時事分析 | 創新及科技發展 | 2016-09-10 | 《經濟日報》

隱身防黑客 「暗網」保平安?



網絡攝錄機、智能電視、電子門鎖及溫度自動調節器等結合實物與虛擬數據的物聯網設備,近年開始融入家中,家長以網絡攝錄機留意家中年幼子女狀況,也愈來愈普遍。有業界人士預計,隨着物聯網產品推陳出新,2020年全球將裝置有260億個物聯網設備。[1]

但早前的一宗新聞,卻為物聯網的應用響起警號。事緣一名英國藝術家截取了香港等地的網絡攝錄機圖像,於倫敦一間美術館展出。有傳媒得悉事件後隨意在網上搜索,亦找到逾50個香港網絡攝影機的影像。[2]智經曾撰文指出,網絡保安一日未能完善,保障私隱,物聯網產品之間的協作將難以推動,遑論產業可持續發展。[3]今次網絡攝錄機圖像外洩,正是與港人切身的例證。

七成物聯網設備存保安漏洞

港府近年積極發展智慧城市,但惠普2014年的研究指出,七成物聯網設備存在保安漏洞,平均每部設備漏洞多達25個,包括容許用戶設定簡單易記的密碼、用戶資料在互聯網存取過程未有加密,令資料容易被黑客截取等。[4]去年香港有關電腦保安及病毒等事故已高達4,928宗,數字創近十年新高。[5]早前訪港的國際刑警組織代表就指出,香港的罪案已由現實世界轉移至互聯網領域,尤其是物聯網[6];另有專家指,移動裝置及物聯網設備將成為黑客的攻擊目標。[7]

智經早前撰文提及,即使是一些看似無關痛癢的公開資訊,例如一張上載至Facebook的自拍照,也可能會出賣好比身份證號碼的重要私隱。倘若有黑客入侵家居的網絡攝錄機,伺機登堂入室爆竊,甚或操控智能汽車,危害他人生命,後果更是不堪設想。其引申的挑戰在於,現時市面上的物聯網設備,包括個人資料在內的數據在傳輸過程猶如橫越汪洋,倘若設備廠商使用的保安系統存有漏洞、用家只使用預設密碼保護裝置,甚至完全沒有加密,黑客要在資料傳輸時攔途截擊,可謂易如反掌。[8]

利用暗網隱身

為了在資料傳輸的驚濤駭浪中避過黑客入侵,有不少人嘗試了各種方案。其中研究團隊The Guardian Project,便利用暗黑網頁(簡稱「暗網」,英文稱為Dark net)背後的加密及隱身技術,研發名為Home Assistant的軟體,將資料傳送過程全面加密並隱身,直至抵達目的地網站前才現形。更重要的是,研究團隊認為由於用家在傳送資料前早已「變身」,黑客即使攻擊目的地網站,亦無法追溯用家的真實身分。[9]

要明白暗網的「隱身術」,首先要了解我們平日接觸的網站,只是互聯網的表層,稱為「表網」(Surface web),僅佔整個互聯網內容的4%;至於學校內聯網、網上銀行及電郵戶口等需要登入、或特定權限才可瀏覽的頁面,在廣義上統稱為「深網」(Deep web),佔互聯網其餘的96%內容,亦有專家指其容量可能是Google搜尋結果的500倍。[10]深網之內,還埋藏着不會公開網址,亦無法透過Chrome或Firefox等一般瀏覽器進入的暗網。所謂暗網,簡言之是經過加密,讓使用者隱藏身分和網上行蹤的網絡,其中最熱門的瀏覽技術名為Tor。

Tor是The Onion Router的縮寫,直譯洋蔥路由器,網址由一串無意義的數字和字母組成,並以「.onion」作結尾,需要特殊瀏覽器才能造訪這些洋蔥網站。[11]Tor的原理是將使用者的IP位址再編碼,才出發到使用者要造訪的網站,令網站難以得知使用者的來源地或整個傳送路徑。[12]

被不法分子利用隱藏身份

Tor最初源於美國海軍研究實驗室的資助項目,由於使用者能夠匿藏身分,其樣貌、身分、所在位置以至其道德底線,在暗網世界都以「匿名者」取代。落入民用後,暗網成為洗黑錢、兒童色情及人口販賣,以至招募毒販、殺手等犯罪行為及不道德交易的平台,令美國聯邦調查局等執法機關相當頭痛。舉個例子,有人若要買兇殺人,為免罪名「上身」,決不會直接聯絡兇手,而會找中間人張羅。中間人或許會再將工作外判,甚至跨國招聘人才,一層一層下來,兇徒日後即使出庭招供,亦只能供出「上家」,無從指證主謀。

在香港提起深網、暗網,最具話題性的反而是本地網絡小說作家「恐懼鳥」出版兩本有關深網的著作,因內容被指「變態思想」和「殘忍行為」,而被聯署要求禁售,最終要回收並加上警告字句才可重新推售。[13]

水能載舟 暗網或成互聯網主流

雖然有不法分子利用暗網作惡,然而,對於身處極權國家的新聞從業員及異見分子來說,暗網卻是了解外國新聞及相互溝通的重要工具。而自從斯諾登事件後,也愈來愈多人投靠好像Tor這種能夠保障私隱的瀏覽工具,畢竟人們花在線上的時間愈多,就愈擔心私隱外洩。

