身份盜用
2007年12月16日 星期日 by 哲民
最近在家裡的MOD看了一支紀錄片"我的身份被盜用了",看完後感觸很深,也對資訊保密與安全多了更多的認識與想法。剛好這學期有選修一門"電腦攻擊與防禦"的課程,談的很大一部份跟這有關。我也開始感覺到,網路雖然是非常便利的工具卻同時也是殺傷力強大的工具,如同水流一般可以載舟也能覆舟。
最簡單的身份盜用的手段幾乎人人都可以作到,只要有心的話。有多少人家裡的垃圾中存在個人資料的訊息?電話費的帳單、信用卡帳單,甚至其它想不到卻可能透露一些與個人資料有關的文件。英國的一個警察曾經作過一個實驗,在一個地區的垃圾堆中找出了許多人的一些情報資料。其中還有完整的信用卡號、住址,甚至薪資單還有一些參與活動的訊息。然後他登門拜訪那些人,接著向這些完全不認識的人說出了許多與他們有關的一些事情,當事人聽了都很震驚。的確,假如有耐心,加上一些簡單的推斷,從垃圾中許多未處理的資料就足以讓詐騙集團對你下手了。
另一種也是很常見的身份盜用模式是信用卡與提款卡的冒用。有些盜卡集團甚至會在提款機上動手腳,比如在上面裝設小型的攝影機與側錄卡片的機器。當你到某一台被"動過手腳"的機器上進行存取卡片的動作時,你的資料還有你按的Password都已經被盜取了。而信用卡盜用更常見,不過這部份現在台灣由於很有經驗,所以大部份只要刷卡金額出現異常都很容易可以發現。
當然,由於現在網路很發達,所以身份盜用的重點也慢慢往這方面發展。從新聞上經常聽到的遊戲帳號被盜或是最近博客來網路書店個資外洩事件,都是跟網路盜用有關。在我們使用網路服務的時後,似乎只能祈導你所使用的網站防護安全作得夠好,不然唯一的方式就是盡可能地不要留下自己的私人資料。在修電腦攻防的課上,有一種SQL Injection的方式對某些網站是可以造成竊取資料的目地的,你甚至不需要輸入正確的帳號或密碼就可以登入系統裡面以別人的身份。還有另一種許多網站都喜歡使用的存取方式─透過Cookie的設定,但是這種設計卻也使得網路身份的安全性受到挑戰。其它相關的安全問題還有很多,比如網路釣魚、間諜軟體還有無線網路安全等等。
不過我在思考的是,即使這些安全性問題都能靠技術解決,結果還是可能不安全。比如一家擁有許多User資料的網站,它的盜取身份方式可能不是透過外部而是經由內部。比如管理資料庫系統的DBA或是任何可能有機會接觸到存放資料系統的員工等等,這無論是靠怎樣的安全防護技術都沒有用。也可以說,只要是資料一旦被存放在某個地方,那就沒有萬無一失的保障方法。另外再加上google強大的搜尋能力,我覺得今日個人資訊隱私似乎是岌岌可危。
PS:目前很熱門的SNS(Social Network Service)網站如Facebook,其最有威力的也最好玩之處正是要玩家填入真實的資料,否則許多強大的功能都將失去效果。這樣一來或許真的可能可以讓某些人找到以前的國小同學,也可能讓許多人可以透過這種社群交際方式得到更好的服務(比如推薦廣告的更精準),但是伴隨而來的隱私權、資料安全性問題的代價恐怕也不小。前一陣子Facebook推出的Social Ad系統Beacon也是因為這些道德、安全上問題鬧得沸沸揚揚,最後總裁zuckerberg還發表了一封公開信說明並道歉。我認為,SNS網站的威力與獲利似乎還有許多議題要解決,這可能不是單純的只有技術就能成功的問題。