駭客變臥底 愛國成犯罪

時代雜誌在2005年9月報導了一個駭客因為愛國卻變成噩夢的故事(http://www.time.com/time/magazine/article/0,9171,1098961,00.html)。尚恩卡本特(Shawn Carpenter)是一位原本在桑地亞國家實驗室(Sandia National Laboratories)任職的中級電腦分析師，在好奇心和愛國心的驅使下，卡本特利用下班時間加入被美國軍方和情報機構代號稱為“蜘蛛人”志願工作的一員。卡本特在這項志願工作中負責潛入中國大陸的聊天室、BBS和網站，將一切可疑的資訊以及任何和駭客攻擊相關的訊息蒐集並傳遞給FBI。卡本特發現中國駭客的入侵手法非常高明，大多數的駭客入侵政府機關的電腦系統後，就會變得非常興奮，然後開始犯錯；但這些中國駭客卻不會，就連按錯一個按鍵也不可能。 卡本特對這些駭客的行動速度表示驚嘆，中國駭客一進入電腦的系統後，會立即將硬碟中所需要的資料迅速打包並進行轉移傳遞，並且留下一些不容易被人察覺的後門，駭客得以一再控制被入侵的系統，而整個入侵、竊取資料、安裝後門的過程只花費10~30分鐘。在加入志願工作後的數個月，卡本特發現了三部位於廣東省專門用來發動入侵攻擊的電腦主機，並對這三部攻擊主機進行「反入侵的入侵行為」，在成功的入侵這三部攻擊主機後，卡本特在這三台主機上安裝後門程式。只要這三部主機每進行一次駭客攻擊行為，卡本特的後門程式就會寄出駭客發起攻擊的通知信到特定的匿名雅虎電子郵件信箱中。據報導，卡本特已經收過2萬3千多封的駭客發起攻擊的通知信件。 然而，當卡本特幫國家所進行的祕密行動被他的僱主桑地亞國家實驗室發現之後，作為「愛國」的代價，他被僱主正式解僱。FBI並沒有對卡本特被解僱事件上給予任何支援，反而通知卡本特，FBI需要對他的行為取得進一步的官方批准，就停止了與卡本特的聯繫。雪上加霜的是，美國法律規定，任何企圖利用“駭客”手法入侵國外電腦系統的行為都是非法的，FBI開始對卡本特本人展開駭客罪犯調查。按照卡本特自己的說法，他正處於被背叛的沮喪中。
愛才
2005年7月間台灣各媒體報導類似的新聞「駭客變戰警 助警抓駭客」。駭客A從小智商就很高，90年入侵國中基測電腦系統，查看自己的考試成績；92年篡改總統府網站張貼「總統府指示，訂四月一日愚人節為國定假日」；後來入侵大考中心電腦系統，竊取考生資料。4月向刑事局偵九隊自首。刑事局偵九隊有感於駭客A確是電腦奇才，惜才之心油然而生，若不好好栽培，實在是國家一大損失。刑事局偵九隊擔心駭客A因為大學指考不理想而胡思亂想、心情低落，趕緊將駭客A找到偵九隊上，以「工讀」名義請駭客A打工，還派幹員每天開車接送駭客A上下班。表面上，刑事局是請「電腦天才」協助處理辦公室電腦軟體安裝等工作，實際上，只要駭客A好好待著不亂跑，要上網、看書、睡覺都悉聽尊便。

愛國有錯嗎？
美國軍方「默許」卡本特在網路上進行的偵察及接觸駭客行為，他也屬於FBI的祕密線人，每天和軍方、情治單位的人員聯絡，然而，卡本特的存在卻也是情治單位心中的一個疙瘩。情治單位希望借重卡本特的能力，另一方面卻也擔心無法控制卡本特，畢竟本身在網路上的行為沒有受到情治單位的監控，有沒有透過網路進行任何惡意的恐怖行動也是情治單位所憂心的。卡本特本著「愛國」的心情成為蜘蛛人，為了蒐集最詳細的資料以早發現威脅美國的資訊，使用激烈的手段「反入侵」，卻忽略他只是一介「線人」，在尚未取得正式授權的條件下，貿然使用侵入式的方式取得相關證據，而法律上對於犯罪證據的要求是很嚴謹的，證據必須是在「合法」的方式下取得才能當成呈堂證供。因此，任何檢調單位都不會透過非法「入侵」取得的資料。卡本特取得的資料在先天上就無法形成控訴駭客的有力證據，再者，他也不是正式的檢調人員，他的反入侵行為也不是在情治單位的監控環境內進行，致使情治單位擔心卡本特透過這些攻擊主機控制那些受駭的主機，將入侵的罪過推卸給中國駭客。卡本特的這個故事告訴了我們，目前被情治單位、私人機構僱用來充當「善良」角色的whitehat（從良的駭客），千萬不能被「愛國」、「愛工作」、「愛單位」這樣的觀念沖昏了頭。在從事任何牴觸法律的行為之前，請您的上級指揮單位白紙黑字地寫下授權，由他們承受未來的法律責任。或者，隱匿取得資訊的管道，避免被反咬一口。

