一對來自不同工作與生活背景的陌生男女,手機不約而同接獲神秘女子的來電,威脅他們必須在限時情況下共同趕赴某地,從事一件他們不知最後目的終極任務。神秘女子透過重重的共眾與私人視訊監控系統連線,隨時隨地以行動電話指揮他們,使其無處可逃並協助排除各種障礙,以確保男女主角遵守行動規範。到底神秘女子的目的是什麼?高潮迭起的劇情,引人注目的特效,這正是去年最受歡迎及話題性十足的電影,「鷹眼」。
大導演史帝芬史匹柏希望觀眾走出電影院後,會害怕關掉他們的手機或PDA。我想,他失敗了。個人的手持裝置不但沒有減少,應用更是如雨後春筍般冒出。尤其在M-Taiwan計畫相關產業鏈培植完成,Wimax開台在即,殺手級加值應用如結合地理資訊系統(GIS)的適地性服務(LBS, location-based services)將快速出現在你我的生活之中,也將為你我生活帶來許多便利。去年以智慧台灣為主題的第28屆科技顧問會議中,中華電信董事長呂學錦明白指出,資訊與地理位置有關時,將牽涉隱私及安全議題!這將是未來刻不容緩的挑戰。
記得看完「鷹眼」的那個午後,步出影廳,觀眾們彼此問著:真實世界有可能發生這樣的劇情嗎?我的答案是:YES, it being happen!
資訊服務萬萬千,聰明應用在身邊—殺手級應用LBS
一對新婚夫婦正在找尋新家,某天逛街的路上偶然發現一棟他們理想中的房子,但不曉得這棟有沒有要出售,於是他們啟動手機(或車載系統)上的行動房屋仲介服務,顯示該棟公寓內有幾戶住家,並列出屋齡、每戶的地址、房屋格局、估計的市價行情等房地產資料。其中二樓有一戶是30 坪、三房兩廳兩衛、坐北朝南、公設比5%、附平面車位,市價900萬元,非常符合這對夫婦的購屋需求,可惜沒有出售,於是他們繼續搜尋方圓1公里範圍內條件類似的房子,手機(或車載系統)以電子地圖顯示離這一棟公寓300公尺處有一戶要出售,並以GPS協助他們前往新目標,夫婦倆很滿意這個新發現,而且估計市價比剛剛那一戶還便宜40萬,於是他們歡歡喜喜立刻用手機(或車載系統)與房屋仲介約隔天上午來看屋。
這種服務就是「適地性服務」。近年來由於無線通訊技術和空間資訊技術的突破,促成了結合行動裝置與地理資訊系統的LBS蓬勃發展。傳統上,當人們使用有線電話時,撥話者知道對方的地理位置,但手機通話則無從知道對方目前的所在位置。手機的服務也以語音為主,其他如資料、數位內容、資訊應用等服務仍非主流間分析能力。LBS則是結合兩者的新發展,可讓使用者透過手機或車用電腦等行動裝置查詢自己的空間位置,並透過所在位置連結到附近環境的地理資訊,協助使用者進行即時的空間決策,其用途從小到遊戲或交友,大到車隊管理或急難救助。LBS為結合地理資訊系統、網際網路及先進資通科技行動設備等當今三大科技之新興服務(如圖1),此一劃時代服務勢將重新塑造大眾生活及消費型態,對未來人類生活造成極大之衝擊。
定位服務的提供由無線通信系統網路或手機內建的GPS輔助計算出使用者的地理位置,然後傳遞座標至系統營運業者內部網路的行動定位處理中心,彙整編製座標資訊後再傳遞至定位伺服器,定位伺服器負責把X、Y 座標與地圖資料庫結合,經由定位伺服器處理過後的數據便可供各種定位應用使用,最後再將這些應用或服務回傳給用戶的行動裝置(圖2)。
資安意識多明瞭,LBS貼心服務免煩惱
新的服務帶來了便利,同時伴隨的風險亦是我們必須關注的。適地性服務的提供過程,主要可以由三個構面完成整體系統架構。第一部份是移動性裝置(MID, Mobile Internet Device)、第二部份則為單一簽入(SSO, Single Sign-On)服務及第三部份LBS後端平台。每個構面都有其不可忽視的資安議題,茲探討如下(圖3)。
移動性裝置
移動性裝置如手機或車載系統已經是人們日常生活中的標準配備了,加上LBS殺手級服務後更將如虎添翼。然而,「金錢利益」向來是多數資訊安全威脅事件背後的主要誘因。駭客藉由資料竊盜或廣告程式的方式賺取利潤。網路犯罪者會藉由開發LBS常用的應用程式可執行的惡意程式來吸引更多一般使用者上鉤,例如當使用者開啟LBS美食導覽服務時,以內含木馬的優惠折價卷來吸引更多用戶下載開啟。只要使用者用開啟檔案,惡意程式便會自動下載間諜或廣告程式並且自動安裝在使用者的裝置上,將會帶來資訊安全威脅,概分為幾個重點:
