【資安周報第7期】從CSI：Cyber影集中看到真實的網路犯罪威脅

美國影集CSI：Cyber兩位扮演具有高超駭客技能的演員，FBI特別探員的Daniel Krumitz（克魯米茲）（照片左二）和駭客出身的FBI分析師Brody Nelson（尼爾森）（照片左一），以及節目製作人Anthony E. Zuiker擔任今年RSA大會的分場主講者。

圖片來源:

AXN Taiwan

預計在今年2月29日～3月4日於美國舊金山舉辦的RSA會議，在日前公佈重要的Keynote主講者人選，其中，有一組擔任CSI: Cyber panel 演講人選在社交網路Twitter上，遭到很多資安圈內人的吐槽，因為這組人選就是美國影集CSI：Cyber（CSI：網路犯罪）扮演兩位具有超強駭客技能的演員，分別是：扮演FBI特別探員的Daniel Krumitz（克魯米茲）和駭客出身的FBI分析師Brody Nelson（尼爾森），以及節目製作人Anthony E. Zuiker擔任分場的主講者。

資安圈認為CSI：Cyber演員沒資格在RSA大會演講資安主題

對於資安圈的技術人員而言，當然會很不屑這些只會照著劇本演出的演員，心中想的當然是，這些演員怎麼可能具備任何駭客技能，又怎麼可能真正懂得資安產業，更遑論，許多在影片中所展示的「駭客技巧」，更多是誇張的手法。

其中，便有人舉例，克魯米茲有一次在查看惡意程式代碼時，畫面上出現顯示紅色的惡意程式代碼以及綠色的正常程式。對於這些資安人員而言，不論是電影或電視上誇張的演出，有些時候更凸顯現實生活中這些資安專家們的「無能」。而這也難怪，看到這些誇張的演出，都會讓這些真正的資安專家們產生許多憤憤不平之鳴。

目前，因為沒有看到更多的RSA演講者的細節，也不是很確定到時候這一場分場演講，會是怎麼進行的，但說真格的，這樣因應時事、專注在各種網路犯罪手法揭露的影集，真的沒有任何教育和宣導的效果嗎？難道，不具備專業的駭客技能的演講者，就沒有資格陳述他們對資安領域的觀察嗎？我並不這樣認為。

眾所皆知，許多電視或電影的表現手法，往往會是超越現實狀況，不僅是一種戲劇效果，更時候則是劇作家透過他們的想像力，在戲劇中呈現了他們對於未來世界的想像，不可諱言，很多時候，這個世界的發展就越來越像戲劇中的世界一樣。

像是我小時候很迷的星艦迷航記（Star Trek），任何人只要到傳送室喊一聲「傳送（Transfer）」，傳送設備就可以將你傳送到設備可傳送範圍內的任何地方，在各種物理學的進步下，這樣的傳送方式，在未來有一天也將不是夢。或者是小時候覺得和霹靂遊俠李麥克合作的無人車「夥計」很酷，而現在隨著各種無人車計畫和機器學習的進步，現在有可能出現夥計的雛形車。甚至於，基奴李維在駭客任務（The Matrix）中看到母體對於人類的掌控，隨著各種物聯網的蓬勃發展，未來人們難道不會成為「母體」中的一份子嗎？對於專家而言，誇張的戲劇演出或許是一種荒謬，但這又何嘗不是一種人們對於科技進步的另外一種想像呢？

坦白說，如果，今天已經有一項源碼檢測的工具，已經聰明到，可以自動化顯示紅色的程式碼是惡意程式、綠色的程式碼是正常程式，資安專家們不會想用嗎？這對於研發源碼檢測工具的業者們，難道不也是一種可以思考的發展方向嗎？

戲劇其實是真實世界的投影，真實反應各種網路犯罪威脅

這部CSI：Cyber網路犯罪的影集是來自於網路犯罪心理學家梅莉·艾肯（Mary Aiken）的啟發，而製作人為了更貼近真實的網路犯罪專業領域，也曾和資安公司賽門鐵克有相關的合作，而從第一季到第二季所揭櫫的各種網路犯罪手法，即便手法有些或許比較匪夷所思，卻也都是現實社會中值得關注的網路犯罪威脅。

在本週臺灣所播放的CSI：Cyber網路犯罪影集中，就特別提到有越來越多醫療設備和網路連線後，這也成為駭客可以攻擊鎖定的標的。而醫院受駭的風險，也同樣在行政院國土安全辦公室對關鍵基礎設施的分類中呈現，關鍵基礎設施共計8類，分別是：能源、水資源、資通訊、交通、銀行與金融、緊急救援與醫院、中央政府及主要部會、高科技園區等。

