須文蔚、邱琦瑛
日前,一隻名為"W97M_
melissa"
的病毒(以下簡稱梅莉莎病毒),透過電子郵件系統,撲天蓋地而來,一夕之間造成全球性的感染,迫使微軟、英代爾、雅虎等大型企業關閉電子郵件伺服器。這種前所未有的快速大型感染,不但轟動了媒體,也讓美國司法單位偵騎四出,一週內,在美國線上(AOL)的配合下,外號『電子破壞者』的病毒作者就落網了。
梅莉莎病毒的餘震還沒停歇,網路上又出現了梅莉莎病毒的「變種」,新病毒不包括原有的警示標題,改採MS
Excel巨集方式存在,可輕易的躲過網路管理者的防範,這樣的新發展讓電腦管理員防不勝防,新一代的病毒已經不像過去的電腦病毒那麼好處理,未來的巨集病毒,可能像駭客一般,隨時改變自我程式碼來進行滲透,藉以連鎖性的大規模散佈。
病毒簡史
電腦病毒並不是90年代的新產物,早在1975年,美國科普作家布魯納(John
Brunner)的《震盪波騎士》(Shock Wave Rider)一書中,就描述了高度資訊化社會中,電腦會成為正義和邪惡雙方鬥爭的工具,其中最厲害的武器就是以程式相互干擾。而「電腦病毒」這個名詞具體出現,則在1977年夏天,雷(Thomas
J. Ryan)的科幻小說《P-l的春天》(The Adolescence of P-l)裡,作者想像出一種可以在電腦中互相感染的病毒,病毒最後控制了七千台電腦,引發了一場災難。
第一個病毒實驗成功,則要到1983年才由科恩(Fred
Cohen)博土發展出,這個人類史上的第一隻病毒是一種在運行過程中可以複製自身的破壞性程式,因此被稱之為電腦病毒(computer
viruses),經過電腦專家們在VAXl1/750電腦系統上實驗,證實電腦機病毒確實有可能。
在網際網路還不發達的年代,電腦病毒往往必須靠「人際傳播」的方式傳遞,影響範圍雖然不小,但是「機瘟」蔓延的速度總是必較緩慢,而且許多病毒多半有些戲謔,對公共資訊系統或個人電腦的傷害並不太大。1988年3月,一種蘋果電腦的病毒發作,這天受感染的蘋果電腦停止工作,並且在螢幕上顯示「向所有蘋果電腦的使用者宣布和平的消息」,顯然是電腦玩家用病毒慶祝蘋果機生日,開所有使用者一個大玩笑。
病毒與駭客齊飛
到了網際網路時代,病毒的入侵型態日益複雜,電腦一旦感染病毒以後,往往損失慘重,甚至連企業或網路服務業者也不能倖免。這樣的轉變,正與電腦駭客形象從六、七○年代象徵是「電腦高手」,到今天已經成了「電子竊賊」一樣,讓大眾對於電子時代抱持著越來越大的擔憂。
事實上,在1984年李維(Steven
Levy)的《駭客》一書中,駭客以資訊免費分享及絕不破壞資訊系統為念。而絕大多數的駭客事件多半帶有電腦狂熱的趣味在其中。1995年一部叫做「The
Hacker」的電影,因為其中所描述的駭客功力差勁,竟然導致駭客侵入電影公司網站的事件,他們大肆竄改內容,並揚言下次再輕視駭客,將會有更嚴重的報復,就保有這種黑色幽默。
不過八○年代幾個駭人聽聞的駭客入侵事件,已經不僅止於開玩笑或出出風頭,竄改信用卡記錄、控制電話服務都不算什麼,跨國竊取國防機密的非法勾都出現,就不得不叫人捏把冷汗。今(1999)年1月,不知名的駭客自加拿大、挪威、泰國等15個地方連續二天對美國國防部發動每天至少一百次以上的攻擊,美國動員了聯邦調查局、國防部、空軍、海軍和太空總署的力量,都沒有辦法能找出敵人,駭客已經讓美國國防部長感到如臨大敵,這場資訊戰爭可說是「視同作戰」。
無論如何,駭客入侵個別系統的事件,畢竟是單打獨鬥,高手對招的是,但是駭客如果無法無天到了四處下毒,則不只是城門失火,殃及池魚,往往透過網際網路無遠弗屆,網網相連的特質,在極短的時間,就會造成公眾莫大的損害。
1988年11月2日,23歲的康乃爾(Cornell)大學研究生莫里斯(Robert
