學校是一個特殊的開放式環境,需兼顧師生之學術自由,無法像企業制式管理,因此學術網路往往也成為駭客們的最佳跳板。
不同於企業的嚴加控管,大學網路開放且進出自由,無法強迫所有人使用電腦時都用帳號密碼登入,學術自由在大學環境裡尤其重要,如果嚴加控管,勢必會造成某部份人的不愉快,也因此校園的學術網路便成了網路資訊安全的死角。例如新竹的某公立大學就曾被大陸駭客利用,當作跳板入侵美國軍方單位。內政部警政署資訊室主任李相臣說,「檢察官一天打3次電話給我,可見事情有多嚴重!」
被借刀殺人的學術資源
過去曾有來自中國大陸的IP去入侵美國一些單位,如空軍基地等,被封鎖後這些駭客開始轉而大舉向台灣學術網路入侵,當作跳板。舉例來說,大學院所教授申請經費用作研究,再用經費採購伺服器放在實驗室裡用作實驗,過了2、3年之後,負責管理的學生也從碩、博士畢業了,之後也無人管理,但伺服器開著也沒人敢去關,而教授可能又顧忌到研究成果,電腦裡面放著自己的研究資料也不讓別人碰,就這樣一直開啟著連網,利用公共資源結果卻變成駭客的跳板。
李相臣表示, 在去年的殭屍網路(BotNet)調查報告裡,台灣竟排名全世界第6,可見影響之大。他也提到,曾有來自台北某私立大學的IP位址,試圖攻擊警政署,警政署去追查卻意外撈到某國外國務院跟其駐外大使館通信之內容,國家與駐外大使館之間應是安全控管最嚴謹的地方,如今卻如同無人之境般被駭客自由來去。學校資源被用作國際恐怖攻擊之用,恐怕是台灣的大專院校應該解決的當務之急。
此外,除了大專院校以外,李相臣也提到,國中、小學常有些電腦課程會要求學生製作自己的部落格,但卻沒有確實教育學生不可將自己的個人資料隨意暴露在網路上。他舉例,曾有個女學生的無名帳號被盜,媽媽帶著女兒急著來報警,說是必須要取得學校的作業資料,經驗豐富的警方卻一眼看穿小女孩的謊言,原來是有不雅照片存放在網路上。為了吸引更多網友的目光,青年學子不僅放上自己的清涼照,也將家裡的電話、手機曝光,引來了犯罪者、戀童癖的覬覦,習得技術卻無相關安全意識,才造成了更多資安與社會問題,這都是教育界所該好好深思的課題。
不易控管的開放性學術網路
由於大學院校的電算中心不像企業一樣可以做入口管制,是比較開放性的,IP位址也很難同時大規模的更新,並且沒有稽核控制的功能。而像是今年5月被發現的DNS漏洞問題,使得DNS可被植入假的記錄,且目前依然沒有辦法被有效解決,儘管ISP業者可以修補部分的DNS漏洞,但在階層式的網路架構下,企業內部網段的cache也沒有辦法即時修補,這也是為什麼DNS漏洞問題依然存在且沒有辦法馬上被遏阻。並且由於軟體的更新、修補都需要重開機,IT人員不敢輕易動作,都要觀望幾個月,否則可能越補洞越大,而且就算上了patch可能還是會有問題,或造成其他系統效能減低等,達友科技資訊安全顧問林皇興說,根據了解全球約還有25%的DNS漏洞還沒被修補。DNS防火牆在國外已經蔚為流行,但在台灣似乎還不算流行概念,它做的並非修復而是隔離,較能夠即使因應DNS漏洞的問題。
不管是國外或是台灣,學術網路的特殊性質都使得它成為一個網路威脅的漏洞、駭客攻擊的資源,如果校園內可以正視這樣的問題,將能夠減少殭屍網路的危害。國外有不少大學機構已經開始著手,美國太平洋大學已經在校園內佈署了NAC,企圖在學術網路的安全與自由當中取得一個平衡,該學校的系統設計師Bill Jiminez以其經驗表示,在導入的過程中他也體會到,任意去改變人們工作的方式,改變人們存取資源的方式,都必須有更高的敏感度去感受他們在乎的事情 以及考慮到會對他們造成什麼影響,他認為與用戶充分溝通是不二法門,要讓使用者知道你要做什麼,以及為什麼要做,而且將能如何改善與提升現狀。
免費比較便宜?
由於校園的學術網路,相較於企業網路來說,是較大型又多變的網路架構,因此網路存取控制也變得棘手。此外,過去對於網域名稱伺服器(DNS Server)的管理上,大部分都是使用免費的軟體來管理,沒有商用技術支援,遇到困難時,只能自己上網尋求支援,並且使用一些文字指令來動作,有些甚至只能採用非常人工的方式,例如說打開EXCEL檔,看看哪個IP還沒有人用,再開放給使用者等。另外也有許多例子是透過自行開發程式來支援,如果其間還歷經多個管理人,維護上也會變得非常困難。
隨著網路需求增多,BotNet問題也層出不窮,DNS解決方案廠商Infoblox亞太區銷售總監羅啟明提到,企業面臨到成本上升,但效能卻下降的問題,自己尋找免費資源來維護、支援DNS反而不符合經濟效益。代理Infoblox的達友科技資訊安全顧問林皇興認為,近年來,在管理上的困難使得許多人開始意識到,免費的不見得就是比較划算的。他說,以他的經驗看來,有些企業甚至每個月要耗費半個人力來專門做DNS管理這件事情,在這些人力耗費的管理成本攤提下來後,似乎沒有比較節省成本。 |