個小動作就可提升自身資訊保密安全,使用者對此豈可不慎!
本文作者為自由作家,數位多媒體暨網路安全顧問如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。