T. Morris),設計了一個程式,讓六千多台電腦感染病毒,造成網際網路的癱瘓,美國國防部甚至還因此成立電腦應急行動小組。這次事件中遭受病毒破壞的計有5個電腦中心和12個地區結點,直接經濟損失就高達九千六百萬美元。
安全與隱私的爭論
為了防範病毒的入侵,電腦防毒產業也隨之興起,維護企業乃至國家電腦系統的安全,駸駸然已經成為一個不可或缺的重要行業。但是防毒畢竟只是治標,並不能讓病毒設計者現身,要真能揪出禍首,讓製造病毒與下毒者心生警惕,微軟與英代爾不約而同都主張,其重要關鍵就是產品序號,也就是在軟體中或硬體上加入辨識器,無論是內附在微軟的Office以及其他應用軟體檔案的「全球唯一識別碼」(GUID),或是在Pentium
III處理器中加入辨識號碼,都有助電腦保全功能的建構。
不過安全的反面就是侵犯隱私權,隱私權團體對於這些大公司的作法不以為然,認為一旦這種號碼出現,許多大型商業網站就會以此號碼來審查使用者,用以驗證電腦所有人的身份,迫使使用者洩漏其個人資料才能進入網站的行為,將嚴重侵害個人資料的隱密性。
在梅莉莎病毒破案的過程中,一度傳出兩位軟體工程師已經成功地從Melissa病毒核心中擷取了有效資訊,直接指向美國線上公司的使用者帳號及一個網站,這樣的消息無異給擁護隱私權團體一記當頭棒喝。不過,其後的新聞證實,聯邦調查局是靠著美國線上提供的撥接電話號碼,循線破獲此案,識別碼的功效並沒有在這場戰役建下戰功。看來一時之間,電腦安全與隱私權的爭辯還不會塵埃落定。
高手鬥法
無論是駭客或是病毒寫作者,往往自恃甚高,大有和政府鬥法的心態,不過據外電報導,撰寫梅莉莎病毒的嫌犯史密斯將面對多項指控,包括防礙公共通訊、共謀犯罪、預謀犯罪,當然也包括重度竊佔電腦服務罪嫌,如果這些罪名都成立的話,他將面臨四十年以下的有期徒刑,以及四十八萬美元的罰金。
對本地駭客而言,在躍躍欲試,逞一時之勇前,有必要先瞭解一下臺灣的法律是怎麼樣看待駭客和病毒的寫作者。
我國資訊化程度,雖然比不上美國、歐洲等地區,然而我國法律對電腦犯罪卻早已有所規範,特別是針對個人資料的保護,早在民國八十四年即已通過「電腦處理個人資料保護法」相關規定,該法針對某些部分的保護程度,甚至較諸歐美規定尤為「先進」,而八十六年今年所修正通過刑法規定,亦主要針對電腦犯罪類型新增許多處罰規定,因之,在實證法律面上,我國應屬「有法可管」的情況。
電腦病毒的散布行為,首先可能涉及的即為網路使用安全問題,如果僅是單純的造成被感染電腦無法正常運作或當機,則主要係屬於有無「毀損文書」的問題,我國刑法於民國八十六年修正時已將「電磁紀錄」明定該當刑法上「文書」的概念,並特別予以釋明:「稱電磁紀錄,指以電子、磁性或其他無法以人之知覺直接認識之方式所製成之紀錄,而供電腦處理之用者」,因此,如果該電腦病毒干擾他人電腦正常使用,則視其產生的損害結果分別可能有「電腦處理個人資料保護法」或刑法「毀損文書」罪章的適用。
其次,設若該侵害行為,非僅消極干擾受害電腦的正常運作,還包含一些積極竊取、利用該電腦資料檔案態樣,則將涉及侵犯隱私權、妨害營業秘密及其他電腦犯罪問題。一般來說,如果侵害了個人通訊內容的隱私權,我國修正刑法中涉有刑責,最高可處二年以下有期徒刑,如有公務員或執行業務身份者,還有加重的規定。如果駭客意圖藉電腦病毒,製作財產權之得喪、變更紀錄,以取得財產上不法利益,我國刑法也有高達有期徒刑七年的處罰規定。
結語
網際網路為大眾的生活推開了更多的窗戶,我們有時會收到一些惡作劇的禮物,但有時候卻有開門揖盜的苦惱,無論對企業或是個人,經歷過這麼多駭人聽聞的病毒事件後,「資訊安全」已經成為資訊化的必要工作之一,在網際網路的秩序還沒完全建立起來前,我們恐怕只能像為住宅裝上鐵窗一樣,有必要為電腦加裝安全與防範的設備了。