資訊工業策進會資安科技研究所技術服務中心資安工程師 陳彥銘
您是否有特別注意?電腦駭客其實是好萊塢電影裡相當重要的角色元素,這個角色雖是不惹人注目的配角,卻必須提供高度的技術性支援,負責解決一切跟資訊系統或機電設施有關的疑難雜症,這樣的設定尤其容易出現在特務團隊的電影裡,「不可能的任務」系列電影就是最典型的例子。
駭客角色之設定
在不可能任務情報局(IMF)這個特務團隊中,由阿湯哥飾演的特務─伊森韓特必須冒死與反派搏鬥,必要時還需要入侵高度機密組織竊取有價值資產或資料,而背後支持他的電腦高手─班吉,則肩負為主角排除一切障礙的重要工作,駭入攝影監控及機電系統以躲避警衛的察覺只是家常便飯,入侵俄國衛星系統以取得飛機艙門的控制權更是小菜一碟,更常見的任務則是入侵嚴密保護的政府網站,如CIA或軍情局來取得高度機敏的資料。
在資安產業中,駭客可分為「黑帽駭客」、「白帽駭客」與「灰帽駭客」三種。所謂黑帽駭客指的就是資訊犯罪分子,例如之前轟動一時的一銀盜領案,利用惡意程式不法取得金錢;白帽駭客是所謂的道德駭客,由政府企業聘雇,在業主許可下為組織所維護的資訊系統進行探測入侵行為,藉以發掘安全漏洞;灰帽駭客則是遊走於白帽與黑帽之間,一方面從事資訊安全任務,另一方面也會從事未經授權的入侵行為。好萊塢電影的官方設定基本上以灰帽及黑帽駭客較為常見。
駭客手法之描述
電影為了彰顯駭客高竿的功力,最廉價的方式是在對白裡描述該角色的豐功偉業(通常是驚人的資訊犯罪紀錄),但口說無憑怕觀眾不會買帳,故有時也需要一些畫面來加深說服力。常見的方式之一,是在電腦螢幕上呈現指令操作紀錄或程式碼,通常會選擇進階一點的讓觀眾有看沒有懂,例如文字形操作指令或是較低階的組合語言,但若要同時兼顧技術性與娛樂性著實不容易。電影「劍魚」裡,由休傑克曼所飾演的頂尖駭客,被僱來建構超級電腦進行破密分析,以入侵美國最高機密的劍魚系統,但必須先通過雇主約翰屈伏塔的殘酷考核,在腦門被槍口指著的情況下,被要求於一分鐘內入侵美國國防部資料庫網站。此時導演以鍵盤打字速度來彰顯其電腦功力,若內行人看來,必定認為其專業性不足;但若以一般民眾觀影角度來說,堪稱娛樂性十足,畢竟若要花時間向觀眾解釋何謂資料隱碼攻擊(SQL Injection)或跨網站指令碼(Cross Site Scripting, XSS)等攻擊手法稍顯強人所難。
脆弱的資訊安全
電影裡呈現的駭客攻擊手法也讓觀眾了解資訊安全原來可以如此脆弱。影片「迫切的危機」,由哈里遜福特所飾演的CIA副主任,委託局內的資訊高手破解帳戶密碼,他只用了帳戶本人及相關家屬的出生年月日的排列組合就輕易解開密碼,速度快到甚至連哈里遜福特都還未踏出資訊室就已完成,可以想像有多少觀眾在電影散場後立即去修改自身的帳戶密碼。
布魯斯威利所擔綱演出的終極警探系列電影裡,也常出現駭客的角色,尤其是「終極警探4.0」就以駭客為電影主軸,駭客試圖掌控網路系統,包含交通、金融、民生相關資訊系統都難逃魔掌,甚至核電廠也受害,讓觀眾驚覺關鍵基礎設施資訊安全防護的重要性,更與目前政府喊出「資安即國安」的觀念相呼應。
社交工程攻擊
近期最貼近真實駭客手法的電影,由克里斯漢斯沃領銜主演的「黑帽駭客」莫屬,雖然以一部娛樂商業片而言,觀眾的接受度不是挺好,票房口碑也不如預期,但若以資安專家的角度來看,這部電影細膩刻劃出駭客的真實行為,可說是專業度十足。其特別之處在於:精心呈現了典型的社交工程攻擊手法。為了取得特定使用者的密碼,克里斯漢斯沃所飾演的駭客首先偽冒Email寄件者,信件主旨為要求收件者立即更改密碼以提升資訊安全,但其實Email內夾帶了惡意的鍵盤側錄程式,故收件者開啟信件附檔的同時,此惡意程式就被植入主機,後續所輸入的新密碼立即被側錄,接著透過隱匿的網路連線傳送至駭客手中。試想,若這不是一部商業大片而是由多名當紅演員所擔綱的資通安全教育電影,其實已相當值回票價。
圖1.駭客使用惡意的鍵盤側錄程式並植入攻擊對象主機,透過隱匿的網路連線將秘密資訊傳送至駭客手中。
結語
我國政府為推廣全民的資安意識及加強校園學生的資訊安全技術能力,每年也會定期舉辦資安系列競賽,包含微電影、動畫金像獎等;除此之外,我國主管機關或可加入與國內影視業者之合作,透過置入式行銷的手法宣導資通安全教育。資安題材於電影中的出現,某種程度來說,讓民眾於日常休閒娛樂的同時,更可深植維護資訊安全應該有的具體作為,下次走出電影院時,除了討論精采緊湊的情節、帥氣動人的男女主角外,我們更應該謹記,密碼設定不應簡單的取自自身或家人的生日年月、收到可疑郵件時更應再三確認;換個角度,從資訊安全的層面來觀影,相信能帶來更豐富的省思。