愛才有錯嗎？
無可諱言的，許多單位、企業都有僱用「駭客」的需求，希望透過駭客的角度來防衛資訊安全。然而，駭客的管理卻也是一項嚴肅議題。IBM曾有一篇文章探討如何管理駭客員工，文章認為駭客有一套自己的生活方式，所以不需要太多的管理，駭客自然會把工作完成。然而，近年來開始有企業思考是不是真的應該僱用駭客，許多抱持著反對立場的人員，使用殺人魔的例子來說明。如果今天有一個殺人魔因為高超的人體解剖技巧決定考取醫生執照，並開業來為民眾執刀進行手術，你願意當他手術刀下的病人嗎？同理，今天一個曾經以入侵為樂的駭客決定協助偵查你的弱點，你願意相信你所僱用的駭客不會對系統執行任何違法的行為嗎？在HIT 2005(Hacker In Taiwan)第一場演講，「前」駭客說，「這世上沒有好駭客(whitehat)和壞駭客(blackhat)，只有被警察抓到的和沒被警察抓到的駭客」。當你擁有長驅直入他人系統能力的時候，會有多少人願意放棄自己的能力不進入系統看看，不要忘了，在超人卡通裡面，擁有超能力的人，除了超人將超能力用來幫助地球，其他的超能力者都是用來搞破壞、滿足自己的慾望。怎麼能肯定你用到的超能力者哪一個是唯一屬於正義的超人？所以舊式「不對駭客做太多管理」的方式已經不合宜了，尤其是在已經推行ISMS（資訊安全管理系統）的體系內更不允許內在駭客可能帶來的風險。當一個駭客想要入侵一個單位的內部網路取得網路使用權，必須費盡心力入侵內部使用者的電腦，或潛入建築物內，使用牆壁上的網路孔來取得網路使用權，內部網路環境通常儲存著許多的敏感資料，可是內部網路的防護常常不如外部網路般嚴謹，因此無法發覺內部駭客做了哪些惡意行為。
當筆者看到愛才的故事―「刑事局請駭客A好好待著不亂跑，要上網、看書、睡覺都悉聽尊便。」時不禁冒起冷汗。如果刑事局沒有讓駭客A的上網行為被侷限在特定的網域內的話，駭客A就可以接觸到刑事局的內部網路。刑事局的內部網路存在著各式各樣的民眾資料，這位從小智商就很高卻至少已經犯了3次入侵罪的駭客A會不會又忍不住「試試看」能不能取得這些資料呢？會不會因為愛才卻被駭客反咬一口竊取了內部資料呢？希望不會改天又在新聞中看到「警政系統遭受內部入侵，民眾資料外洩」這類的標題！如果上網區段被侷限的話，駭客A的網路行為是否被適當的紀錄、監控？由於駭客A不太可能如同一般教育單位一樣架構出模擬的環境來重現入侵行為，取而代之的一定是對網際網路上實際存在弱點的伺服器進行入侵行為來教育他人。在駭客A重現入侵行為給學習者的觀察之前，如果沒有對網路行為進行紀錄，駭客A會不會「不小心」又拿取了對方的資料？或者，在學習的過程中這些有弱點的主機發現了來自於刑事局管轄IP的入侵行為，並將入侵記錄呈上法院，誰該為這起「以學習為目的」的入侵行為負責？


反「反咬一口」
以上兩段「愛」的故事，其實講述著同一件事「沒有使用一套適當的管理方式都可能造成安全上的疑慮」。被僱用的駭客必須依循著規定的管理規則來從事被授權的行為，才不會被僱用者給咬一口。僱用駭客的單位也必須發展一套可控制的管理規則來限定、管制駭客，避免被駭客咬一口。愛本身是沒有罪的！但是愛過頭而沒有節制違反了管理制度就會發生資訊安全上的風險。

本文作者現任職於行政院國家資通安全會報技術服務中心專案經理