想要駭進你的手機有多容易?沒有什麼是不能破解的! 當你用了 Wifi就被駭了。一個手機號碼就夠了! 必懂資安防護第三章:【Wifi惡意入侵】。戲劇賞析「主君密碼」第三集、【零日網路戰 Zero Days】。
- By 木工忍者
- 9 五月, 2016
- No Comments
﹝警語﹞:
不要自以為做駭客神不知鬼不覺很了不起,犯法的事情一次都不能做,年輕人不要輕易被人利用,將科技能力用於不法,自毀前途,背叛自己的原則,背叛家人或是朋友,難逃良心最後審判,躲在蘇俄背負太多秘密的美國駭客史諾登的下場會如何呢?當駭客的未來人生終將不幸~!!!國內外知名百大企業對於這種行為的人,都會列為「永不錄用」黑名單,連面試機會都不給。「社會穩定進步」的基礎是站在「人民道德感」與「遵守法律規範」之下,這就是歐美國家先進之處。下列說明的各種關於利用高科技電子設備數位通訊軟體觸犯法律的惡意手法只傳遞描述犯罪手法並沒有施行細則。
以下是利用高科技電子設備數位通訊軟體觸犯法律的相關法條
●中華民國刑法 第 二十八 章 妨害秘密罪
●中華民國刑法 第 三十六 章 妨害電腦使用罪
●個人資料保護法第42條規定:「意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。」
◎想要駭進你的手機有多容易?CBS 找了駭客入侵國會議員用的手機!
https://www.inside.com.tw/2016/04/20/hacking-your-phone
2016/4/20 李柏鋒 iPhone、手機、駭客
現在幾乎所有的一切都已經連上了網路,尤其在智慧型手機流行之後這種情況更是明顯。你一定曾經被提醒過,要特別小心在手機上所做的一切以及所說的一切都可能會洩漏你的隱私。所以,到底要駭進一支手機,到底難度有多高?
CBS 的《60 分鐘》節目為了尋求最厲害的駭客,來到了德國柏林,找到了 Karsten Nohl ,一位有維吉尼雅大學電腦工程博士學位的德國駭客。 CBS 的記者 Alfonsi 進入了一個 Nohl 所屬的實驗室,該實驗室的任務是協助許多 Fortune 500 的大公司處理資安問題。但是到了晚上,該實驗室則努力尋找我們日常生活中各種資訊設備的缺陷,像是智慧型手機、隨身碟和手機的 Sim 卡。他們試圖趕在壞人之前找到漏洞,才能夠來得及警告大眾可能會有什麼風險。透過雷射等工具,他們以各種物理方式和數位方式入侵各種系統與設備。
一個手機號碼就夠了
CBS 的記者 Alfonsi 問:「是不是有什麼手機比較安全呢?例如 iPhone 是不是比 Android 安全?」Nohl 回答:「所有的手機其實都一樣。」Alfonsi 又問:「如果你有一個手機號碼,到底能做些什麼?」Nohl 回答:「我能知道他們在哪裡?在哪裡上班?他們跟什麼人見面?也可以知道他們打電話給誰以及他們在電話裡到底說了什麼?當然,也可以讀到他們所傳的簡訊。」
CBS 想看看到底 Nohl 的團隊所宣稱的是不是真的能做到?所以 Alfonsi 拿了一支 CBS 公司內現成的 iPhone 給加州的國會議員 Ted Lieu 使用,特別的是這位議員在史丹佛大學拿到了電腦科學的學位,而且還是美國國會資訊科技委員會的成員,他同意使用 CBS 所提供的手機跟他的團隊通話,而且知道他們的談話內容將被入侵。CBS 所提供給 Nohl 的,只有那支手機的電話號碼而已。
神秘的 SS7 漏洞
當 Alfonsi 從柏林打給在美國的議員, Nohl 的團隊已經把雙方的對話完整記錄下來了,而他們之所以能夠做到,是因為他們發現了在七號訊號系統(Signal System Seven,SS7)中的一個缺陷,這是一個很少被知道,但卻是非常重要的全球電話網路系統,連結了各國的電信公司。所有用手機的人都需要透過 SS7 才能打電話或傳簡訊給彼此,即使我們從來沒聽過這個系統。
Nohl 說,手機的攻擊事件隨著行動裝置的爆炸性增加而不斷在成長。不過其實 SS7 並不是大多數駭客入侵你手機的管道。
