【资安大师观点】Bruce Schneier：万物都是电脑，所有事也都变成了资安事

他是国际知名的资安大师，也是密码学大师，更是纽约时报畅销书作者，资安著作多达14本，台湾不少资讯主管大学密码学课程的教科书，就是读他的密码学代表作《Applied Cryptography》。近年他更投身公益科技风潮，希望让美国国家政策可以和科技发展更紧密结合。他就是IBM资安事业部特别顾问Bruce Schneier，以下整理自他在台湾资安大会的开场演讲。

我们的世界开始变成每一件事都是电脑。手机是可打电话的电脑、冰箱是冷却用的电脑，而加热用电脑是微波炉、ATM则是里面有钱的电脑。汽车则是1百多套分散式系统装上了4个轮子和引擎。

当每一件事都连上网络后，代表了2件事，网络安全影响了每一件事，而每一件事都变成了网络安全。我们从电脑安全学到的6堂课，很快会影响到每一件事、每一个地方。

电脑安全的6堂教训

第1堂课是：大多数软件都写的很不安全。所有软件都有漏洞，高品质的软件很贵，我们不想付钱，所以，多数人只买刚好够用品质的软件。只有例外，如航天飞机或飞机上的软件。凡有漏洞就有弱点，市场力量作用的结果就是，到处是有弱点的软件。

第2堂课是：互联网不是为安全设计的。1980年，上网的工作都不是很重要，甚至你也必须是特定机构成员才能上网。因此，互联网发明人，不用担心安全问题，而让想要安全的人自己动手。这个决定大大影响了现在的我们，从DNS，路由，Email到封包传输，用的都是没有安全考量的协定。现在，我们得拼命应付当初这项安全决策的后果。

从电脑学到的第3堂课是电脑具有扩充性，换句话说，电脑上你所能用的任何功能，都能用来对付你。扩充性是一种电脑功能，这意味着，你不可能限制一个电脑的“功能”，尤其这是软件，软件无法管制。

小时候，我家里有一个能和世界联系的黑色设备，称为电话，但它只能打电话，没有其他功能。可是，手机这个可以打电话的电脑，还可以做任何你想要的事，Apple初代iPhone的口号是“App内建”，只要可以下载App，你就无法限制其功能。不像旧式电话，可以限制它应有的功能性。

对资安来说，扩充性带来的挑战有二，一是很难做到安全，软件会持续演化，总是在改变，测试安全性很难，安全地开发也很难。其次是，人可以在手机下载恶意程式，这可说是一种“新功能”，只是有时不用授权就能自动增加。这正是为何冰箱能发送垃圾邮件，监视摄影机会变成僵尸电脑的缘故。因为它们都是电脑，凡有扩充能力，就能这样用。

再来是第4堂课，电脑系统很复杂。这意味着，攻击比防御简单多了。越复杂，就越不安全。功能越多，越复杂，程式码越多，就越容易出错，入侵方法也越多。就像TICC国际会议中心的出入口，远比你家复杂，就更难做好保全。不是不可能防御，但攻击者占优势。至少技术上，在网络上，攻击者比防御者更占优势，因为复杂度。

第5堂课是，互连之后会带来新弱点。当我们将万事万物串连在一起时，一件事情的弱点，会影响另一件事。例如2016年Dyn遭僵尸网络的大规模攻击事件，攻击者透过资安漏洞，控制了大量Web摄影机，监视器，打造出一套大型僵尸网络，用来攻击DNS服务，让25%的全球知名网站消失了。2013年，宾夕法尼亚州几间加盟店的网络弱点，却导致知名美国零售业Target整个支付系统遭骇。去年，一份报告说，拉斯维加斯有间赌场，数据库中的常客资料遭窃，因为大厅那个连网鱼缸被骇了。

这些弱点都很难修补，你不知道弱点发生在何处，有时是串连到高安全系统的相关网络不够安全。

最后一堂课是，要发动资安攻击，总是越来越容易、越厉害、也越快速，这就是我们面对的真实世界。电脑越快，意味着，10年前够安全的密码，现在不再安全的了，不是密码破解技术变厉害了，而是破解速度变快了。

但更多时候是，攻击者会越来越聪明，因为他们会适应局势而演化。这跟大自然的情况很不一样，像美国飓风很多，政府也打造很多系统来对抗飓风，如天气预报系统，飓风不会因为这些人造系统而变得更聪明，可是，在资安世界，攻击者越来越聪明却是一种常态。

这就形成了一股军备竞赛的局势。垃圾邮件和反垃圾邮件，ATM骇客和银行资安人员，最新的竞争则是深度学习造假技术（Deep Fake）和DeepFake侦测技术。攻击者会不断地适应，发明出新攻击手法和新的攻击系统，来对抗各种安全反制。

而且这件事进展的脚步很快，今天是美国国安局的秘密计划，明天会变成了一篇博士论文，接着就会出现骇客攻击工具。过去这个过程得花上2年、5年，但现在只需要6个月，而且越来越短。

这些情况都不是新鲜事，我们已经和这样的处境相处了好几年，也会继续相处很久。

资安变成了一项管理议题

但是，现在的资安，变成了一项管理议题。虽然电脑的本质没有改变，可以当每一件事都变成了电脑之后，我们如何使用电脑的方式，将会有所不同，电脑能做的事也会非常不一样。电脑对3件事带来不一样的冲击：自动化、自主性和实体机构，也因此而真的改变了安全这件事。