1. 取得MID系統權限:駭客透過作業系統的漏洞,即可在不經使用者的同意下,取得系統部分甚至全部權限。例如專攻WinCE手機的Brador後門程式,中毒手機會被駭客遠端上下載檔案,甚或執行特定指令。2. 被轉打國際電話或執行其他話費服務:駭客透過Pharming手法,直接篡改使用者手機通訊錄,讓使用者在撥打電話時,莫名其妙地被轉打到國外,進而讓使用者電話費平白暴漲。3. 竊取個人隱私照片、通訊錄:駭客藉由竊取個人的隱私照片或通訊錄,藉以恐嚇或詐騙。4. 線上交易資料外洩:透過MID進行網路銀行或網路交易活動,相關資料也可能曝露在手機病毒或駭客攻擊的風險之中。5. 阻止任何更新與下載:例如Fontal木馬,透過破壞MID中的程式管理器,阻止使用者下載新的應用程式或其他更新,並且還會阻止MID刪除病毒。6. 應用程式無法運作:例如骷髏頭木馬會造成MID檔案系統或應用程式無法運作,使用者必須重新開機。7. MID當機:例如駭客可藉由WinCE作業系統或Symbian的漏洞展開攻擊,進而造成作業系統的停擺。8. 檔案資訊喪失:包括電話薄、通訊錄、MP3、遊戲、照片、圖鈴等檔案的遺失。9. 按鍵功能喪失:例如針對手機SYMBOS_LOCKNUT木馬。10. 格式化內建記憶體:未來MID若內建硬碟,也可能面臨被格式化的風險。
單一簽入服務
在適地性服務中心(LBSC, Location-Based Services Center)的環境中,應用伺服器必須先擷取後端各家廠商網頁訊息,並發佈給使用者(圖4)。然而使用者認證、授權管理的複雜性,也隨著網站服務市場不斷增加,而成為網站服務系統管理者的重大負擔。各個網站服務間的使用者認證資訊無法相互交換,讓使用這些服務的使用者必須一再地輸入帳號密碼,而降低使用者意願,也讓網站服務系統安全徒增陰影。這時,單一簽入服務(SSO)就是LBS架構下的救星。SSO技術的發展,讓使用者通過一次身份認證後就可以自由存取網路上其他不同主機上的系統服務而不必再重複身份認證動作,所帶來的好處有:1.減少身份認證的時間,同時也減少身份認證時所可能出現的錯誤。2.避免使用者因多個身份認證資訊而造成混亂。3.管理者可以集中管理使用者存取權,減少維護時間。
然而單一簽入會不會也出現單點失效的弊病呢?如果駭客突破了第一道大門後就可能造成更顯著的破壞。因此資訊人員對於網路弱點、威脅定期稽核才是重點,畢竟系統是死的,人才是活的。
LBS後端平台
LBS後端平台分為網站服務安全機制、通訊安全、資料庫安全機制、惡意程式管制及資料庫安全機制,以下分別描述。
l 網站服務安全機制
1. Web Application設計時應考慮原碼檢測,以防堵SQL Injection
發生機會。
2. 使用HTTPS確保資料藉由HTTP通訊協定傳輸時的安全性。
l 通訊安全
1. 內部網路位址不得向公眾開放:系統的內部位址、設定及
相關系統設計資訊必須加以限制,以便系統及網路外部用戶
在沒有明確的管理部門批准時不能存取這些資訊。
2. 大型網路必須被分成獨立的網段:大型網路都必須具有獨
立定義的邏輯區域網段,每個邏輯區域網段都必須通過合適
的安全參數及進入控制系統加以保護。
3. 即時外部網路連接防火牆及入侵偵測系統:內部網路及/
或多用戶電腦系統的外部連接,在用戶嘗試登入前都必須經
過一個額外的進入控制點(如FW、IDS)。
l 惡意程式管制
1. 不允許安裝非本系統提供之軟體:因應系統作業所需要的
軟體隨同系統一併安裝,為維護系統運作的程式與設定環境
正確未遭不明破壞,非本系統提供之軟體不允許安裝於本系
統所提供之硬體設備上。
2. PC與LAN伺服器需有許可的防毒軟體:防毒軟體需長駐於
在所有區域網路(LAN)伺服器和以網路相連結的個人電腦
上。
3. 個人電腦與工作站軟體的防寫保護:所有執行於個人電腦
和工作站的軟體必須有防寫保護,若惡意程式要修改,軟體
會產生錯誤訊息。
l 資料庫安全機制
透過防火牆、防毒、入侵偵測等防護機制,可有效預防不合法
的存取行為;而弱點掃描可杜絕入侵動作。但仍要考慮到機密
資料是儲存於資料庫中,如同在城堡中心,無論我們在城堡外
佈下層層防衛的重兵,資料庫被長驅直入仍是失敗的防護。依
資訊化程度不同,資安需分成不同階段來規劃。除原有資料庫
系統的管理機制、資料庫弱點評估機制外,須針對資料安全規
劃資料庫安全系統。(請見前頁「資料庫安全3要點」)
結論
由於台灣在資訊業技術位處於世界前端,且地小人稠、電信業
者競爭激烈,基地台涵蓋率佳;對LBS的發展是極有利環境。
相較於其他國家,台灣在LBS 的應用以及LBS 結合GPRS 通訊
之整合運用是走在前端的;伴隨而來的風險也將在未來的應用
快速的增加。然而社交工程結合地理資訊的應用更是防不甚
防!筆者朋友去台南球場觀戰,滿足的看完獅象大戰後,發現
車子車窗被打破,家中車庫的遙控器、一些錢,及崁在儀表板
上的GPS都被偷走。本來認為花錢消災也就認了,回家後一
看,不得了,家中所有有價值的東西全部被洗劫ㄧ空。歸咎原
因,有可能小偷使用GPS中的導航定位,找到了他們家,透過
車庫的遙控器,開啟大門,並堂而皇之的進入他家。可見,在
未來結合LBS應用大幅發展後,伴隨利益而產生的犯罪也會快
速提高。若可以事先防患未然,國內在GIS—LBS 市場的發展
將昂首闊步大步展開。
本文作者任職系統整合服務業專案副理1、副總經理2。