沒有什麼是不能破解的
John Hering 帶領 CBS 參觀在拉斯維加斯的駭客聚會,有兩萬名駭客在三天之內「駭」個不停,他們每年聚在一起分享各種駭客圈的秘密並且切磋他們的技術。
John Hering 自己也是駭客,他是一家手機安全公司 Lookout 的共同創辦人,這家公司做了一個免費的 App ,讓你可以掃描你的手機,提醒你手機中有沒有什麼惡意的軟體。 Alfonsi 問:「到底有多大的機率,一般人的手機會被入侵?」Hering 說:「在現在的世界,只有知道自己被入侵以及不知道自己被入侵這兩種。」Alfonsi 問:「是不是大多數的人認為只要設了密碼,手機就是安全的?」Hering 說:「的確,大多數的人並不了解他們的手機是一台電腦,那是一台在你的口袋裡非常有效率的超級電腦,現在的任何一台手機都比載人登月的太空梭還要先進。Alfonsi 問:「是不是所有的設備都可以入侵?」Hering 說:「對!」Alfonsi 問:「如果有人跟你說有什麼你沒辦法破解?」Hering 說:「我不相信!」
為了要證明,Hering 召集了最厲害的一群駭客,這些人都是如何入侵行動裝置的專家,並且努力於想辦法保護這些行動裝置。
當你用了 Wifi,就被駭了
「你會在銀行沒有測試他們保險箱的鎖之前,就把錢放進去銀行嗎?我們在做的事情就是先找到哪裡有漏洞,然後才能知道樣怎麼防堵。」Alfonsi 問:「到底要入侵一支手機多簡單?」Hering 說:「非常簡單!」在拉斯維加斯的旅館中, CBS 的手機登入了飯店的 Wifi ,至少看起來像是飯店的 Wifi ,其實是一個被複製的假 Wifi 。只因為這樣,Hering 拿到了 Alfonsi 的所有 E-mail 資料、包括帳號、手機號碼,安裝了什麼 Apps ,甚至連信用卡資料都有了。
駭客 Jon Oberheide 說:「其實手機安全的最大弱點是人性,人們很容易輕信別人,安裝了惡意的程式,而且每天都暴露他們的密碼,而最難的就是去處理這種人性。」
簡訊帶著惡意程式,手機變成遠距攝影機
Hering 還示範了只要手機的鏡頭沒有被遮住,就能拿來窺探任何的人。Alfonsi 把手機立放在她 CBS 辦公室桌上的支架,而 Hering 只是傳了一封簡訊,裡面附的惡意程式,就能從舊金山透過手機看到紐約的 Alfonsi 正在做什麼,就像是直播一樣,而 Alfonsi 桌上的手機毫無異狀,就像在待機。真令人毛骨悚然!
但是國會議員 Ted Lieu 所使用的手機甚至不需要透過簡訊安裝惡意程式,在柏林的 Nohl 團隊只需要知道議員的電話號碼,就能夠入侵了。還記得前面提到的 SS7 這個很少被知道的全球電話網路嗎?透過這個管道, Nohl 就能記錄議員的通話和移動路徑,知道議員怎麼在自己的選區加州和華盛頓之間往來通勤。
全世界的電信公司透過 SS7 來交換帳單資訊,每天有數十億通的電話和簡訊透過這個系統漫遊。Alfonsi 問:如果把手機的定位關掉,也能追蹤手機的動向嗎?Nohl :「當然,手機的通訊系統跟內建的 GPS 晶片是兩套獨立的系統,所以議員所做的任何選擇,選擇哪一支手機?選擇哪一個號碼?或是要不要安裝任何一個 App,其實都不會影響我們的入侵,因為我們是透過行動網路的管道,而這個管道當然不是由任何一個消費者所控制的。」Alfonsi 問:「所以不管議員做了任何明智的抉擇,你們就是能入侵他的手機?」Nohl :「絕對是如此。」
甚至 Nohl 這樣的使用 SS7 做為入侵管道完全都是合法的。Nohl :「沒有全球的 SS7 警察,所有的行動網路系統必須展開行動,自己保護自己的消費者。但是這非常困難。」Nohl 也試圖告訴美國一些電信業者要經由 SS7 入侵是多麼容易,而 CBS 也聯絡了手機交易聯盟(Cellular Trade Association),詢問他們關於 SS7 的攻擊。他們承認曾經收到一些海外的安全性入侵報告,但是向 CBS 保證,美國所有的手機網路都是安全的。
國會議員的手機對話也被偷錄
