中俄駭客 偷遍入境官商
〔編譯張沛元/紐約時報十一日報導〕猖獗的中國與俄羅斯駭客的數位間諜竊密行為,使得美國政府官員、研究團體成員或與中、俄有生意往來的企業人士前往這兩國時,都會特別小心,儘可能不攜帶任何個人電子裝置或在境外登入公司網站,以免重要機密落入中俄駭客之手。
李侃如 赴中必關藍芽與Wi-Fi
以美國華府智庫布魯金斯研究所中國問題專家李侃如為例,他去中國時絕不會帶著自己的手機與筆電,而是改用出發前就刪光所有資料、回來後也會清除乾淨的替代品;一旦到了中國,李侃如一定會關閉藍芽與Wi-Fi功能、絕不讓手機離開視線,開會時不但關機甚至取下電池,以免有人遠距遙控開機。李侃如只透過加密且需要密碼的管道上網,絕不直接以鍵盤鍵入密碼,而是從個人隨身碟以剪貼方式輸入,理由是「中國人非常擅長在筆電植入鍵盤監控軟體」。
安全專家表示,中俄的數位間諜行為威脅性與日俱增。美國國家情報首長(DNI)辦公室前任官員布瑞納說,倘若中俄對某家公司的重要智慧財產感興趣,而你又使用電子裝置,「那你的(電子)裝置就會被滲透」。
企業機密竊案向來是內賊所為,但隨著網際網路發達、智慧型手機普遍,以及愈來愈多員工將個人電子裝置連接於公司網路,遠距竊取資訊也變得愈來愈容易。安全專家指出,駭客最喜歡的竊密手法,就是侵入員工的移動式電子裝置,然後以此為跳板侵入雇主的網路,竊密後甚至不留任何痕跡。
安全專家說,遭駭客入侵的受害者幾乎不願談論遭竊,相關統計數據也相當稀少;不少受害者根本沒報案,因為擔心事情曝光恐拖累股價,或根本不知道被駭了。
例如,美國全國商會(United States Chamber of Commerce)在二○一○年就不自知至少六週淪為網路竊盜受害者,直到聯邦調查局告知,有位於中國的伺服器透過經常造訪中國的四名該商會亞洲政策專家竊取資訊。
網路安全專家歐爾寇特表示,「所有人都知道,倘若你二十一世紀要在中國做生意,那就什麼東西都別帶去。這是(跟中國做生意的)企業基本守則。」
安全專家指出,除非取得政府許可,否則中國與俄羅斯禁止入境該國旅客攜帶加密的電子裝置;而當中俄兩國官員造訪美國時,他們也會特別小心避免個人電子裝置遭駭。因此美國企業人士或政府成員也如法炮製,像是前往中國時只攜帶清除乾淨的電子裝置,以及禁止在海外連結政府網路。眾議院情報委員會主席羅傑斯說,他都是「裸電子(裝置)」出訪。
防毒軟體業者麥克菲說,如果該公司職員攜帶的任何設備在出入境時遭到中國檢查,「該設備絕不可接上公司網路,我們絕不冒這個險」。搜尋引擎巨擘Google的一位匿名人士也透露,Google嚴禁員工攜帶敏感資料進入中國。