光纖網路實體安全仍為漏洞

一般企業使用者都知道企業內部的有線網路和無線網路有被他人竊聽的風險，但事實上光纖網路的實體安全，也是一個需要被重視的問題。資料加密廠商Safenet，日前就展示了光纖網路的竊聽方式，根據該公司提供的資料顯示，只要花費約2,000美元，就能進行光纖網路資料竊聽。

加密是光纖網路竊聽的唯一解決方案
事實上，國外也不乏光纖網路被竊聽的例子。2003年美國電信公司Verizon的光纖網路就被發現遭到安裝非法的竊聽裝置，據了解，是惡意的駭客希望在共同基金公司發表季報之前，搶先獲得資訊，以從中獲利。

最糟糕的是，現在竊取光纖網路的資料，一般來說比起銅線的電網路更難以偵測，且同樣容易。Safenet資料保護業務部門副總裁兼總經理Andy Solterbeck就曾在其文章中表示，要透過實體的方式竊取光纖網路的資料，最簡單的方式就是將光纖折彎，由於光訊號的傳輸是在光纖的內部以碰撞的方式前進，當光纖被折彎時，少許的光線訊號這時會透過光纖外層漏出外界，而有心竊取資料者，這時就可以透過這些漏出的光線訊號竊取傳輸的資訊。

根據Safenet的展示，要做到上述這種竊取方式，只需上網買一個長得像夾子一般的耦合器（售價在1,000美元以下），將光纖網路以彎曲的方式夾住，然後再透過光感測器（價格約500美元），將漏出光纖外層的光訊號轉換成電子訊號，最後再透過光電轉換器（價格約500美元），建立起訊號與網路卡間的連線，就能擷取光纖網路中的封包資料，擷取的時間只要足夠，就能將未加密的資料還原，取得其中有價值的資訊。

雖然目前市面上有廠商研發出能夠探測類似此種做法的產品，例如在光訊號被路由到其他地方時，自動中斷傳輸的裝置，但是要徹底解決這種竊取資料的方式，目前來看唯一的解決之道，還是加密。曾在臺灣電腦網路危機處理暨協調中心（TWCERT/CC）工作，目前在Juniper擔任技術經理的林佶駿就表示，加密是唯一的解決方法。

資料被竊可能性存在，但困難度較高
不過林佶駿也表示，目前在臺灣來說，透過這樣方式竊取資料的可能性仍較低。他指出，目前來看的確從光纖網路上竊取資料的難易度，可能比電網路來得簡單、便宜。但是就困難度來說，有心要竊取資料的駭客，必須先找到光纖網路實體露出外界的地方，然後進行上述各種設備的設置、竊取。「如果在機房，要做到這一點不被發現還滿困難的，而在一般對外的管線，光纖網路多埋在地底下，要找到並且進行竊取，也不是件容易的事。」林佶駿說。

在臺灣擁有眾多分支機構的第一銀行，也有類似的看法。第一銀行內部人員表示，在專用的加密設備價格昂貴的狀況下，該公司大型主機原本對外透過光纖網路傳輸的資料就有加密，是否還有必要再採購專用的加密設備，這值得商榷。此外，當光纖網路上傳輸資料透過DWDM（高密度波長多工分工器）的方式，將資料分成32種不同波長的訊號，竊取者要重新組合，也有一定的難度。最後，臺灣的區域範圍小，要使用實體的方式竊取，無論從機房下手，或是一般埋在地下的線路管道竊取，都不容易達成。

對此，林佶駿表示，這就像是安全到底要做到多嚴密的問題。當企業現有的安全機制已經可以做到90分，要它們投資10倍的金額做到99分，其投資報酬率與需求，才是最重要的問題。

法規是迫使企業採用加密方案的趨力
Safenet北亞區業務總監林金保也有類似看法，他指出，就他與臺灣多數企業接觸的經驗來說，光纖網路的資料被竊取，一直都是個可能的安全漏洞，而多數企業都認為專線或是電信商提供的線路服務，本身就有一定的安全性。「事實上卻不然，電信服務商並不能保護整條線路的安全性，這個時候如果企業在其上傳輸的資料沒有加密，或是採用過於容易破解的加密機制，就很有可能會讓自己的重要商業資訊透過這個途徑被人竊取。」林金保說。

縱然如此，但對於企業端來說，由於加密機制較為完善，目前對於另外使用加密設備進行資料的加密，較無急迫的需求，唯一較有可能迫使企業採用類似的方案，確保資料在光纖網路上傳輸的安全，目前看來就是法規的規範才較有可能。第一銀行方面就表示，當國內法規沒有相關的要求，要銀行投資上千萬去做光纖網路或專線上傳輸資料的加密，是不大可能的。林金保也指出，目前看來以國外的外商銀行對於加密相關的產品接受度較高，而究其原因，就是因為對於沙賓法案等不同規範資訊加密相關規定的遵循。

在一般的觀念中，光纖網路的傳輸多被認為比電模式的網路或是無線網路來得安全，但是事實上透過Safenet的展示，可以發現事實上目前光網路上的資料，同樣擁有被竊聽的危險。當未來類似FTTH（Fiber To The Home）等光纖提供一般使用者家裡接取的服務普及時，由於一般使用者多沒有使用任何加密機制，電信服務商也不見得會提供，其危險性將會更加突顯。但是對於企業來說，由於原本就有其他加密的機制，目前看來，唯有法規開始規範此類資料傳輸危險的可能性，企業才會考慮以加密方式徹底防堵此一可能漏洞。文⊙劉哲銘

竊取光纖訊號只要3種設備

最右圖為耦合器，以之將光纖網路以彎曲的方式夾住，然後再透過圖左的光感測器，就能將漏出光纖外層的光訊號轉換成電子訊號，最後再透過圖中的光電轉換器，建立起訊號與網路卡間的連線，就能擷取光纖網路中的封包資料。