传统上谈到安全，其实是指机密性（Confidentiality），隐私，资料偷窃、资料滥用，大多数新闻中的资安就属这类， Target、Equifax、Facebook、万豪饭店的事件都是这类。入侵后偷了资料后滥用，这是一种关于机密性的攻击。

大家都熟悉CIA理论，所谓的安全，可以分成3类：机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的安全。不只针对第一种类安全的攻击，其余两者都有相关的攻击手法，例如DDoS攻击、勒索软件都是一种可用性攻击。而恶意程式入侵银行数据库窜改资料，就是完整性攻击。

但是，今天若你有一台可以直接影响到实体世界的电脑，在完整性和可用性的上的攻击，影响会比机密性的攻击更显而易见。前两者带来的冲击更大，因为这将带来生命和财产的真实风险。

举例来说，一旦有人入侵医院，相较于有人偷走我的病历资料，我更担心，我的血型资料遭窜改，因为这项完整性攻击，会危急我的生命。尽管我不希望有人入侵我车上的蓝牙麦克风，窃听我的对话，但我更不愿意有人关闭我的刹车。前者是机密性攻击，但后者是性命交关的可用性攻击。

考虑到万物联网，举凡汽车、医疗设备、无人机、武器系统、温度控制器、智慧城市系统、发电厂。过去已经出现过DDoS攻击可让这些系统当机，尽管台湾没有遇到，但在其他国家发生过。像是温控暖气设备遭骇，导致水管冻结，影响了全家生活。挪威也有汽车遭遇DDoS攻击而停摆，幸好，攻击没有发生在野外。

这些新威胁，攻击同样的系统，却有非常大的差别。电脑受到攻击，你损失了资料，但车辆遭到攻击，你失去的是生命。这两者可能用的都是同样的CPU、OS、应用系统和攻击工具，只是发生地点不同，就造成了极大的差别。

这就带出了一个新的资安议题，同样的电脑错误会有不同的影响。电脑这种特性和寻常事物截然不同。以车子为例，车子用久了会故障，我们也理解车子的零件会因损耗而故障，所以，业界也有相关的维修服务，甚至发展成整套汽车维修体系，来解决汽车故障的情况。但电脑却是天天运作正常，却突然就不能动了，这是日常世界少见的故障模式。

2014年，140万台克莱斯勒汽车因软件漏洞而召修，得钻开外壳才能更新软件，别无他法。或像Onity电子锁后来发现了弱点，骇客不用门钥就能打开任意一间房间的门，影响了全球400万间客房，饭店业者得一扇门接着一扇门，一一用螺丝起子打开门锁才能手动更新，这几乎是不可能的任务。过去门锁坏了，饭店只要找来锁匠就能搞定，但电脑世界的故障不一样。

传统的安全系统开始弱化，新的安全有三大挑战

我们过去长期倚赖的安全系统开始弱化，所以，我们会面临三项挑战，一是“更新”，这是唯一维持安全的方法，例如，手机OS厂商的开发团队，也得负责修补，你的手机也得像电脑一样，经常更新才会安全。尽管这个安全模式可行，但在低价的嵌入式产品时，例如监视器、家用路由器，毛利微薄又代工生产，就没有这样的团队负责写程式修补弱点，甚至有些产品无法更新，唯一更新方法是直接买新的。

幸好我们每2、3年就会换手机或电脑，所以，汰旧换新还算是是个不错的安全机制，新款也的确更安全。但在嵌入式系统也不见得能做到，内有嵌入式电脑的汽车，经过好几手很多年都会继续开上路。但你家若有1979年老电脑，现在几乎没人知道要维护上面的软件了。

第二是认证机制，这是一个勉强可用的机制，很多情况密码一点都没有用，双因素也只能有时有效。但现在的验证是会授权给一项装置或是一项服务，未来会出现越来越多的物对物的验证授权，若你生活中拥有1百个IoT装置，就会有1万次相互验证的请求，但是，现有的物-物验证技术，仍无法规模化。

所以，当你的手机和要汽车蓝牙串接时，还是得有手动设定的过程，同样动作重复25次容易，但若要重复上千次，就会是一大挑战，可是，在自驾车上，可能随时有上千次与其他汽车或道路系统装置彼此相互验证的需求。

第三项挑战是供应链问题，这是一个非常复杂的跨国问题，一项美国产品，但所用的芯片可能生产地和软件开发地，都位在不同的地点、国家。一个地方的安全会影响到其他地方，如何防范？目前没有真正的解法。

当万物都连线在一起，安全体系已经开始弱化，这不只是技术问题，更像是政策问题。我们欠缺的不是技术，而是政府。

我建议，安全体系要思考2大基本原则，第一是防御至上，系统设计要优先考虑防御，不能设计攻击用或监控用的功能，像几年前国家机构要求苹果开后门就得阻止。这些系统太重要了，不能那样设计，要将防御作为最高原则。第二个原则是韧性，如果万物联网，万事都需要安全，就需要一个能够自行维持安全度的设计，这是个工程问题，就是改用“韧性”思维，来设计系统。文⊙王宏仁