破除光纖迷思

你曉得自己的有線網路與無線區域網路可以被監聽，資料可能洩漏。但如果是光纖網路的話就不會了，是嗎？
那可不一定。
儘管一般認為光纖網路比起標準的接線或微波網路要來得安全，然而事實上光纖纜線卻是同樣脆弱的，只要使用隨手可得的商用硬體和軟體，就能夠達到技術性入侵破壞的目的。
鮮少有關於光纖網路被駭客入侵的公開報告。2000年的時候，Deutsche Telekom公司的3條主要長途電話線路在德國的Frankfurt機場遭到破壞。2003年的時候，Verizon Communications公司的光纖網路被發現遭到安裝非法的竊聽裝置。一般相信是有人試著想要在共同基金公司正式發表之前，搶先知道季報的內容─這些資訊可能價值上百萬元。
包括光纖網路遭到竊聽在內的國際事件，在荷蘭與德國可以在警察網路上面找到消息，而在美國與法國，則可以在國際性製藥大廠的網路上面找得到。
那些備受矚目的光纖入侵事件提供的資訊相當有限。主要是因為這些事件通常未被報導，甚至是還沒有被發現。
在光纖纜線上面加裝竊聽器原本是國家情報機關的手段之一。以2005年2月首次服役的海軍Jimmy Carter號（造價3.2億美元的海狼級潛水艇）為例，就特地改建以便加入「訊號情報」（signal Intelligence）能力──此乃軍事用語，意指為海底的纜線加裝竊聽器，以便監聽通訊。
最近一次是2003年， John Pescatore 副總裁（Gartner的卓越分析師，曾經是受過國家安全局訓練的美國特勤局安全工程師）表示，儘管近十年來光纖纜線遭到入侵的情形不斷發生，不過駭客想要避免被偵測發現，以及處理竊取得到的資料，仍舊比一般常見的入侵手法要來得困難。
然而情況已經改變。在美國系統網路安全協會（SANS Institute）於2005年所發表的研究論文裡面，Kimberlie Witcher提到了業界專家們的說法，光纖幾乎就跟銅製網路線一樣容易被監聽。
想要竊聽光纖資料不再需要動用到潛水艇，也不再需要由政府機關出資數百萬美元成立專案了。這類的竊聽裝置已經變得相當便宜與平常，任何經驗老道的駭客都可以很輕鬆地成功完成入侵攻擊。
「你現在就可以上網，只要花個大約900塊美金就能夠買到一個竊聽器，」SafeNet（這是一家資料加密保護公司，長期投入光纖纜線的防駭實驗）的副總裁暨資料保護業務單位的總經理Andy Solterbeck表示。「我們在實驗室裡面曾經訂購了一個；並在Interop上面做過示範；我們的用意是向人們展示，確實存在著這樣的威脅。」Solterbeck補充道。
駭客手法大公開
要竊聽光纖資料，已經跟其他任何形式的入侵一樣簡單了，竊聽設備可以是硬體、軟體或知識。光纖網路的形成，利用的是從極細的玻璃纖維中所擷取到的光線。首先，就是取得目標光纖纜線。地球上的光纖纜線有幾千幾百萬英里長，光是美國就擁有超過9千萬英里。雖然這些纜線大部分都不容易接觸到─通常埋在地底下、海底深處，或者包裹在混凝土裡面，沿著牆壁與電梯的升降通道佈建─不過有許多纜線很快就可以被人們看見了。舉例來說，部分城市就在網路上張貼了詳細的光纖基礎建設地圖，以便努力吸引當地的組織加入該網路的建構與使用。
在鎖定目標並且成功取得纜線的位置之後，下一步便是從纜線裡面擷取光線訊號（這些訊號最終將會轉變成資料）。
將光纖纜線折彎是最簡單的辦法。同時這也是最不容易被偵測察覺的方法，因為光線訊號並未被中斷。市面上買得到的夾子型連結器的售價還不到千塊美元。這些裝置會以微彎的方式夾在纜線上面，好讓微量的光線從包覆著塑膠聚合物當作保護的纜線當中流洩出來。
一旦取得了光線訊號，便能夠利用光感偵測器（一種可以將光線訊號轉變成電子訊號的設備）來擷取資料。在eBay上面看到的價格大約500美元。同時我們在eBay上面也找到了下一個步驟需要用到的從玻璃纖維裡面竊取資料的裝置─光學/電子轉換器，價格一樣差不多是500美元。這個設備可以幫助建立與網路卡之間的連線。一旦成功地在適當位置安裝了竊聽器，免費取得的網路封包擷取軟體就可以被用來擷取封包，並過濾出有用的資料來，舉凡IP與MAC位址、向外傳送的資料當中的DNS資訊與關鍵字。