醫院的設備連網，從電子病歷開始，串接每一個病人的個人資料與病史，連每個人的用藥記錄，對於哪些藥物過敏等，都如實的呈現在每個人的電子病歷中。影集中，假冒駭客的醫生透過竄改電子病歷，讓病人使用過敏的藥物導致休克死亡；而所有連網的醫療設備，都被植入惡意程式，甚至，一旦試圖刪除惡意程式，這個惡意程式則透過連網方式，關閉病人的呼吸設備讓病人死亡。

而有趣的一點則是，影集中假冒駭客組織的醫生，其實只是購買了威力強大的惡意程式，直接透過在醫院內部網路植入惡意程式，包括連網的智慧電視，也都是整個網路犯罪的一個環節；而被假冒的駭客組織也會跳出來否認他們沒有做這些事情，也和現實生活中的駭客活動情況相似。

如果，你覺得影集中這樣駭入醫院連網醫療裝置的手法其實是無稽之談時，掌管美國食品與藥物安全的食品暨藥物管理局（Food and Drug Administration，FDA）則在一月中旬，發布了醫療裝置上市後的網路安全管理安全準則草案，目的就是希望透過嚴謹的規範，建議醫療裝置製造業者應該要主動提出方案來評估網路安全漏洞、協助解決網路安全的風險，進行資訊分享，建立系統化及結構化的網路安全風險管理方案，做到保護病患的安全與公共健康；即便在產品上市後，相關的醫療裝置製造業者也要做到持續監控、辨識和修補相關醫療設備的安全性漏洞，避免病患遭到網路威脅。

醫療裝置因為大部分是專屬設備，和金融以及工控系統一樣，許多軟硬體升級或者是安全性的漏洞修補等，都必須仰賴原廠提供服務，使用者的IT部門人員不見得有插手的空間。而這些原廠對於相關的漏洞修補速度往往很慢。

以往，在醫院多數裝置並沒有透過網路連線時，甚至都是透過專線做病人的各種病歷資料傳輸時，醫療裝置原廠還有時間慢慢修補漏洞，但是，當現在有越來越多重要的醫療裝置，都透過網路做資料傳輸時，形同於已經暴露在公開的網路上，而每一個醫療裝置甚至有自己的IP位址時，醫療裝置原廠就必須要加速各種漏洞修補的速度，否則，一個不小心，沒有修補好的漏洞可能就會導致醫療裝置出包，更嚴重時，甚至可能損失一條人命。

戲劇往往是真實世界的縮影，當我們認為戲劇往往都是誇大反應一些威脅時，我們或許不知道，已經有類似的威脅開始在真實世界中醞釀。一齣好的戲劇為了吸引觀眾，難免有誇大的手法，但是，透過觀看影集知道現在可能發生的各種網路威脅時，也未嘗不是一種好的資安意識的提升呢？

最後，則跟大家推薦許多資安圈專家們都已經看過的、在2012年首度播映的韓劇「幽靈」，若不管中間誇張的變臉情節和情感戲外，劇中提到的各種網路威脅的時間點都符合現實，劇中主角在警校遭遇到的臺灣最強的CIH（車諾比）病毒的時間點就是真實發生的1998年；透過防毒軟體派送惡意程式的手法，也和2013年3月20日黑暗首爾（Dark Seoul ）的攻擊手法相近，更遑論，韓國不愧是在網路安全有投資的國家，所有劇中使用的網路偵查工具和情境，都是真實世界常用的Encase、wireshark、OllyDbg、Process、nmap、DDOS 、WinHEX、bt5等。在這，也推薦「幽靈」給對資安領域有興趣的IT人觀賞。

本週（1/17～1/23）重要資安事件回顧：
※ Google修補Android上的Linux漏洞，指受影響的裝置沒那麼多

※ 手機系統更新被動又不透明，三星在荷蘭被告上法院

※ Google 2015年封鎖7.8億則不良廣告

※ JavaScript之父Brendan Eich發表禁止追蹤的瀏覽器Brave

※ 英特爾釋出更新以修補驅動程式更新工具中的重大漏洞

※ 甲骨文創紀錄一口氣釋出248個安全更新

※ Fireeye以2億美元併購威脅情資公司iSIGHT Partners

※ 2015年最糟糕密碼仍是123456及password

※ Android版Facebook將支援Tor連線

※ Linux核心含有零時差漏洞，恐影響數千萬Linux電腦/伺服器， 6成以上Android裝置也遭殃

※ 受災OS出爐，Linux核心漏洞影響大盤點

※ 為培養新生代網軍，英國開辦網路007夏令營，每週還有250英鎊薪水