占士邦世界的網絡安全

電影占士邦系列經常出現天馬行空的裝置,給人很高科技的感覺,但占士邦和他的秘密特務同伴,對網絡安全又是否一如以往的「在行」?結果可能令人意外。(劇透注意!)

《新鐵金剛智破破皇家賭場》

在Daniel Craig首部占士邦電影中,從螢幕上可以看到他闖進了上司M的住所,並使月手她的手提電腦連接某種間諜系統,尋找發送給壞人手機的短訊來源,而占士邦能夠這樣到是基於以下可能:

  • MI6沒有強制螢幕鎖或登出的方針,然後M讓她的手提電腦長時間開啟和保持登入。
  • MI6沒有強制使用強力的密碼,而M的密碼很容易就被猜到。
  • M不知道怎樣把密碼保密不讓同事知道,或者她使用的密碼已經被破解。

以上任何一個情況都屬於麻煩的情況,但第三個可能性最高,在故事稍後的話份占士邦再次使用M的登入憑證遙距登入「安全網站」。而占士邦自身的密碼處理也沒有比較好,當他需要建立密碼時,他使用同事的名稱Vesper,並根據數字鍵盤上的文字作為6位數字,而該字是以字典文字作為基礎。

《新鐵金剛之量子殺機》

在五部占士邦電影中最少電腦化的一套,在故事初期知道Craig Mitchell是MI6的8年員工,5年作為M的私人保鏢,原來是雙重間諜。明顯這是一個「舊派」的保安問題,而不是網絡世界的事,然而在前一部電影中看到M對密碼的精心大意表現,MI6的秘密很可能已落入世界各地喜歡玩貓的壞人手上。

《新鐵金剛:智破天凶城》

在五部作品中最電腦化的一套,在第一幕已呈現出網絡的瘋狂,以下將會按時間序逐一分析:

在伊斯坦布爾洩露數據

神秘罪犯盜取了一個硬盤,內裡裝有全部NATO特工隱身在全球恐怖組織的身份,即使MI6的伙伴也不知道名單的存在(而且不是正式的存在)。這個情況已是一個大型的漏洞,假設這個資料庫對MI6十分重要,但該硬盤只放在伊斯坦布爾的安全屋,由3名特工保護,而該硬盤又是否已經加密?當有人嘗試解密時會通知MI6嗎?

SIS上的網絡恐襲

電影中首個真正的網絡事故情節在稍後部份才會出現,網絡恐怖份子攻擊英國秘密情報局,攻擊者嘗試解密整個硬盤(根據M的個人電腦內的保安系統),而防禦者絕望地嘗試關閉電腦,但壞人炸毀了泰晤士河旁的SIS大樓。經過調查後發現攻擊者入侵環境控制系統,鎖定了保安協議然後打開煤氣,在此之前更入侵M的檔案,包括行事曆,並拆解編硬令破解被盜硬盤的加密只是時間問題。

先假設M電腦上出現被盜硬盤的警告是虛假訊息或挑釁 (不竟硬盤不可能在建築物內),並且無視建築物的氣體供應,可能建築物內有設施需要使用煤氣。無論如何,入侵工程控制系統完全可行,但為甚麼工程控制系統,和應該是全英國最安全的電腦——M的電腦,竟然存在於同一個網絡上?這明顯是分割的問題,更不用說把硬盤解密的編碼放在M的電腦內,是另一個純粹疏忽的例子,至少都使用密碼管理工具。

網絡欺凌M

攻擊者在公共網絡發佈特工的名字以取笑M,為了達到目的,有時候以某種方式在她的手提電腦上閃出他們的訊息 (似乎是某種後門漏洞,否則怎能夠進入?)但MI6的專家似乎對檢查手提電腦不感興趣,只是追蹤訊息的來源。他們的結論是中一種非對稱保安運算法發出,通過一千多台伺服器在全球反射訊號,這種方法可能存在,但所謂的非對稱加密運算法其實與隱藏訊息來源無關。

MI6的內部人士攻擊

占士邦抓住了黑各,前MI6特工Silva,並把他和他的手提電腦帶到MI6的新總部,與設定上是MI6的黑客之首Q碰面。而Q首先做的事竟然是把Silva的手提電腦連接MI6的內部網絡,然後就是幾幕似是而非的電腦保安操作場面,最後由主角發現關鍵名字。而作為一個有經驗的特工,應該知道以純文字的方式放在當眼處的重要資料,差不多可以確定是陷阱,為甚麼敵人會放得這麼公開?但Q二話不說便輸入金鑰,結果系統保安漏洞的訊息出現,而Q竟然問為何對方能進入自己的系統,在數秒後,「專家」終於決定把Silva的手提電腦從網絡中離開可能有效。

《007:鬼影帝國》

理論上,此電影意圖指出Nine Eyes全球監視及情報計劃作為反恐工具的合法性、道德和安全問題,實際上建立電影中的系統只月聯合特工局的頂層被破壞,英國政府的資訊系統便落入內部替壞人工作的「內鬼」手上,而且該系統的其他潛在缺點也完全沒被考慮。

此外,Q和Moneypenny把機密資料交給已正式被停職的占士邦,並且謊報他的位置,他們可能是一片好心,但在情報工作中,他們已洩露機密資料,並有可能因為專業失德而被判罪。

《007:生死有時》

在最新一部電影中,MI6秘密開發了頂級機密武器Project Heracles,一款由納米機械人針對指定DNA目標的生化武器,是MI6的科學家兼雙重(或三重)間諜Obruchev的製成品。他複製了機密檔案到快取裝置並吞進肚內,然後之前出現過的組織Spectre的特工闖入實驗室,盜取了部份納米機械人並綁架科學家。除了最基本的人事背景檢查之外,開發機密武器也久缺Data Loss Prevention (DLP)系統。

電影也提到複數大型DNA數據外洩的事故,令武器能有效地針對任何人,事故並非完全令人難以置信,為了把洩露的DNA資料與MI6的員工的資料進行配對,必需公開這些特工資料則有點牽強。

希望只是電影橋段

出現以上情節的最大可能性,很有可能是編寫劇時沒有反映MI6真實的網絡保安行為,我們當然不希望發生機密武器外洩,或機密密碼存放在不會自動鎖上的電腦以及純文字檔之內。

資料來源:Kaspersky Blog