另一個方法─接合，就沒那麼實用了，因為它通常很容易被偵測發現，原因在於這個方法會導致光線訊號短暫的中斷。根據Wayne Siddall（使用Corning Fiber的光纖工程師）的解釋，接線生將會察覺這種服務進行期間的中斷情形，因為能夠同時承載1億條連線的光纖纜線，必須擁有即時完成訊號的重新路由的能力，以維持網路的健全運作，即便只是1毫秒的中斷都不被允許。除此之外，市面上買得到的接合裝置也太貴了，售價大約7,000到9,000美元。
如何保護光纖網路
有一些供應商開發了可以用來保護光纖網路的工具，提供實體層的入侵偵測與預防功能。它們能夠辨識並以光線事件來警告接線生，這些事件包括惡意入侵、纜線遭到破壞、接收端超過負載、衰弱的光線訊號、資料訊號遺失、瞬間變化與電源中斷等。
位於美國賓夕法尼亞州的Opterna（www.opterna.com）所販賣的FiberSentinel系統，是一種機架式的光纖入侵偵測系統（IDS），提供了針對光纖網路的被動式即時與各種通訊協定的監視。當流量同時被重新路由到其他路徑（透過人為的間諜技術）時，入侵行為會被自動偵測，並且關機。
另外一個光纖IDS 的解決方案是CompuDyne（www.compudyne.com）的Fiber SenSys，並且廣受世界各地政府與軍方、機場、煉油廠、變電所、核能發電廠、淨水廠與儲存倉庫、企業總部、製造中心的採用。
Oyster Optics（www.oysteroptics.com）從2001年開始，便著手開發光纖安全與監控的前端技術。Oyster Optics的解決方案是與供應商及通訊協定無關的，因此可以降低某些風險，例如竊聽、企業或政府的間諜活動、網路遭受恐怖攻擊而損毀等威脅。
這樣看來，這些偵測解決方案想要防止光纖網路上面的資料遭竊的唯一辦法，還是在於應該要將傳輸的資料加密。
「我想我們已經在各種網路媒介中看到加密獲得了廣泛的採用，包括光纖網路─因為加密可以使竊聽形同無效。」Gartner的Pescatore表示。「一般而言，我認為安全已經往上升級了，而且光纖相較於許多其他的線路，想要竊聽其中的資料仍舊還是比較困難的。不過我們給企業的忠告是，將所有的網路連線加密，因為無論是銅線、光纖、無線─都是不夠安全的。」
許多組織都犯了一個錯誤，就是同時為資料與傳輸進行加密，這基本上是浪費金錢的行為。如果資料經過加密，那麼就不需要再多花錢透過安全通道來傳送這些資料了。目前的趨勢傾向於在資料層加密，如此可以減少傳輸方面的延遲與負擔。
光纖網路的不足
犯罪威脅仍然持續在成長當中。美國消費者事務部估計，因為資料安全防護不夠牢靠的緣故，2005年有超過5千萬名美國人收到通知，說他們的個人資料遭竊。
FBI電腦犯罪單位估計，每年因為商業間諜損失的金額超過1,000億美元。為了反制這種情形，個人與組織每年花費上億美元在資訊安全產品的採購上面。美國系統網路安全協會所列出的聯邦政府2006年IT安全預算，僅僅只有16.85億美元─只比前一年增加了7.2%。
不幸的是，大部分傳統的安全防護方法都無法有效用來處理光纖駭客入侵事件。金融、健康、保險與公開交易的公司們雖然致力於符合法規，但是卻很少考慮到一個事實－透過光纖通訊傳輸的私人與機密資料同樣是可以被擷取到的，駭客只是尚未被偵測發現而已。換句話說，你傳輸的資料可能已經被洩漏了，只是你還不曉得而已。要保護光纖傳輸的安全通常代價昂貴而且不易達成目的，況且壞人總是在我們開始採取保護措施之前就已經先下手為強了。Sandra Kay Miller是《Information Security》的技術編輯