據統計,全球每日平均逾175萬人使用Tor瀏覽暗網[14],其中美國的使用者佔約兩成[15],香港則有約4,000至6,000名使用者。[16]事實上,有專家抽樣分析現存暗網網站的內容,發現約半數都是作合法用途,例如網頁寄存、Tor教學及網誌等,部分甚至只是一般瀏覽用途[17],以上提到的Home Assistant,更是以Tor背後的技術「以毒攻毒」,保護物聯網設備的數據安全。更廣為人知的例子,包括英國歌手Aphex Twin在暗網發表新專輯;Facebook為暗網用家開設專用版本[18];暗網專用的Google式搜尋引擎「Grams」,亦已於2014年面世。[19]有人預計,暗網不久將來會逐步成為互聯網主流,大型社交網站、主流媒體都會融入暗網世界。[20]

資料來源:Cryptopolitik and the Darknet

當然,沒有網絡科技是滴水不漏,否則有「毒品eBay」之稱的大型毒品交易網站Silk Road,就不會被美國聯邦調查局查封,網站主腦Ross Ulbricht也不會落網。在此之前,Silk Road涉及的交易額逾兩億美元。[21]然而「一雞死,一雞鳴」,類似的網站於拘捕行動後仍雨後春筍般湧現,當中許多都對香港銷售毒品等違禁品。[22]

科技本身沒有正邪之分,前文提及的Tor原意,都是保障使用者私隱及數據的安全,但人類如何應用卻難以控制,而再安全的加密技術,都有被破解的一日。當我們的生活無可避免需要與科技融合,甚至倚賴科技的時候,學會提高警覺,妥善保護數據,風險總比在互聯網「坦蕩蕩」的低。

1 “HP Study Reveals 70 Percent of Internet of Things Devices Vulnerable to Attack,” Hewlett-Packard, http://www8.hp.com/us/en/hp-news/press-release.html?id=1744676#.V5ctO_l96M-, last modified July 29, 2014.
2 〈英藝術家展港IP Cam截圖 部分家居照「見樣」 私隱專員去函促停〉,《明報》,2016年8月17日,A12頁。
3 「數據協作與私隱 物聯網發展的樽頸」。取自智經研究中心網站:http://www.bauhinia.org/index.php/zh-HK/analyses/456,最後更新日期2016年6月3日。
4 同1。
5 「統計資料」。取自香港電腦保安事故協調中心網站:https://www.hkcert.org/statistics,查詢日期2016年7月28日。
6 〈警副處長:網絡犯罪成趨勢 去年損失18億較前年急增五成〉,《明報》,2016年5月17日,A12頁。
7 李彥煒,〈勒索軟件趨增 3招應對〉,《香港經濟日報》,2016年7月20日,A10頁。
8 “Using Tor to Securely Access To Your Home Network of ‘Things’,” YouTube, https://www.youtube.com/watch?v=j2yT-0rmgDA, last modified July 20, 2016.
9 Andy Greenberg, “Now You Can Hide Your Smart Home on the Darknet,” WIRED, July 20, 2016, https://www.wired.com/2016/07/now-can-hide-smart-home-darknet/.
10 Matthew Wisnioski, “Inside the online world not indexed by search engines,” The Washington Post, June 26, 2015, https://www.washingtonpost.com/opinions/a-tour-of-the-webs-other-dark-side/2015/06/25/19a5ee2e-0e11-11e5-9726-49d6fa26a8c6_story.html.
11 “Jamie Bartlett: How the mysterious dark net is going mainstream,” TED, https://www.ted.com/talks/jamie_bartlett_how_the_mysterious_dark_net_is_going_mainstream?language=en, accessed July 28, 2016.
12 “Tor: Overview,” The Tor Project, https://www.torproject.org/about/overview, accessed July 28, 2016.
13 〈血腥暢銷書無封套警告 小學生追看出版商認處理失當下架〉,《明報》,2016年5月12日,A11頁;〈66組織聯署促禁售「恐懼鳥」兩書〉,《明報》,2016年5月22日,A06頁。
14 “Direct users by country,” Tor Metrics, https://metrics.torproject.org/userstats-relay-country.html?start=2016-04-28&end=2016-07-27&country=all&events=off, accessed 27 July, 2016.
15 “Top-10 countries by directly connecting users,” Tor Metrics, https://metrics.torproject.org/userstats-relay-table.html?start=2016-04-28&end=2016-07-27, accessed 27 July, 2016.
16 “Direct users by country,” Tor Metrics, https://metrics.torproject.org/userstats-relay-country.html?start=2016-04-28&end=2016-07-27&country=hk&events=off, accessed 27 July, 2016.
17 Daniel Moore & Thomas Rid (2016) Cryptopolitik and the Darknet, Survival, 58:1, 7-38, DOI: 10.1080/00396338.2016.1142085, pp.21 and 24.
18 同11。
19 “Grams: Search The DarkNet Marketplaces!” DeepDotWeb, https://www.deepdotweb.com/grams-search-darknet-marketplaces/, accessed July 28, 2016.
20 同11。
21 “Silk Road founder gets life for website which allowed users to buy drugs and illicit goods,” South China Morning Post, May 31, 2015, http://www.scmp.com/news/world/article/1813270/silk-road-founder-gets-life-underground-website-which-allowed-users-buy.
22 Tim Chen, “Can Hong Kong's police fight 'Dark Net'? Surge in illegal drug sites as experts warn city is 'ripe for addiction',” South China Morning Post, August 24, 2015, http://www.scmp.com/tech/innovation/ article/1851158/dark-net-online-drug-markets-help-hongkongers-buy-cocaine-crystal.