CBS 播放了 Nohl 透過 SS7 入侵國會議員 Ted Lieu 的手機所錄下來的一段對話,議員一聽大感震驚。他說:「第一,這真的讓我毛骨悚然。第二,我感到非常生氣。」Alfonsi 問:「為什麼你會生氣?」Lieu :「因為他們可以聽到我在手機的任何通話,內容可能是你想要執行的任何股票的交易,也有可能是任何你和銀行的通話。」Lieu 還說:「去年我和美國總統的一通電話,裡面談的議題如果被傳播出去,可能會造成一些問題。」
像是重要的政治人物或大公司的高層,透過這樣脆弱的手機系統溝通,可能會讓駭客從中取得一些具有高度價值的資訊,而透過 SS7 取得通話紀錄在全世界的情報單位來說,是一個公開的秘密,他們當然不希望這個洞被堵起來。
如果美國的情報單位說這個漏洞其實對於情報工作是很有價值的,國會議員會怎麼想呢?Lieu 說:「任何知道這個漏洞,而且還說這種話的人,都該被革職。你不能讓三億美國人,甚至是全球的公民暴露在一個不安全的手機通話風險當中。尤其是當你已經知道了這個漏洞,卻因為一些情報單位可以透過這個漏洞獲得一些資料而不去處理?這是無法接受的事情!」
Hering 說:「其實大多數的人都不會被我們所展示的那種方式入侵,我們只是告訴大家什麼是可能發生的,這樣人們才會了解,如果我們不在乎這些安全議題,這個世界會變成怎樣?」Alfonsi 好奇:「這個世界會變成怎樣?」Hering 回答:「我們會活在一個沒有人能信任我們所使用科技的世界。」
註:本文編譯自 CBS《60 分鐘》的 節目內容 。
延伸閱讀:60 Minutes asked a security firm to hack an iPhone and we are all basically screwed
◎惡意手法三、【Wifi惡意入侵】。
wifi萬能鑰匙破解wifi時,你的wifi密碼和路由器信息就會被上傳到wifi萬能鑰匙的服務器,這樣別人來連結你的wifi時就不需要密碼了。wifi密碼被拿走倒是沒太大危害,最多導致你家wifi速度變慢,危險的是後邊的拿走wifi之後的事情,拿走wifi密碼之後,如果你的路由登錄密碼是默認的這個就危險了,可能導致駭客入侵你的wifi路由器,然後盜取支付帳號,造成你的財產損失。
https://kknews.cc/zh-hk/tech/nmrrxo3.html
相關新聞
》小姐手機遭偷窺
【主君密碼|幽靈】第3集
參考連結:
一年後,全在旭成為網路搜查廳的局長,赫柱則擔任網路搜查隊的隊長,其英也以宇玄的身分復職。江美向其英透露幽靈的ID,兩人依循著網路位址找到住家後,竟發現有一名女生遭到殺害,此時家中突然闖入一名記者,才知道死者與申曉靜有關係。其英眼看死者的信箱裡皆收到了舞台劇邀請的貴賓票,便帶著江美前往戲院一探究竟,才發現記者勝妍收到票卷的事實,便讓江美代替她坐上貴賓席。
電影賞析【零日網路戰 Zero Days】
詳細內容介紹連結:
http://www.woodninja.idv.tw/blog/?p=9763
中文預告片
https://www.youtube.com/watch?v=iKxWJCpse6k
相關介紹
http://www.biosmonthly.com/brand_topic/7908
打開了數位的潘朵拉之盒
當電腦程式被當作武器,它能造成的破壞力不但「具體」,而且延伸性難以想像。它失控的可能性更是超乎預期,到了指使者不能完全掌握的程度。2010 年六月,這隻叫做 Stuxnet 的電腦蠕蟲在白俄羅斯現身,極其強大的感染力和詭異的目標挑選機制,再加上謎樣的核心任務,造成大家的好奇與恐慌。執行細節和高層的決策,因其機密性質(再加上前述的在國際間缺乏正當性),讓所有相關人士都根本「不能談」。這造成民間不是無所知,就是不能公開進行價值辯論,而這直接威脅到民主社會的價值。前述的海頓將軍,他本身擔任過兩大情報單位(NSA/CIA)的掌門人,結果連他都說:「這件事的保密性已經高到不可理喻。」——連這世界上掌控最多秘密的人都這麼認為,這裡頭真的存在著系統性的問題。