觀點

破除光纖迷思

2007 / 01 / 22
SANDRA KAY MILLER
破除光纖迷思

駭客手法大公開
要竊聽光纖資料,已經跟其他任何形式的入侵一樣簡單了,竊聽設備可以是硬體、軟體或知識。光纖網路的形成,利用的是從極細的玻璃纖維中所擷取到的光線。首先,就是取得目標光纖纜線。地球上的光纖纜線有幾千幾百萬英里長,光是美國就擁有超過9千萬英里。雖然這些纜線大部分都不容易接觸到─通常埋在地底下、海底深處,或者包裹在混凝土裡面,沿著牆壁與電梯的升降通道佈建─不過有許多纜線很快就可以被人們看見了。舉例來說,部分城市就在網路上張貼了詳細的光纖基礎建設地圖,以便努力吸引當地的組織加入該網路的建構與使用。
在鎖定目標並且成功取得纜線的位置之後,下一步便是從纜線裡面擷取光線訊號(這些訊號最終將會轉變成資料)。
將光纖纜線折彎是最簡單的辦法。同時這也是最不容易被偵測察覺的方法,因為光線訊號並未被中斷。市面上買得到的夾子型連結器的售價還不到千塊美元。這些裝置會以微彎的方式夾在纜線上面,好讓微量的光線從包覆著塑膠聚合物當作保護的纜線當中流洩出來。
一旦取得了光線訊號,便能夠利用光感偵測器(一種可以將光線訊號轉變成電子訊號的設備)來擷取資料。在eBay上面看到的價格大約500美元。同時我們在eBay上面也找到了下一個步驟需要用到的從玻璃纖維裡面竊取資料的裝置─光學/電子轉換器,價格一樣差不多是500美元。這個設備可以幫助建立與網路卡之間的連線。一旦成功地在適當位置安裝了竊聽器,免費取得的網路封包擷取軟體就可以被用來擷取封包,並過濾出有用的資料來,舉凡IP與MAC位址、向外傳送的資料當中的DNS資訊與關鍵字。
另一個方法─接合,就沒那麼實用了,因為它通常很容易被偵測發現,原因在於這個方法會導致光線訊號短暫的中斷。根據Wayne Siddall(使用Corning Fiber的光纖工程師)的解釋,接線生將會察覺這種服務進行期間的中斷情形,因為能夠同時承載1億條連線的光纖纜線,必須擁有即時完成訊號的重新路由的能力,以維持網路的健全運作,即便只是1毫秒的中斷都不被允許。除此之外,市面上買得到的接合裝置也太貴了,售價大約7,000到9,000美元。

如何保護光纖網路
有一些供應商開發了可以用來保護光纖網路的工具,提供實體層的入侵偵測與預防功能。它們能夠辨識並以光線事件來警告接線生,這些事件包括惡意入侵、纜線遭到破壞、接收端超過負載、衰弱的光線訊號、資料訊號遺失、瞬間變化與電源中斷等。
位於美國賓夕法尼亞州的Opterna(www.opterna.com)所販賣的FiberSentinel系統,是一種機架式的光纖入侵偵測系統(IDS),提供了針對光纖網路的被動式即時與各種通訊協定的監視。當流量同時被重新路由到其他路徑(透過人為的間諜技術)時,入侵行為會被自動偵測,並且關機。
另外一個光纖IDS 的解決方案是CompuDyne(www.compudyne.com)的Fiber SenSys,並且廣受世界各地政府與軍方、機場、煉油廠、變電所、核能發電廠、淨水廠與儲存倉庫、企業總部、製造中心的採用。
Oyster Optics(www.oysteroptics.com)從2001年開始,便著手開發光纖安全與監控的前端技術。Oyster Optics的解決方案是與供應商及通訊協定無關的,因此可以降低某些風險,例如竊聽、企業或政府的間諜活動、網路遭受恐怖攻擊而損毀等威脅。
這樣看來,這些偵測解決方案想要防止光纖網路上面的資料遭竊的唯一辦法,還是在於應該要將傳輸的資料加密。
「我想我們已經在各種網路媒介中看到加密獲得了廣泛的採用,包括光纖網路─因為加密可以使竊聽形同無效。」Gartner的Pescatore表示。「一般而言,我認為安全已經往上升級了,而且光纖相較於許多其他的線路,想要竊聽其中的資料仍舊還是比較困難的。不過我們給企業的忠告是,將所有的網路連線加密,因為無論是銅線、光纖、無線─都是不夠安全的。」
許多組織都犯了一個錯誤,就是同時為資料與傳輸進行加密,這基本上是浪費金錢的行為。如果資料經過加密,那麼就不需要再多花錢透過安全通道來傳送這些資料了。目前的趨勢傾向於在資料層加密,如此可以減少傳輸方面的延遲與負擔。

光纖網路的不足
犯罪威脅仍然持續在成長當中。美國消費者事務部估計,因為資料安全防護不夠牢靠的緣故,2005年有超過5千萬名美國人收到通知,說他們的個人資料遭竊。
FBI電腦犯罪單位估計,每年因為商業間諜損失的金額超過1,000億美元。為了反制這種情形,個人與組織每年花費上億美元在資訊安全產品的採購上面。美國系統網路安全協會所列出的聯邦政府2006年IT安全預算,僅僅只有16.85億美元─只比前一年增加了7.2%。
不幸的是,大部分傳統的安全防護方法都無法有效用來處理光纖駭客入侵事件。金融、健康、保險與公開交易的公司們雖然致力於符合法規,但是卻很少考慮到一個事實-透過光纖通訊傳輸的私人與機密資料同樣是可以被擷取到的,駭客只是尚未被偵測發現而已。換句話說,你傳輸的資料可能已經被洩漏了,只是你還不曉得而已。要保護光纖傳輸的安全通常代價昂貴而且不易達成目的,況且壞人總是在我們開始採取保護措施之前就已經先下手為強了。

Sandra Kay Miller是《Information Security》的技術編輯